Czy to już cyfrowa wojna?

Sytuacja nigdy nie była tak poważna; zalecenia pełnomocnika rządu ds. cyberbezpieczeństwa ws. przemysłowych systemów sterowania (ICS/OT) dostępnych z internetu są jak najbardziej słuszne - ocenili eksperci Stormshield,  europejskiego dostawcy rozwiązań do ochrony sieci należącego do grupy Airbus.

We wtorek pełnomocnik rządu ds. cyberbezpieczeństwa, wicempremier Krzysztof Gawkowski poinformował o rosnącej liczbie ataków na przemysłowe systemy sterowania (ICS/OT) dostępne z internetu. Zaznaczył, że niektóre z nich miały wpływ na rzeczywiste działanie systemów, a ich skutki odczuli odbiorcy usług. Minister cyfryzacji przypomniał w komunikacie, że urządzenia przemysłowe często łączą się z internetem przez routery sieci komórkowych, a przypisane im adresy IP wskazują na operatorów sieci mobilnych, których karty SIM są używane w urządzeniach. Nie ma wówczas możliwości kontaktu z właścicielem systemu, można tylko przekazać informacje do operatora telekomunikacyjnego.

Gawkowski wydał szereg zaleceń dla jednostek samorządu terytorialnego i podmiotów publicznych, a także zasugerował dodatkowe środki bezpieczeństwa. W środę odnieśli się do nich eksperci cyberbezpieczeństwa z firmy Stormshield.

Jak zaznaczył dyrektor zarządzający firmy w Polsce Paweł Śmigielski, przedstawiona w komunikacie pełnomocnika diagnoza, odnosząca się do skali zagrożeń wynikających z połączenia systemów przemysłowych z internetem, jest jasnym sygnałem, że "sytuacja jeszcze nigdy nie była tak poważna".

"Niestety geopolityka przyspieszyła, co może za sobą pociągać wzmożenie wrogich działań wymierzonych w jednostki samorządowe i podmioty publiczne. Przedstawione zalecenia są jak najbardziej słuszne, ponieważ pozwalają minimalizować ryzyko. Osoby odpowiedzialne za kwestie bezpieczeństwa IT i OT (technologii operacyjnej - PAP) mogą potraktować je jako listę kontrolną, aby krok po kroku sprawdzić, jak dany aspekt wygląda w ich organizacji" - wskazał Śmigielski.

Jak uściślił, do skutecznego skonfigurowania poszczególnych zaleceń można wykorzystać odpowiedni firewall. Jeśli dla serwisantów urządzeń funkcjonujących w sieci jest skonfigurowany dostęp zdalny przez VPN, warto sprawdzić czy połączenie wykorzystuje uwierzytelnianie wieloskładnikowe i dopytać dostawcę technologii bezpieczeństwa o możliwości w tym zakresie.

W kolejnym kroku warto sprawdzić, czy dostęp VPN jest ograniczony do konkretnych podsieci lub adresów IP, z których łączą się serwisanci. Korzystając z funkcji geolokalizacji na firewallu można ograniczyć ruch przychodzący tylko do Polski.

"Te dwa proste kroki wydatnie podniosą bezpieczeństwo. Komunikat nie stoi przy tym w sprzeczności z założeniami niedawnego projektu nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa, które obniżyły wymagania dla części podmiotów publicznych. Ustawa opisuje wymagania na bardziej ogólnym poziomie, a w () komunikacie ujęto wytyczne stricte techniczne, oparte na dobrych praktykach, do natychmiastowego zastosowania w swojej sieci" - wybił Śmigielski.

Inżynier w Stormshield Aleksander Kostuch dodał, że faktycznie wiele istotnych urządzeń ICS/OT jest dostępnych bezpośrednio z poziomu internetu, a skala wynikających z tego potencjalnych zagrożeń jest bardzo wysoka - ataki są bowiem stosunkowo łatwe do przeprowadzenia.

"Komunikat tym samym potwierdza to, co można zaobserwować w przestrzeni publicznej. W ostatnich miesiącach celem cyberprzestępców w naszym kraju były m.in. oczyszczalnie ścieków, instalacja spalania biomasy czy stacje uzdatniania wody - i w każdym z tych przypadków były to ataki skuteczne" - zaznaczył Kostuch.

Wskazał, że kluczowe rekomendacje obejmują tu przede wszystkim eliminację bezpośredniego dostępu z internetu do systemów ICS/OT.

"Podstawą jest właściwa architektura sieci, w której systemy OT są odseparowane od sieci biurowej i internetu (...). Pomóc w tym mogą firewalle przemysłowe oraz segmentacja sieci. Wydzielenie stref, np. sieci IT i sieci OT pozwala zminimalizować punkty styku z internetem i ograniczyć komunikację do niezbędnych połączeń" - zasugerował ekspert.

Przypomniał, że istotna jest jednocześnie regularna aktualizacja oprogramowania zabezpieczeń, w tym firewalli, co pozwala łatać ewentualne luki bezpieczeństwa, zanim wykorzystają je agresorzy.

Kostuch uznał, że wtorkowe zalecenia pełnomocnika wydają się spójne z duchem ostatniego projektu nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa. Wskazują bowiem na konkretne, najistotniejsze zagrożenia i opisują praktyczne środki zaradcze, czyli to, na czym powinny się skoncentrować ważne podmioty publiczne.

"Jednocześnie komunikat jasno wskazuje, że fundamentalnych zasad cyberbezpieczeństwa nie można pomijać, nawet jeśli prawo łagodzi formalności. Ataki na ICS/OT pokazują, że zagrożenie jest realne, a stawką jest nie tylko bezpieczeństwo danych, lecz ciągłość usług publicznych i fizyczne bezpieczeństwo mieszkańców" - skonkludował Kostuch.