Światowe media coraz częściej informują o cyberatakach na infrastrukturę wodną: stacje uzdatniania wody, zapory wodne, systemy nawadniania czy oczyszczalnie ścieków. Zagrożenie ze strony cyberprzestępców staje się wyzwaniem dla sektora wodno-kanalizacyjnego, a w Polsce wciąż wiele przedsiębiorstw branżowych nie ma odpowiednich zabezpieczeń. Ich wdrożenie rekomenduje m.in. rządowy Departament Cyberbezpieczeństwa.
Fot. Michael Traitov/Adobe Stock
- Cyfryzacja przedsiębiorstw wod-kan oznacza korzyści, ale zwiększa ryzyko cyberataków
- Systemy bezpieczeństwa muszą stać się integralnym elementem działalności
- Częste problemy to słabe hasła, brak zapory sieciowej i otwarcie na internet
Zalety i wady transformacji cyfrowej
Cyfrowa transformacja dla spółek wodno-kanalizacyjnych to możliwość lepszego monitorowania sieci, szybszej reakcji na awarie i ograniczenie strat wody. Jednak nowoczesne rozwiązania informatyczne wykorzystujące przemysłowy internet rzeczy narażają przedsiębiorstwa na ataki cyberprzestępców. Z danych zebranych przez spółkę Gray Matter, w 2019 r. w Stanach Zjednoczonych doszło do 22 incydentów w tym sektorze. Najczęściej polegały na zainstalowaniu oprogramowania ransomware w celu uzyskania okupu.
Modernizacja bez zabezpieczeń
W Polsce liczne przedsiębiorstwa z branży wod-kan unowocześniły swoje systemy wymieniając przestarzałe urządzeni kontrolowane przez archaiczne systemy (np. Windows XP) i zastępując je nowoczesnymi rozwiązaniami wykorzystującymi sieci przewodowe i bezprzewodowe, jak 4G czy raczkujące w Polsce 5G. W takiej sytuacji ogromnego znaczenia nabierają kwestie zapewnienia bezpieczeństwa infrastrukturze cyfrowej. Musi ona stać się integralnym elementem działalności. A większość systemów w sektorze nie jest w stanie sprostać zagrożeniom już istniejącym i nadchodzącym.
A te są bardzo poważne: w 2017 r. eksperci ds. bezpieczeństwa IT z Georgia State University opracowali w ramach eksperymentu, oprogramowanie umożliwiające skażenie wody poprzez zmianę stężenia chloru w zakładach uzdatniania wody pitnej. W 2021 r. tego rodzaju atak zdarzył się w hrabstwie Pinellas na Florydzie. Przestępcy zdołali się włamać do systemu w zakładzie uzdatniania wody i zamierzali do wody pitnej dodać niebezpieczną ilość wodorotlenku sodu. Ten atak został udaremniony, ale w przypadku udanego narażone byłoby zdrowie i życie odbiorców.
Rządowe rekomendacje
Rekomendacje Departamentu Cyberbezpieczeństwa dla sektora wod-kan odniosły się m.in. do incydentu na Florydzie (łącznie podano dziewięć przykładów incydentów odnotowanych na świecie). Wskazano winę obsługi, nieadekwatnych procedur i słabej organizacji systemu bezpieczeństwa wykorzystywanych narzędzi do kontroli i nadzoru procesu. Jako główne przyczyny zdarzenia podano słabe zasady zarządzania hasłami – wszystkie komputery posiadały to samo hasło umożliwiające zdalny dostęp, podłączenie do internetu wszystkich komputerów służących do zarządzania usługą oraz brak zapory (firewalla).
W rekomendacjach zalecono m.in. minimalizację ekspozycję sieci przemysłowej (połączeń do i z), by ograniczyć nieautoryzowane połączenia z zewnątrz; oddzielenie systemów sterowania (OT) od systemów IT zorientowanych na klienta i monitorowanie interakcji między tymi obszarami; wykorzystywanie VPN z uwierzytelnieniem wieloskładnikowym, ograniczenie do niezbędnego minimum metody zdalnego dostępu podwykonawców; używanie silnych haseł na wszystkich urządzeniach, stosowanie segmentacji sieci, aktualizowanie oprogramowanie wykorzystywanych systemów i urządzeń czy zgłaszanie każdyego incydentu do właściwego zespołu reagowania na incydenty bezpieczeństwa komputerowego.
Duża część branży wodno-kanalizacyjnej bez zabezpieczeń
W Polsce wciąż wiele podmiotów z sektora wod-kan nie posiada w ogóle zabezpieczeń sieciowych. Powody są różne – m.in. brak środków finansowych czy wykwalifikowanej załogi, a także oddzielenia sieci OT (sterowanie przemysłowe) od IT. Zagrożenia są tym bardziej realne, że wiele z firm wodociągowych i stacji uzdatniania wody korzysta ze wsparcia firm outsourcingowych, które posiadają nieautoryzowany, pełen dostęp do całej ich infrastruktury tego typu – komentuje Piotr Zielaskiewicz, product manager w firmie Stormshield. – W każdym konkretnym przypadku podmiotu wod-kan należy mieć świadomość słabych punktów w jego infrastrukturze sieciowej. Na tej podstawie powinny być wprowadzane stosowne zabezpieczenia i procedury. W przypadku ransomware podstawową linią obrony jest poprawnie skonfigurowana ochrona samej sieci, na przykład z wykorzystaniem urządzenia typu Next Generation Firewall. Nie można pominąć także konieczności posiadania aktualnego i działającego backupu – dodaje.
Niezbędne działania
By chronić infrastrukturę przed cyberatakami konieczne jest filtrowanie wszystkich danych, które trafiają do obiektów z zewnątrz. Przedsiębiorstwa prowadzące działalność w sektorze wodno-kanalizacyjnym chronią infrastrukturę wdrażając zasady wielopoziomowej segmentacji. Polega ona na oddzielaniu wszystkich obiektów operacyjnych i kontroli przepływu komunikacji i danych. Kolejnym krokiem jest oddzielenie środowiska IT, w tym komputerów, serwerów i użytkowników od środowiska operacyjnego OT. Dzięki temu w przypadku ataku środowisko operacyjne jest odizolowane – czytamy w komunikacie. Spółki wod-kan mogą liczyć na wsparcie twórców oprogramowania w zakresie segmentacji i wdrażania kolejnych zabezpieczeń, na przykład w sprawdzaniu niezawodności i zgodności ich protokołów sieciowych. Wszystko po to, by zapewnić bezpieczeństwo sieci wodno-kanalizacyjnych, pompowni, oczyszczalni ścieków czy stacji uzdatniania wody.
Zapory sieciowe
Przemysłowe zapory sieciowe wykorzystuje się tak, by protokoły nie zostały zmodyfikowane lub naruszone przez napastników. Cel to ochrona krytycznej infrastruktury i sprzętu umożliwiająca koncentrację na obronie i maksymalizacją ograniczenia szkód, które mogą powstać w wyniku cyberataku przeprowadzonego na szeroką skalę. Rozwiązania Next Generation Firewall chronią, kontrolują i autoryzują ruch sieciowy oraz pozwalają bezpiecznie łączyć ze sobą oddziały i użytkowników za pomocą tuneli VPN.
W najbliższej przyszłości sektor będzie musiał zmierzyć się z nowym wyzwaniem, jakim jest rozszerzenie zasad bezpieczeństwa na cały łańcuch wartości. Powinny one objąć dodatkowe obiekty poza stacjami uzdatniania wody. Wskazane jest także przyjęcie bardziej zaawansowanego podejścia do przemysłowego internetu rzeczy obejmującego kompleksowe zabezpieczenie systemów i protokołów komunikacji w całym łańcuchu – od obiektu, aż po odbiorcę – podsumowuje Piotr Zielaskiewicz.
Przeczytaj także: GIG z technologią innowacyjnego wykorzystania osadów ściekowych
Foto, video, animacje 3D, VR
Twój partner w multimediach.
Sprawdź naszą ofertę!
Aby dodać komentarz musisz być zalogowany. Przejdź do formularza logowania/rejestracji.