Cyberataki na operatorów usług strategicznych stają się niepokojącą rzeczywistością. Wymaga ona podjęcia środków ochronnych, gdyż ich konsekwencje mogą być katastrofalne dla milionów ludzi. W tym kontekście szczególnie dotknięci narastającym problemem są producenci i dostawcy energii elektrycznej. W ostatnich latach w sektor energetyczny wymierzony był szereg cyberataków. – Paradoksalnie ich pozytywną konsekwencją w niektórych przypadkach był wzrost świadomości zagrożenia i w efekcie zmiany w zakresie cyberbezpieczeństwa w tej branży – komentuje ekspert Stormshield, europejskiego lidera branży bezpieczeństwa IT.
Nowe wyzwania dla infrastruktury energetycznej
Śledząc ataki z ostatnich lat, których celem była infrastruktura krytyczna związaną z produkcją i dystrybucją energii elektrycznej, można zauważyć, że są one związane z wyzwaniem stojącym przed tą branżą, czyli testowaniem odporności infrastruktur operacyjnych. Wymierzone w sektor wrogie działania często inspirowane są czynnikami geopolitycznymi. System dostaw energii elektrycznej stanowi strategiczny cel, ponieważ wpływa na działalność gospodarczą i funkcjonowanie państwa, które może zostać szybko sparaliżowane w wyniku skutecznego cyberataku.
Głośnym przypadkiem obrazującym tego typu incydenty był między innymi atak na ukraińską elektrownię w Zaporożu (2015), w wyniku którego około 700 tys. gospodarstw domowych przez sześć godzin pozostało bez prądu. Z kolei w lutym br. ofiarą ransomware stał się Elektrobas, lider produkcji i przesyłu energii elektrycznej w Brazylii i największe przedsiębiorstwo energetyczne w Ameryce Łacińskiej, które obsługuje dwie elektrownie jądrowe.
Infrastruktura energetyczna projektowana na lata
Część infrastruktury energetycznej została zaprojektowana z myślą o ponad 50-letnim użytkowaniu. Dlatego systemy operacyjne, z których współcześnie korzysta sektor, niejednokrotnie oparte są na przestarzałych, a przez to wrażliwych pod względem bezpieczeństwa technologiach, które cyberprzestępcom łatwiej zaatakować. Jednocześnie za sprawą rewolucji przemysłowej 4.0. podmioty z sektora w coraz szerszym zakresie korzystają z nowoczesnych technologii. Oba przedstawione aspekty sprawiają, że cyberbezpieczeństwo staje się jednym z kluczowych wyzwań branży energii elektrycznej.
– Rozwój nowych technologii, obiektów i podłączonych czujników umożliwia producentom energii dostęp do cennych korzyści w ich łańcuchach produkcji i dystrybucji. Mogą dzięki nim przewidywać ewentualne awarie czy lepiej kontrolować zarządzanie mocą (Smartgrid). Aby móc skutecznie wykorzystywać potencjał, jaki oferują nowe technologie konieczne jest wdrożenie rozwiązań Cloud i Edge Computing. To one gwarantują odpowiednią moc obliczeniową umożliwiającą przetwarzanie w czasie rzeczywistym gromadzonych danych. Z drugiej jednak strony połączone obiekty i środowiska chmurowe otwierają sieci operacyjne, które do tej pory były izolowane, tworząc tym samym nowe przestrzenie ataku dla cyberprzestępców. Warto mieć świadomość wynikającego z tego zagrożenia – mówi Piotr Zielaskiewicz, menadżer produktu w Stormshield.
Segmentacja sieci głównym wskazaniem
Ochrona przed cyberatakami jest możliwa, wymaga jednak filtrowania wszystkich danych, które trafiają do obiektów z zewnątrz.
Pewnym antidotum na otwieranie sieci jest ich segmentacja. Polega ona na oddzielaniu wszystkich obiektów operacyjnych i kontroli przepływu między nimi komunikacji i danych. Zapewnia to możliwość zablokowania rozprzestrzeniania ataku, czyniąc bardziej złożonym wykrywanie sieci operacyjnej. Należy również zauważyć, że do zmniejszania zasięgu ataku przydatne może być ograniczenie dostępu do jednej lub grupy stacji roboczych. Kolejnym krokiem jest odizolowanie środowiska IT, w tym komputerów, serwerów i użytkowników od środowiska operacyjnego OT.
– Podsystemy, które w przeszłości były niezależne, coraz częściej wymagają wymiany informacji i wzajemnego połączenia. Dlatego ważne jest, aby zacząć stosować segmentację i izolować sieci dla tych różnych systemów – mówi Piotr Zielaskiewicz. – Twórcy oprogramowania wspierają podmioty z sektora infrastruktury krytycznej w zakresie segmentacji i wdrażania kolejnych zabezpieczeń, na przykład w sprawdzaniu niezawodności i zgodności ich protokołów sieciowych. Wspólnym celem jest bezpieczeństwo systemów, w oparciu o które funkcjonują – dodaje.
Jednak zdaniem eksperta największa luka w mechanizmach cyberobrony dla systemów OT i IT jest tworzona przez użytkowników i operatorów. Szczególnie wobec wciąż powszechnego stosowania pamięci USB w środowiskach operacyjnych.
– To pokłosie ograniczonej świadomości podstawowych zasad cyberbezpieczeństwa. Używanie podobnych haseł, niezależnie od poziomu czułości systemu lub osobistych dysków USB do celów biznesowych odgrywa niebagatelną rolę w ułatwianiu hakerom dostępu do infrastruktury – komentuje Piotr Zielaskiewicz. – Nieustannie musimy uświadamiać operatorom wszystkie potencjalne zagrożenia cybernetyczne w celu unikania błędów lub niezamierzonych działań, które mogłyby zagrozić procesom przemysłowym – dodaje.
Jak możemy zapewnić skuteczną ochronę infrastruktury operacyjnej?
Jedną z kluczowych kwestii jest problem starzenia się systemów i aplikacji wykorzystywanych w infrastrukturze operacyjnej. Aby zminimalizować wynikające z niego ryzyko niezbędne jest podejście oparte na dogłębnych urządzeniach zabezpieczających, które umożliwiają blokowanie podejrzanych zachowań i reagowanie na zagrożenia wykorzystujące wady aplikacji.
Po drugie, biorąc pod uwagę krytyczny charakter podstacji, zaleca się również zastosowanie innych środków ochronnych, takich jak filtrowanie sieci na poziomie urządzeń IED; na przykład, aby umożliwić ograniczony dostęp do pojedynczej grupy stacji roboczych w bardzo określonym przedziale czasowym.
Kolejną ważną kwestią wymagającą uwagi są komunikaty operacyjne wymieniane między urządzeniami elektrycznymi, urządzeniami IED i stacjami monitorującymi. Jeśli cyberatakującemu uda się nawiązać zdalne połączenie z fizycznym urządzeniem lub stacją obsługi zdalnej, będzie mógł analizować sieć, rozumieć jej strukturę i wysyłać złośliwe wiadomości. Najlepszym sposobem radzenia sobie z tym rodzajem ryzyka jest zatem wdrożenie sond przemysłowych, IDS lub IPS w celu kontrolowania wiadomości wymienianych z najbardziej wrażliwym sprzętem. Mogą służyć do sprawdzania spójności komunikatów wymienianych między sprzętem a wyższymi warstwami zarządzania, zapewniając, że nie zagrażają one procesowi operacyjnemu.
Wreszcie połączenia zdalne na potrzeby zdalnej konserwacji, szczególnie na poziomie podstacji, wymagają wdrożenia tuneli typu VPN lub bezpiecznych połączeń typu TLS w celu zapewnienia poufności danych.
– W świetle tych kilku niewyczerpujących przykładów, zintegrowane podejście, które uwzględnia wszystkie wymagane podstawy i opiera się na kilku poziomach ochrony, jest niezbędne do skutecznego zabezpieczenia korporacyjnych systemów produkcyjnych w sektorze energetycznym – podsumowuje ekspert Stormshield.
Pozytywne aspekty ataków
Częstsze ataki na sektor, które z biegiem czasu dodatkowo stały się bardziej wyrafinowane, mają paradoksalnie również swoje jasne strony. Opracowane zostały liczne normy, jak amerykański standard NERC-CIP, obowiązująca w UE dyrektywa NIS lub norma IEC 61850 dotycząca projektowania automatyki dla stacji energetycznych, umożliwiające skuteczne przeciwstawianie się szkodliwym działaniom. A ich konsekwentne wdrażanie sprawia, że sektor energetyczny pozostaje obszarem ściśle regulowanym i między innymi dzięki temu także bardziej bezpiecznym.