Cyberprzestępcy uderzają w ciepłownictwo

Chmura, analiza danych i rozwiązania oparte na sztucznej inteligencji (szczególnie popularne wraz z uruchomieniem w grudniu ub. r. przez OpenAi Chatu GPT) są w coraz większym stopniu wykorzystywane w sektorach o strategicznym znaczeniu, takich jak energetyka, ciepłownictwo, transport czy ochrona zdrowia. Większa otwartość infrastruktury krytycznej na nowoczesne technologie w znaczny sposób ułatwia funkcjonowanie przedsiębiorstwa, ale równocześnie może stanowić okazję dla wrogich podmiotów. 

Przykładem może być aktywność grupy cyberprzestępczych. Pod tym określeniem należy rozumieć dobrze zorganizowane quasi-przedsiębiorstwa, często z własnym działem B+R (badania i rozwój) i odpowiednim budżetem. W ich działalności coraz większą rolę odgrywają profesjonalizacja i wykorzystanie zaawansowanych narzędzi - sztucznej inteligencji i automatyzacji. Stosowane formy ataków, takich jak np. ransomware czy phishing, stają się bardziej wyrafinowane. Celem wrogich działań są podmioty z wielu branż, w tym ciepłownictwa.

Przykład? Atak DDoS z 2016 roku, który odciął ogrzewanie mieszkańcom Lappeenranta we wschodniej Finlandii. Chociaż efekty działań cyberprzestępców nie były rozległe – odczuli je mieszkańcy jedynie dwóch budynków – to usunięcie awarii nie należało do najprostszych.

Podobna sytuacja wydarzyła się także w Polsce. W 2022 roku ofiarą cyberataku padło Przedsiębiorstwo Energetyki Cieplnej w Elblągu , którego sieć informatyczną zainfekowano złośliwym oprogramowaniem. W tym przypadku celem nie było uniemożliwienie dostarczania energii cieplnej, a przejęcie danych niektórych klientów.

Nie ma odwrotu od cyfryzacji

Firmy dystrybuujące energię cieplną wychodzą naprzeciw klientom, tworząc dla nich platformy i aplikacje ułatwiające podgląd rachunków i aktualnego zużycia mediów. Nie inaczej jest w przypadku dystrybutorów energii elektrycznej. Tauron rozpoczął operację montażu inteligentnych liczników u odbiorców na Śląsku.  Te urządzenia mają podobną funkcjonalność. W rzeczywistości generują potężne zasoby danych klientów, a chęć ich przejęcia jest jednym z czynników motywujących cyberprzestępców do ataków.

Wrogie działania wymierzone w energetykę często inspirowane są także czynnikami geopolitycznymi. System dostaw energii elektrycznej stanowi strategiczny cel, ponieważ wpływa na działalność gospodarczą i funkcjonowanie państwa, które w wyniku skutecznego cyberataku można szybko sparaliżować. Dobitnym przykładem są powtarzające się od lat ataki na ukraińską sieć energetyczną. Atak na elektrownię w Zaporożu w 2015 r. spowodował sześciogodzinną przerwę w dostawie elektryczności dla około 700 tys. gospodarstw domowych.

„Te przykłady dobitnie wskazują, że podobnie jak w innych sektorach infrastruktury krytycznej, również branże ciepłownicza i energetyczna są przez grupy cyberprzestępcze traktowane jako cel. Działania te mogą mieć poważne konsekwencje, co sprawia, że przedsiębiorcy powinni się mieć na baczności. Impulsem, aby obszar IT traktować jeszcze bardziej poważnie jest przyjęcie Dyrektywy NIS2. Narzuca ona podmiotom z sektorów krytycznych szereg obowiązków" – komentuje Aleksander Kostuch, inżynier Stormshield, wytwórcy rozwiązań z obszaru cyberbezpieczeństwa.

Założenia dyrektywy NIS2 obejmują obowiązki takie jak: zgłaszanie incydentów i zagrożeń, zarządzania kryzysowego, opracowania odpowiednich polityk oraz procedur testowania i audytów, a także stosowanie rozwiązań technologicznych adekwatnych do ryzyka.

Ekspert wskazuje, że wobec skali wyzwania warto myśleć o wprowadzaniu odpowiednich mechanizmów już teraz.

„Cały proces będzie czasochłonny i nawet uwzględnienie vacatio legis może nie gwarantować, że czas jaki będzie do dyspozycji okaże się wystarczający. Oczywiście wiąże się to z inwestycjami, jednak zawsze lepiej przeciwdziałać zagrożeniom niż odczuwać skutki udanego ataku. Można przy tym myśleć o częściowej automatyzacji bezpieczeństwa IT" – stwierdza Kostuch.

Automatyzacja działań w branży bezpieczeństwa IT i wdrażanie rozwiązań zapobiegających atakom, nawet takim, które jeszcze się nie wydarzyły, jest możliwe.

„Wprowadzania systemów automatycznego czuwania i monitorowania, które będą analizować informacje o każdym potencjalnie niebezpiecznym i niestandardowym zdarzeniu w sieci, można się spodziewać w większych przedsiębiorstwach. A do takich należą w większości podmioty działające w energetyce i ciepłownictwie. Ten trend będzie związany właśnie ze stopniowym wprowadzaniem rozwiązań narzucanych w dyrektywie NIS2" – dodaje ekspert Stormshield.

Wiele wyzwań

Część infrastruktury energetycznej została zaprojektowana z myślą o długim, ponad 50-letnim okresie użytkowania. Dlatego energetyka wciąż korzysta z przestarzałych systemów operacyjnych, a przez to wrażliwych pod względem bezpieczeństwa technologii. Takich, które cyberprzestępcom łatwiej zaatakować.

Kolejną kwestią wymagającą uwagi są komunikaty operacyjne wymieniane między urządzeniami elektrycznymi, urządzeniami IED i stacjami monitorującymi. Jeśli napastnikowi uda się nawiązać zdalne połączenie z fizycznym urządzeniem lub stacją obsługi zdalnej, to będzie mógł analizować sieć, rozumieć jej strukturę i wysyłać złośliwe wiadomości.

Najlepszym sposobem radzenia sobie z tym rodzajem ryzyka jest wdrożenie sond przemysłowych, zabezpieczenia z wyspecjalizowanym rozwiązaniem inline z IPS i głęboką analizą protokołów przemysłowych w celu kontrolowania wiadomości wymienianych z najbardziej wrażliwym sprzętem.

Z perspektywy bezpieczeństwa znaczenie ma kwestia połączeń na potrzeby zdalnej konserwacji, szczególnie na poziomie podstacji. Wymagają one wdrożenia tuneli typu VPN lub bezpiecznych i monitorowanych oraz rejestrowanych połączeń w celu zapewnienia poufności danych.

Przed ciepłownictwem i energetyką wiele pracy w zakresie cyberbezpieczeństwa. Podobnie jak przez dziesiątki lat tworzono system zabezpieczeń dla fizycznego funkcjonowania ciepłowni, teraz trzeba zabezpieczyć rozrastającą się cyfrową infrastrukturę, gdyż ma ona co najmniej takie samo znaczenie.

Materiał przygotowany w ramach płatnej współpracy z firmą Stormshield.