W dobie ataków hakerskich i wykradania danych, temat cyberbezpieczeństwa jest szczególnie istotny, także w kontekście prawidłowego funkcjonowania sieci wodociągowych. A działać w kierunku bezpieczeństwa cyfrowego trzeba tu i teraz, szczególnie, gdy sytuacja geopolityczna stwarza realne zagrożenia dla bezpieczeństwa dostaw wody, infrastruktury sieci, a także bezpieczeństwa IT.

Infrastruktura krytyczna

Sektor wodno-kanalizacyjny to jeden z elementów infrastruktury krytycznej państw. Obejmuje zarówno obiekty zarządzane przez administrację rządową, jak i przez jednostki samorządu terytorialnego. Nie ma wątpliwości, że cyberbezpieczeństwo jest niezwykle istotnym aspektem, także w działalności przedsiębiorstw wod-kan. W lutym 2021 r. Kancelaria Prezesa Rady Ministrów opublikowała opracowany przez ekspertów dokument: Rekomendacje cyberbezpieczeństwa dla sektora wodno-kanalizacyjnego (R-CYBER-01/2021)[1]

W dokumencie znajdziemy zestaw zaleceń dotyczących bezpieczeństwa, dzięki którym można podnieść  odporność przemysłowych systemów sterowania w obiektach świadczących usługi wodno-kanalizacyjne. Rekomendowane są środki organizacyjne i techniczne, które pomagają podnieść poziom bezpieczeństwa infrastruktury na cyberataki. „Systemy wodno-kanalizacyjne – jak wiele obiektów infrastruktury krytycznej państw – są często atakowane przez pojedynczych przestępców, zorganizowane grupy cyberprzestępców oraz przez instytucje powiązane lub wręcz nadzorowane przez inne państwa” – czytamy w rządowym dokumencie.

Cyberataki na sektor wod-kan

Departament Cyberbezpieczeństwa podaje wybrane przykłady ataków na sektor wodno-kanalizacyjny w latach 2018-2020, które miały miejsce w Izraelu, Niemczech czy Stanach Zjednoczonych. Na przykład, 5 lutego 2021 r. został ujawniony przypadek ataku na stację uzdatniania wody na Florydzie (USA), skutkujący zmianą nastawień dozowania środków

chemicznych do poziomu niebezpiecznego dla spożycia przez ludzi. Atakujący zmienił aplikowane stężenie wodorotlenku sodu ze 100ppm do 11100ppm. Operator systemu zauważył  niespodziewany wzrost i natychmiast przywrócił stężenie wodorotlenku sodu do normalnego poziomu. Napastnik prawdopodobnie dostał się do systemu, wykorzystując słabe zasady zarządzania hasłami[2] (wszystkie komputery posiadały to samo hasło umożliwiające zdalny dostęp).

Rekomendacje Departamentu Cyberbezpieczeństwa  dla sektora wodno-kanalizacyjnego

Przykład z Florydy pokazuje, jak szkodliwe mogą być ataki na sektor wodno-kanalizacyjny i jak istotny jest odpowiedni poziom bezpieczeństwa cyfrowego, aby zminimalizować ryzyko działania przestępców. Mając na uwadze zagrożenia w obszarze cyberbezpieczeństwa obiektów infrastruktury wodnej zarządzanej przemysłowymi systemami sterowania, Departament Cyberbezpieczeństwa rekomenduje środki organizacyjne i techniczne zwiększające odporność infrastruktury na cyberataki[3]:

1. Należy zmniejszyć do minimum ekspozycję sieci przemysłowej, zarówno sieci lokalnej, jak i punktów styku, poprzez identyfikację i ograniczenie do koniecznych, połączeń „z” i „do” tej sieci – ograniczamy (lub wręcz uniemożliwiamy) w ten sposób nieautoryzowane połączenia z zewnątrz.
2. Należy oddzielić systemy OT od systemów IT zorientowanych na klienta oraz monitorować i kontrolować interakcje pomiędzy tymi dwoma obszarami. Rekomendowanym rozwiązaniem jest unikanie podłączeń urządzeń przemysłowych do sieci publicznych, w szczególności do Internetu.
3. W przypadku, gdy zdalny dostęp jest niezbędny (np. do monitorowania i zarządzania rozległą infrastrukturą), powinien być zawsze realizowany za pomocą VPN6 z wykorzystaniem konfiguracji umożliwiającej zastosowanie uwierzytelnienia wieloskładnikowego (MFA)7.
4. Należy dokonać przeglądu zdalnego dostępu i ograniczyć go do niezbędnego minimum, w szczególności należy zwrócić uwagę na modemy komórkowe i metody zdalnego dostępu podwykonawców.
5. Należy zmienić domyślne dane uwierzytelniające, stosując dobre praktyki silnych haseł (o ile urządzenie takie hasła wspiera) na wszystkich urządzeniach, w szczególności urządzeniach posiadających interfejs webowy oraz wyłączyć niewykorzystywane konta.
6. Tam, gdzie to możliwe, należy ograniczyć dostęp do VPN dla określonych adresów IP lub ich zakresów. Przykładowo, gdy podmiot nie posiada współpracowników ani podwykonawców zagranicznych, rekomenduje się zastosować możliwość próby nawiązania sesji VPN tylko dla polskich adresów IP.
7. W przypadku, gdy niezbędny jest zdalny przesył danych telemetrycznych za pomocą sieci komórkowej, należy korzystać z dedykowanych prywatnych APN.
8. Należy aktualizować oprogramowanie wykorzystywanych systemów i urządzeń, w szczególności podczas planowych postojów. Przed aktualizacją należy przeprowadzić analizę potencjalnego wpływu aktualizacji na utrzymanie ciągłości działania (w szczególności aktualizacja może wprowadzać elementy, które spowodują utratę zgodności np. z oprogramowaniem niskopoziomowym) – dlatego też przed dokonaniem aktualizacji należy przetestować ją w środowisku testowym, przed zastosowaniem w środowisku produkcyjnym.
9. Należy stosować segmentację sieci – minimalnie na styku sieci przemysłowej, a preferencyjnie, zależnie od rozmiaru i złożoności zakładu, również wewnątrz.
10. Należy prowadzić okresową analizę widoczności urządzeń poprzez zewnętrzne skanowanie zakresu adresacji należącej do obiektu, czy wykorzystanie narzędzi typu Shodan.
11. Należy zgłosić osoby do kontaktu do zespołów reagowania na incydenty – CSIRT poziomu krajowego – w celu ustanowienia szybkiej ścieżki reakcji w przypadku incydentu:
    – CSIRT NASK: https://incydent.cert.pl/osoba-kontaktowa#!/lang=pl i przesłać zgłoszenie osoby do kontaktu. Zaleca się także wskazanie osoby dodatkowej
    – CSIRT GOV: https://csirt.gov.pl/cer/zgloszenie-osob-do-kont/961,Zgloszenieosob-do-kontaktow-z-CSIRT-GOV.html. Zaleca się także wskazanie osoby dodatkowej.
12. Każde zdarzenie mające znamiona cyberataku oraz incydent bezpieczeństwa należy niezwłocznie zgłosić do właściwego zespołu CSIRT poziomu krajowego:
    – Operatorzy infrastruktury krytycznej do CSIRT GOV: https://csirt.gov.pl/cer/zglaszanie-incydentu/16,Zglaszanie-incydentu.htm
    – Pozostałe podmioty publiczne m.in. obiekty znajdujące się pod nadzorem jednostek samorządów terytorialnych, lecz nie znajdujące się w wykazie infrastruktury krytycznej państwa do CSIRT NASK: https://incydent.cert.pl/#!/lang=pl

Wzmocnienie potencjału UE w zakresie bezpieczeństwa cybernetycznego

9 marca tego roku we Francji odbyła się nieformalna konferencja rady ministrów ds. cyfryzacji i telekomunikacji. Ministrowie 27 państw członkowskich Unii Europejskiej przyjęło deklarację dotyczącą zwiększenia potencjału UE w zakresie cyberpezpieczeństwa. Aktualna sytuacja geopolityczna oraz ostatnie ataki cybernetyczne, których celem była Ukraina, pokazały jak ważny jest wymiar cybernetyczny dzisiejszych konfliktów, co stwarza potrzebę opracowania przez UE ambitnego i kompleksowego planu bezpieczeństwa cybernetycznego.[4]

W związku z rosnącym zagrożeniem cyberatakami, 16 lutego tego roku na terenie całej Polski wprowadzono stopień alarmowy ALFA-CRP. Z kolei22 lutego wprowadzono 3 stopień alarmowy CHARLIE-CRP, który ma zapewnić podwyższony poziom ochrony krytycznej infrastruktury. W dniu 23 marca do instytucji administracji państwowej i operatorów infrastruktury krytycznej została przekazana rekomendacja dotycząca wdrożenia wytycznych, dotyczących działań wyprzedzających mających na celu minimalizację skutków ewentualnego cyberataku.

[1] https://www.gov.pl/web/baza-wiedzy/rekomendacje-cyberbezpieczenstwa-dla-sektora-wodno-kanalizacyjnego—r-cyber-12021-

[2] https://sekurak.pl/przez-teamviewer-a-az-do-systemu-kontroli-uzdatniania-wody-hacker-zmienil-parametry-chemiczne-wody/

[3] Rekomendacje cyberbezpieczeństwa dla sektora wodno-kanalizacyjnego (R-CYBER-01/2021), luty 2021 r.

[4] https://www.gov.pl/web/baza-wiedzy/wspolny-apel-o-wzmocnienie-potencjalu-ue-w-zakresie-bezpieczenstwa-cybernetycznego