W związku z coraz częściej pojawiającymi się incydentami związanymi z atakami hakerskimi na sieci wodociągowe, Departament Bezpieczeństwa Prezesa Rady Ministrów wydał rekomendacje związane z cyberbezpieczeństwem dla sektora wodno-kanalizacyjnego.
Przemysłowe sieci wodociągowe, w większości wypadków, są już w pełni zautomatyzowane. Z poziomu jednego, wirtualnego, panelu sterowania możemy zarządzać prawie wszystkimi procesami związanymi z uzdatnianiem wody, a także badaniem jej parametrów. Jednak często, ze względu na brak wykwalifikowanej kadry oraz ograniczenia sprzętowe, te procesy i obsługa techniczna zlecana jest zewnętrznym firmom. Tutaj pojawia się największe zagrożenie, jakim jest nieodpowiednio zabezpieczona infrastruktura informatyczna. Jak pokazuje przykład z Florydy:
“O ciekawym incydencie, który mógł zagrażać życiu i zdrowiu kilkunastu tysięcy ludzi informuje szeryf z Florydy. W piątek ktoś włamał się do wodociągów w hrabstwie Pinellas i zwiększył stężenie wodorotlenku sodu stukrotnie.”
źródło:
wystarczy krótki, nieautoryzowany dostęp do jednostki sterującej w stacji uzdatniania wody, aby doprowadzić do tragedii.
Skuteczne zabezpieczenie sieci teleinformatycznej to podstawa sprawnego działania przedsiębiorstwa, a przede wszystkim bezpieczeństwo użytkowników końcowych.
Wydarzenia w USA wyraźnie pokazują jak szkodliwe mogą być ataki nakierowane na przemysłowe systemy sterowania, które są dostępne przez Internet, w szczególności w przypadku sieci i systemów gospodarowania wodą. Co więcej, analizy ekspertów z zespołu reagowania na incydenty komputerowe CSIRT NASK wskazują, że podobne luki bezpieczeństwa posiada wiele podmiotów funkcjonujących w Polsce.
Co zrobić, aby w przyszłości ustrzec się przed tego typu incydentami? Departament Cyberbezpieczeństwa wskazuje nam konkretne rozwiązania, do których powinniśmy się zastosować.
- Należy zmniejszyć do minimum ekspozycję sieci przemysłowej, zarówno sieci lokalnej, jak i punktów styku, poprzez identyfikację i ograniczenie do koniecznych, połączeń ‘z’ i ‘do’ tej sieci – ograniczamy (lub wręcz uniemożliwiamy) w ten sposób nieautoryzowane połączenia z zewnątrz – najważniejsza jest segmentacja sieci wraz ze szczegółową ochroną transmisji oraz izolowanie sieci tylko do niezbędnego ruchu sieciowego.
- Należy oddzielić systemy OT od systemów IT zorientowanych na klienta oraz monitorować i kontrolować interakcje pomiędzy tymi dwoma obszarami. Rekomendowanym rozwiązaniem jest unikanie podłączeń urządzeń przemysłowych do sieci publicznych, w szczególności Internetu.
- W przypadku gdy zdalny dostęp jest niezbędny (np. do monitorowania i zarządzania rozległą infrastrukturą) powinien być zawsze realizowany za pomocą VPN z wykorzystaniem konfiguracji umożliwiającej zastosowanie uwierzytelnienia wieloskładnikowego (MFA).
- Należy zweryfikować narzędzia, które kontrolują zdalny dostęp do systemów zarządzania, oraz ograniczyć ich użycie do niezbędnego minimum pod względem czasu, grupy lub uprzywilejowanych użytkowników. Dodatkowo powinno się zbierać informacje nt. zdalnego dostępu podwykonawców, łącznie z danymi użytkowników, którzy ten dostęp posiadają.
- Tam gdzie to możliwe, należy ograniczyć dostęp do VPN dla określonych adresów IP lub ich zakresów. Przykładowo gdy podmiot nie posiada współpracowników ani podwykonawców zagranicznych, rekomenduje się zastosować możliwość próby nawiązania sesji VPN tylko dla polskich adresów IP.
- Należy stosować segmentację sieci – minimalnie na styku sieci przemysłowej, a preferencyjnie, zależnie od rozmiaru i złożoności zakładu, również wewnątrz – na rynku istnieją również urządzenia, które możemy instalować bezpośrednio przed urządzeniami i sterownikami PLC. Mają możliwość wstawienia w szyny DIN, są odporne na nieprzychylne warunki środowiskowe i zasilane z dwóch niezależnych źródeł zasilania prądem stałym. Co za tym idzie, zabezpieczenie połączeń jest możliwe również w punktach, które nie są usytuowane w dedykowanych budynkach.
Naprzeciw tym rekomendacjom wychodzi firma Perceptus, która od lat przeprowadza audyty bezpieczeństwa, a także wdraża systemy zabezpieczeń infrastruktury informatycznej na rynku krajowym i europejskim.
Jeżeli jesteś zainteresowany przeprowadzeniem audytu bezpieczeństwa w Twoim przedsiębiorstwie, oraz skonfigurowaniem skutecznego systemu zabezpieczeń, skontaktuj się z przedstawicielem:
Łukasz Zajdel
+48 68 470 07 76
l.zajdel@perceptus.pl