Jak wdrażana jest ochrona cybernetyczna sieci wodno-kanalizacyjnych w Polsce

Blokada systemu zarządzania infrastrukturą dostarczającą wodę może trwać długo, ale pozbawiony jej człowiek może przeżyć jedynie kilka dni. Ten podstawowy fakt uświadamia presję, pod jaką znajdują się firmy z sektora wodnego, wobec rosnących cyberzagrożeń. Jak wskazują eksperci Stormshield, europejskiego wytwórcy rozwiązań z obszaru bezpieczeństwa IT, te kwestie dla producentów wody pitnej są szczególnie istotne, a paraliż jego funkcjonowania może spowodować olbrzymi kryzys. Zalecają oni wdrożenie sześciu rozwiązań, pozwalających wydatnie zwiększyć poziom bezpieczeństwa.

Tegoroczne lato było kolejnym w ostatnim czasie, które przyniosło susze. Stan wód w wielu polskich rzekach był bardzo niski. Dodatkowo katastrofa ekologiczna na Odrze zwróciła uwagę opinii publicznej na zagrożenie, jakim jest zanieczyszczenie wody. Troska o zapewnienie podstawowego dla życia surowca jest jednym z głównych wyzwań stojących przed władzami samorządowymi. Według ONZ do 2050 r. 52% światowej populacji będzie żyło w warunkach niedoboru wody. Czy post-apokaliptyczna wizja świata z filmowych hitów „Waterworld” czy „Mad Max" stanie się rzeczywistością?

Ograniczenie śladu środowiskowego i zapewnienie dostaw wysokiej jakości wody przy jednoczesnym minimalizowaniu jej wycieków – to wyzwania, przed którymi staje sektor wodno-kanalizacyjny. Wraz z postępującą cyfryzacją działające w nim podmioty mogą mierzyć się z nimi coraz skuteczniej. Lecz jednocześnie większa otwartość cyfrowa powoduje, że ten jeden z kluczowych obszarów infrastruktury, narażony jest na liczne, nieznane wcześniej zagrożenia.

Kwestie cyberbezpieczeństwa w sektorze wodnym są szczególnie istotne. Atak na infrastrukturę wod-kan jest potężnym narzędziem w orężu przestępców. Gdy jest skuteczny może doprowadzić do destabilizacji, którą można wykorzystać do celów politycznych. Kryzys z jakim mamy do czynienia w przypadku Odry pokazuje jaką siłę rażenia mogą mieć kwestie związane z poczuciem fundamentalnego bezpieczeństwa, a dostępność wody jest niewątpliwie aspektem o ogromnym znaczeniu

Aleksander Kostuch,

ekspert Stormshield

W ostatnich latach głośne ataki na sektor wodny miały miejsce m.in. w Stanach Zjednoczonych i w Izraelu. Jednym z najnowszych przykładów jest sytuacja z sierpnia br., kiedy jedna z brytyjskich firm działających w branży wodnej potwierdziła, że stała się ofiarą cyberataku. Incydent ten szczęśliwie nie zakłócił procesu dostaw. Liczne podobne przypadki sprawiają, że przedsiębiorstwa i instytucje publiczne związane z sektorem wodnym uświadamiają sobie potrzebę zapewnienia bezpieczeństwa cyfrowego własnej infrastruktury, danych wrażliwych i środowisk operacyjnych.

Zwiększone ryzyko podkreśla również niedostatki sektora, który cierpi z powodu niedoinwestowania. W Europie, podobnie jak w Stanach Zjednoczonych, infrastruktura wodna jest w większości zarządzana przez małe organizacje i generuje niskie marże. Taka sytuacja nie ułatwia podejmowania działań na rzecz zapewnienia większego bezpieczeństwa, które wiążą się z dodatkowymi wydatkami

Aleksander Kostuch,

ekspert Stormshield

Ekosystem przemysłowy, w skład którego wchodzą zakłady produkujące wodę pitną czy oczyszczalnie ścieków (część klasyfikowana jako „operatorzy usług kluczowych”), opiera się na klasycznej infrastrukturze i nowoczesnych technologiach. Powszechność cyfrowych narzędzi wykorzystywanych do jego obsługi przekłada się na wzrost cyberryzyk. Wraz z postępującą cyfryzacją sektora granice między IT i OT stopniowo się zacierają, zwiększając zagrożenie. Systemy operacyjne są narażone także z uwagi na fakt, że coraz częściej są podłączane do sieci komputerowych.

Eksperci zwracają uwagę, że pomimo wielości zagrożeń, branża wodna wciąż ma trudności z nabyciem niezbędnych cyfrowych nawyków. Ich zdaniem trzeba podnosić poziom bezpieczeństwa cybernetycznego, aby radzić sobie z coraz częstszymi i niebezpiecznymi atakami. Zainteresowanie tymi zagadnieniami wzrosło za sprawą rekomendacji Departamentu Cyberbezpieczeństwa KPRM, wydanymi w lutym 2021 roku oraz ogłoszonym trzecim stopniem alarmowym CHARLIE–CRP (luty, 2022).

Jak wygląda ochrona w praktyce?

Charakterystyczne dla branży jest rozproszenie instalacji - przepompownie ścieków, ujęcia wody, urządzenia do ochrony znajdują się w różnych, odległych od siebie miejscach. W tym kontekście znaczenia nabiera ich centralne zarządzanie i monitorowanie, wykonywane ze specjalnego Centra Operacji Bezpieczeństwa (z ang. Security Operation Center - SOC). Centra zbierają informacje z zablokowanych zdarzań, które mogły mieć miejsce w danej lokalizacji oraz monitorują poprawność pracy całego systemu.

Analiza ruchu sieciowego tworzy wiedzę dotyczącą działania sieci przemysłowej, co pozwala w zautomatyzowany sposób korelować informacje, tworzyć raporty i reagować na incydenty. W celu zapewnienia zgodności z rozporządzeniem GDPR (RODO) dane osobowe takie jak nazwa użytkownika, źródłowy adres IP, źródłowy adres MAC, nazwa hosta źródłowego, domyślnie nie są prezentowane w logach i raportach i są zastąpione słowem Anonymized. W celu uzyskania dostępu do tych danych operator musi zostać do tego upoważniony

Aleksander Kostuch,

ekspert Stormshield

Kluczowe jest również instalowanie firewalli, prowadzone z uwzględnieniem potencjalnego ryzyka możliwie najbliżej urządzeń automatyki przemysłowej, które podlegają ochronie. Często są one montowane na tej samej szynie DIN co same urządzenia do sterowania PLC (z ang. Programmable Logic Controller oznacza Programowalny sterownik logiczny).

Sprawdzone i przetestowane rozwiązania technologiczne

Ochrona sieci poprzez segmentację

Segmentacja sieci jest niezbędna, ponieważ pomaga zapobiegać rozprzestrzenianiu się cyberataku poprzez izolację podsystemów. W tym celu można wykorzystać zapory sieciowe.

Zatwierdzanie ruchu

Istotne jest posiadanie w organizacji rozwiązań umożliwiających weryfikację zasadności poleceń wydawanych przez sterowniki PLC. „Nie tylko po to, by wystrzegać się człowieka, ale także w celu weryfikacji integralności danych poprzez inspekcję.

Zarządzanie dostępem zdalnym

Konieczne jest skonfigurowanie systemów zarządzania i zabezpieczenie zdalnego dostępu (konserwacja zdalna, zarządzanie alarmami itp.) elementów infrastruktury, które mogą znajdować się w dużej odległości od siebie. Aby zapewnić bezpieczną komunikację należy stosować rozwiązania obsługujące szyfrowanie danych, poprzez tworzenie tuneli VPN i uwierzytelnianie (optymalnie dwuskładnikowe) użytkowników.

Dopasowanie sprzętu do ograniczeń przemysłu wodnego

Branża wodna ma szereg specyficznych ograniczeń fizycznych (wysoka wilgotność, szeroki zakres temperatur itp.). Sektor wymaga zastosowania sprzętu zdolnego do spełnienia wielu ograniczeń środowiskowych. Funkcjonalność firewalli SNS i ich funkcja obejścia (tryb bezpieczeństwa) są również potężnymi atutami dla branży wodociągowej, ponieważ zapewniają dostępność procesu operacyjnego.

Niezawodność

Praca w trybie ciągłym powoduje, że jednym z wyzwań jest zapewnienie zasilania z różnych źródeł, a także możliwość transmisji danych, nawet przy braku zasilania czy w sytuacji ponownego uruchomienia urządzenia po aktualizacji jego oprogramowania układowego. Rozwiązaniem, zamiast instalacji dwóch powiązanych ze sobą urządzeń, jest możliwość pasywnego przesyłania danych. Urządzenie będzie przekazywać wówczas transmisję bez analizy i ochrony, jednak z zapewnieniem ciągłości działania.

Ochrona punktów końcowych

Ochrona punktów końcowych jest niezbędna ze względu na ich kluczową rolę w obsłudze parametrów procesu operacyjnego i zapewnianiu podglądu stanu systemów w czasie rzeczywistym. Na przykład cyberatak na stacje monitorujące może spowodować całkowity brak dostępu do sieci przez zespoły operacyjne i uniemożliwi prawidłowe działanie procesów przemysłowych.

Branża wodna ma szereg specyficznych ograniczeń, a instalowany sprzęt musi być dostosowany do zastanego trudnego środowiska. Urządzenia muszą umożliwiać integrację z obecnymi, działającymi przełącznikami dla sieci OT/IT. Głównym celem projektów wdrożeniowych jest oddzielenie sieci OT od sieci IT, a także jej zabezpieczenie i monitorowanych

Aleksander Kostuch,

ekspert Stormshield