Cyberwojna już trwa. Co grozi Polsce i jak się chronić? "Obserwujemy nasilenie działań o charakterze hybrydowym"

Z tego powodu obiekty zaliczane do infrastruktury krytycznej muszą dzisiaj poświęcić równie dużo uwagi zabezpieczaniu nie tylko systemów IT, ale też fizycznych urządzeń. Ze względu na ich złożoność i postępującą integrację środowisk IT (Information Technology) i OT (Operational Technology), nawet niewielkie urządzenie z dostępem do internetu, np. z kategorii przemysłowego internetu rzeczy (IIoT — industrial internet of things) może stać się furtką, przez którą napastnicy dostaną się do systemu całego przedsiębiorstwa. — W obliczu wojny w Ukrainie jest to szczególnie niebezpieczne, bo w ostatnich tygodniach obserwujemy nasilenie działań o charakterze hybrydowym w Europie, w tym cyberataków, ze strony Rosji — mówi Chester Wisniewski. Jakie zagrożenia należą do tych najpoważniejszych?

Zobacz także: AI będzie dobra dla człowieka, czy jednak więcej z niej szkody niż pożytku? Pięć za i przeciw

Systemy SCADA muszą działać

Ataki na systemy SCADA (Supervisory Control and Data Acquisition) stanowią jedno z najpoważniejszych zagrożeń dla infrastruktury krytycznej. Powód? SCADA jest ważnym elementem w zarządzaniu i monitorowaniu procesów przemysłowych. Systemy tego rodzaju kontrolują i zbierają dane z instalacji przemysłowych takich jak elektrownie, wodociągi, systemy dystrybucji gazu, rafinerie oraz linie produkcyjne. W Polsce atak na SCADA mógłby mieć dramatyczne konsekwencje dla funkcjonowania społeczeństwa.

Gdy system SCADA zostanie zaatakowany, cyberprzestępcy mogą przejąć kontrolę nad procesami przemysłowymi, co może prowadzić do zatrzymania produkcji, uszkodzenia sprzętu lub nawet do katastrof ekologicznych i przemysłowych. Na przykład przejęcie kontroli nad siecią energetyczną mogłoby spowodować rozległe awarie zasilania, co miałoby bezpośredni wpływ na szpitale, transport, komunikację oraz inne kluczowe usługi publiczne. W przypadku wodociągów atak mógłby zakłócić dostarczanie czystej wody, prowadząc do problemów zdrowotnych i sanitarnych.

W Polsce infrastruktura krytyczna obejmuje sektory takie jak energetyka, transport, wodociągi, gazociągi i przemysł chemiczny. Atak na SCADA w którymkolwiek z tych sektorów mógłby prowadzić do poważnych zakłóceń w życiu codziennym obywateli oraz funkcjonowaniu gospodarki.

Aby chronić systemy SCADA przed takimi zagrożeniami, konieczne są wielowarstwowe strategie bezpieczeństwa. Przede wszystkim potrzebna jest implementacja silnych mechanizmów kontroli dostępu. Obejmuje to zarówno uwierzytelnianie użytkowników, jak i kontrolę dostępu na poziomie sieci, aby zapobiec nieautoryzowanemu dostępowi do systemów SCADA. Kolejnym istotnym elementem jest regularne aktualizowanie oprogramowania i systemów operacyjnych, co pomaga w eliminacji znanych luk bezpieczeństwa, które mogą być wykorzystywane przez cyberprzestępców.

W obliczu ryzyka cyberataków na obiekty o znaczeniu krytycznym konieczne jest zadbanie o ciągłość ich działania za pomocą systemów zasilania bezprzerwowego (UPS) — mówi Business Insiderowi Krzysztof Krawczyk, senior application engineer w firmie Vertiv. — Umożliwiają one kontynuowanie działalności nawet w obliczu przerwy w dostawie prądu, spadków napięcia lub innych zakłóceń. Zasilacze UPS zapewniają bezpieczne zasilanie rezerwowe podłączonego do sieci energetycznej sprzętu elektronicznego. Wyposażone są w akumulator, który jest stale ładowany podczas jego nieużywania i dzięki temu jest gotowy do zapewnienia zasilania rezerwowego w sytuacjach takich jak spadki mocy i przepięcia, przerwy w zasilaniu czy ograniczenia w dostawie energii — dodaje. Pracę takiego zasilacza można monitorować zarówno zdalnie, jak i lokalnie, co pomaga personelowi w zarządzaniu stanem baterii i przewidywaniu terminów ich wymiany. Powiadomienia alarmowe, przekazywane zarówno pocztą elektroniczną, jak i SMS-em, informują obsługę o wszelkich problemach z zasilaniem, przez co przyspieszają reakcję na problemy z urządzeniami.

Zobacz także: Miliarder optuje za wprowadzeniem bezwarunkowego dochodu podstawowego. Oto jego pomysł

Inną strategią jest segmentacja sieci, która ogranicza dostęp do krytycznych części infrastruktury tylko do niezbędnych systemów i użytkowników. To podejście minimalizuje ryzyko, że atak na jedną część sieci wpłynie na cały system. Monitorowanie i analiza ruchu sieciowego pozwala na szybkie wykrycie anomalii, które mogą wskazywać na próby włamania lub atak. Wprowadzenie systemów wykrywania włamań (IDS) i systemów zapobiegania włamaniom (IPS) umożliwia z kolei aktywną ochronę przed zagrożeniami.

Blokada dostępu i żądanie okupu

Ataki ransomware polegają na zaszyfrowaniu danych ofiary i żądaniu okupu za ich odblokowanie. Ransomware może infekować systemy poprzez różne wektory ataku, takie jak phishing, złośliwe załączniki e-mail, exploity w oprogramowaniu lub przez bezpośrednie ataki na sieci. W kontekście infrastruktury krytycznej, takiej jak szpitale, sieci energetyczne, systemy transportowe czy instytucje finansowe, ataki ransomware mogą wywołać poważne zakłócenia w funkcjonowaniu kluczowych usług, co bezpośrednio wpływa na codzienne życie społeczeństwa.

W Polsce atak ransomware na szpitale może uniemożliwić dostęp do elektronicznych kart pacjentów, blokując systemy niezbędne do diagnozowania i leczenia pacjentów. W ekstremalnych przypadkach może to prowadzić do opóźnień w opiece medycznej, co może skutkować zagrożeniem życia pacjentów. Atak na systemy energetyczne mógłby zaś spowodować przerwy w dostawach prądu, co wpłynęłoby na szeroką gamę usług, od oświetlenia i ogrzewania po operacje przemysłowe i usługowe. Przerwy w dostawach energii mogą również wpływać na funkcjonowanie innych systemów krytycznych, takich jak komunikacja i transport.

W przypadku sektora transportowego ransomware może zakłócić operacje kolei, lotnisk czy portów, powodując opóźnienia w dostawach towarów i ruchu pasażerskim. To może mieć znaczące konsekwencje ekonomiczne, prowadząc do opóźnień w łańcuchach dostaw, strat finansowych i zakłóceń w codziennym życiu obywateli. W sektorze finansowym ataki ransomware mogą zablokować dostęp do kluczowych systemów bankowych, co może prowadzić do przerw w usługach finansowych, takich jak transakcje płatnicze, wypłaty gotówki czy obsługa klientów.

— Zapewnienie ciągłości działania firm jest coraz trudniejsze. W ostatnich latach wzrosła liczba ryzyk, z którymi biznes musi sobie radzić. Wśród nich można wymienić zagrożenia cybernetyczne, ale też fizyczne. Niestety, mimo że poziom bezpieczeństwa jest coraz wyższy, to wiele firm nie jest właściwie przygotowanych na zagrożenia dla ich infrastruktury krytycznej. Znajdują się one na różnym etapie dojrzałości, co przekłada się na różny poziom stosowanych zabezpieczeń. Bezpieczeństwo także kosztuje, co sprawia, że nie wszystkie przedsiębiorstwa na nie stać — mówi Business Insiderowi Łukasz Nowacki, business development manager w firmie NTT DATA Business Solutions.

Podkreśla, że to dlatego rośnie rola firm, które specjalizują się w tworzeniu infrastruktury IT dla przedsiębiorstw i przejmują na siebie ryzyko awarii. — Stosują one najnowsze zabezpieczenia przeciwpożarowe, mają dostęp do wielu niezależnych dostawców energii czy internetu i środki służące nie tylko bezpiecznemu przechowywaniu i przetwarzaniu danych, ale również świadczą usługi, które w szybki sposób potrafią przywrócić kluczowe procesy biznesowe dla prowadzenia dalszej działalności w przypadku incydentów — tłumaczy.

Aby chronić się przed atakami ransomware, konieczne jest też wdrożenie kompleksowych strategii cyberbezpieczeństwa. Podstawową metodą ochrony jest regularne tworzenie kopii zapasowych danych oraz ich bezpieczne przechowywanie w miejscach odseparowanych od głównych systemów. Kopie zapasowe powinny być również regularnie testowane, aby zapewnić ich skuteczność w przypadku odzyskiwania danych po ataku. Ważnym elementem jest także aktualizacja oprogramowania i systemów operacyjnych, co pomaga w eliminacji luk bezpieczeństwa, które mogą być wykorzystane przez ransomware.

Groźne ataki DDoS

Distributed Denial of Service (DDoS) to jedne z najbardziej destrukcyjnych cyberataków, które polegają na przeciążeniu sieci, serwerów lub aplikacji dużą ilością ruchu z wielu rozproszonych źródeł. Celem tych ataków jest uniemożliwienie normalnego funkcjonowania usługi poprzez zajęcie wszystkich dostępnych zasobów systemu, co prowadzi do jego niedostępności dla prawdziwych użytkowników.

W Polsce ataki DDoS mogą mieć poważne konsekwencje dla funkcjonowania różnych sektorów infrastruktury krytycznej. W przypadku sektora finansowego atak na systemy bankowe lub giełdy mógłby uniemożliwić przeprowadzanie transakcji, wypłaty gotówki czy korzystanie z usług online. Takie zakłócenia mogą prowadzić do paniki wśród klientów, utraty zaufania do instytucji finansowych oraz poważnych strat ekonomicznych.

W sektorze energetycznym ataki DDoS na systemy zarządzania sieciami mogą zaś powodować przerwy w dostawach energii, co wpłynie na funkcjonowanie przemysłu, szpitali, instytucji publicznych i gospodarstw domowych. Przerwy w dostawie prądu mogą prowadzić do opóźnień w produkcji, problemów z ogrzewaniem czy chłodzeniem oraz zakłóceń w funkcjonowaniu urządzeń medycznych, co bezpośrednio zagraża zdrowiu i życiu obywateli.

Jeśli chodzi o ataki DDoS, Piotr Biczyk, członek AI Chamber i CTO QED Software, zauważa, że takie ataki mogą sprawić, że konkretne usługi szybko przestaną być dostępne. — Nagle może się okazać, że użyteczna aplikacja mObywatel jednak nie zastąpi fizycznego dowodu. Albo, że bez pliku banknotów w kieszeni nie kupimy pieczywa lub że nie będziemy w stanie zrealizować recepty, ponieważ dany system zostanie zaatakowany i będzie niedostępny — mówi Business Insiderowi.

Ważnym elementem ochrony jest zastosowanie systemów detekcji i zapobiegania atakom DDoS, które mogą automatycznie identyfikować i blokować złośliwy ruch. Takie systemy mogą wykorzystywać zaawansowane algorytmy analizy ruchu sieciowego oraz mechanizmy filtrowania, które pozwalają na oddzielenie legalnego ruchu od złośliwego.

Sabotaż systemów finansowych

Sabotaż systemów finansowych jest poważnym zagrożeniem dla stabilności ekonomicznej i społecznej kraju. Ataki tego typu mogą obejmować różne działania, takie jak przejęcie kontroli nad systemami bankowymi, kradzież środków finansowych, manipulowanie danymi finansowymi, zakłócanie systemów płatności czy blokowanie dostępu do kluczowych usług finansowych. W Polsce taki sabotaż mógłby mieć dalekosiężne konsekwencje, wpływając na funkcjonowanie zarówno instytucji finansowych, jak i całego społeczeństwa.

Jacek Zarzycki, business development manager w firmie Eaton, zauważa, że nawet niewielkie przestoje w działaniu krytycznych systemów mogą skutkować ogromnymi stratami finansowymi i zagrozić bezpieczeństwu ludzi. — Dlatego należy zacząć od budowania świadomości o zagrożeniach wśród obsługujących je pracowników i procedur postępowania w przypadku ataku. Każdy zakład infrastruktury krytycznej powinien dokładnie analizować, jakie urządzenia są podłączone do sieci, odpowiednio zarządzać dostępem do nich oraz wdrażać wielostopniowe autoryzacje logowania — mówi Business Insiderowi ekspert z firmy Eaton.

Sabotaż systemów płatności, takich jak sieci kart płatniczych czy systemy transferów bankowych, może uniemożliwić realizację codziennych transakcji przez obywateli i przedsiębiorstwa. Takie systemy są na ogół bardzo dobrze zabezpieczone, niemniej przerwy w działaniu mogą prowadzić do problemów z zakupem towarów i usług, wypłatami z bankomatów, a nawet płatnościami online, co znacząco utrudnia codzienne funkcjonowanie społeczeństwa.

Aby zapewnić odpowiednie bezpieczeństwo zarówno w kontekście systemów finansowych, jak i szeroko pojętej infrastruktury krytycznej, potrzebne są systemy zarządzania ryzykiem i regularne przeprowadzanie audytów bezpieczeństwa oraz testów penetracyjnych, które pozwalają na identyfikację i eliminację potencjalnych słabości. Wprowadzenie polityk silnego uwierzytelniania, takich jak wieloskładnikowe uwierzytelnianie, zwiększa bezpieczeństwo dostępu do systemów i minimalizuje ryzyko przejęcia kont przez cyberprzestępców.

— Sytuacja za wschodnią granicą Polski, a także wydarzenia ostatnich dni — pożar centrum handlowego w Warszawie — pokazują, jak istotne jest przygotowanie kraju, firm i obywateli na różnorakie zagrożenia — mówi Business Insiderowi Grzegorz Bernatek, lead TMT analyst w firmie Audytel. — W Ministerstwie Cyfryzacji trwają finalne prace nad nowelizacją Ustawy o Krajowym Systemie Cyberbezpieczeństwa, w ramach której mają zostać zaimplementowane wymagania znowelizowanej Dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii (tzw. NIS2). Na podmioty udostępniające kluczowe usługi cyfrowe oraz zarządzające infrastrukturą krytyczną nałożone będą większe niż dotychczas wymagania w zakresie zarządzania, obsługi i ujawniania luk w zabezpieczeniach, testowaniu poziomu cyberbezpieczeństwa oraz efektywnym wykorzystywaniu szyfrowania — dodaje.

Grzegorz Bernatek wskazuje też, że z punktu widzenia pozostałego biznesu warto szukać rozwiązań i wdrażać mechanizmy zwiększające odporność na zagrożenia hybrydowe. — Pomóc może tu w dużej mierze wdrażanie norm odpowiedzialnych za ciągłość działania (ISO 22301), bezpieczeństwo informacji (ISO 27001) oraz zarządzanie ryzykiem (ISO 31000). Ponieważ zapewnienie bezpieczeństwa jest procesem ciągłym, pozwalają one na wdrożenie mechanizmów odporności i reakcji na incydenty, adekwatnych do ryzyka specyficznego dla danej organizacji — przekonuje.

Zobacz także: Ameryka zapada się w nowym rodzaju hazardu. Młodzi, znudzeni faceci trwonią fortuny

Czego uczą nas przykłady ze świata?

Systemy OT często były odizolowane od systemów IT, ale wraz z postępem technicznym coraz więcej zakładów zaczęło integrować te środowiska. Spowodowało to rozszerzenie obszaru, w którym możliwe jest przeprowadzenie cyberataku ze względu na pojawienie się inteligentnych liczników, czujników oraz rozwój automatyzacji i przemysłowego internetu rzeczy.

— W tej sytuacji cyberbezpieczeństwo musi być traktowane priorytetowo — zauważa w rozmowie z Business Insiderem Robert Dąbrowski, szef zespołu inżynierów Fortinet w Polsce. I dodaje: — Jest to szczególnie ważne, ponieważ następstwa ataków na takie systemy mogą stanowić niezwykłe niebezpieczeństwo. Przykładowo w Oldsmar na Florydzie przestępca włamał się do systemu kontroli zakładu wodociągowego i podniósł dawkę wodorotlenku sodu do toksycznego poziomu. Na szczęście operator zakładu wodociągowego na miejscu szybko zauważył problem i zapobiegł jego wystąpieniu.

Podobne incydenty miały miejsce np. w San Francisco Bay Area, w wyniku czego usunięto programy uzdatniania wody, a w październiku 2021 r. były pracownik przyznał się do manipulowania systemem komputerowym w zakładzie uzdatniania wody pitnej w stanie Kansas, co doprowadziło do zamknięcia zakładu.

Konsekwencje cyberataku na systemy wodno-kanalizacyjne mogą dotyczyć nie tylko zdrowia publicznego, ale również spowodować szkody dla środowiska. — W przedsiębiorstwach zaliczanych do infrastruktury krytycznej oraz u operatorów ISP obsługujących te firmy konieczne są więc dalsze inwestycje, które będą miały na celu wzmocnienie odporności systemów OT/IT na ataki, a także zbudowanie wśród personelu tych podmiotów wiedzy na temat tego, w jaki sposób identyfikować potencjalne zagrożenia oraz jak na nie zareagować — podkreśla Robert Dąbrowski.

— Brak odpowiednich rozwiązań i strategii cyberbezpieczeństwa w przestrzeni publicznej może doprowadzić do paraliżu całych sektorów usług publicznych. Szczególnie że wiele elementów infrastruktury krytycznej można zakłócać pośrednio, nie atakując centralnej jednostki — np. w Ukrainie sygnał GPS z podstacji elektrowni był zagłuszany przez działania rosyjskiego wojska, co powodowało przerwy w dostawach prądu — mówi Business Insiderowi Przemysław Kania, dyrektor generalny Cisco w Polsce.

— W Polsce cyberbezpieczeństwo ma się najlepiej w kluczowych sektorach, które mają newralgiczne znaczenie dla kraju. Cisco często współpracuje z wojskiem, policją czy Strażą Graniczną przy tworzeniu zróżnicowanych projektów na rzecz cyberbezpieczeństwa. Inaczej sytuacja wygląda w jednostkach administracji lokalnej — tam najczęściej po prostu brakuje odpowiednich funduszy i należytej wiedzy, by zadbać o wszystkie najważniejsze elementy cyberbezpieczeństwa — dodaje.

Rośnie zagrożenie, ale są też lepsze mechanizmy obrony

Tymczasem cyberbezpieczeństwo to jeden z obszarów najbardziej dotkniętych rewolucją AI, która napędza nie tylko rozwój technologii cyberbezpieczeństwa, ale niestety pozwala też na przygotowanie coraz bardziej wiarygodnych przynęt phishingowych, włącznie z klonowaniem głosu. Standardowe operacje cyberprzestępców na zlecenie obcych rządów (tak zwane APT – Advanced Persistant Threats) mają na celu dostanie się do kluczowych systemów, wykradanie informacji oraz czekanie na okazję, kiedy będzie można wyrządzić jak najwięcej szkód.

— Często są to ataki wymierzone w zwykłych pracowników firm czy administracji, w celu przechwycenia ich danych logowania do systemu danej organizacji — zauważa dla Business Insidera Przemysław Kania z Cisco. — Jeśli chodzi o skutki tych ataków, to z punktu widzenia codziennego funkcjonowania mieszkańców nie powinny one być przesadnie uporczywe. Scenariusze rodem z filmów hakerskich, w których jedną linijką kodu przestępcy paraliżują całe gospodarki, raczej nam nie grożą. Najczęściej, jeśli działaniom w cyberprzestrzeni nie towarzyszą operacje militarne, celem ich jest szpiegostwo, kradzież specjalistycznej wiedzy, czy wymuszenie środków finansowych od zaatakowanej organizacji — tłumaczy.

Należy więc pamiętać o należytym, spójnym (a nie punktowym) zabezpieczeniu kluczowych systemów, a dostęp do zasobów powinien być gwarantowany zgodnie ze strategią Zero Trust. Jednym z najważniejszych obecnie rozwiązań cyberbezpieczeństwa jest uwierzytelnianie wieloskładnikowe, ale w przypadku najważniejszych obszarów nawet ono może okazać się niewystarczające. — Potrzebne są rozwiązania takie jak XDR (Extended Detection and Response), które wspomagają oddziały cyberbezpieczeństwa w codziennej pracy — mówi szef Cisco.

Żyjemy w rzeczywistości, gdy z roku na rok zwiększa się zależność od rozwiązań technologicznych. — Byłoby nierozsądne niebranie ich pod uwagę przy tworzeniu modelu zagrożeń i zapewnienia bezpieczeństwa. Każda automatyzacja wprowadza nowy wektor ataku — podkreśla Piotr Biczyk z QED Software. — Przykłady można mnożyć. Optymalizacja globalnego łańcucha dostaw, który się łamie w przypadkach takich jak ograniczenia Covidowe czy wypadek w Kanale Sueskim. Albo wprowadzanie powszechnych transakcji bezgotówkowych, łamiących się przy atakach na infrastrukturę informatyczną — tu przytoczę przykład Estonii i rosyjskich ataków na infrastrukturę bankową. Przestępcy mogą obecnie wykorzystywać nowe wektory ataku na kilka sposobów — ostrzega ekspert, dodając, że szczególnie niebezpieczne są te mające na celu sianie zamętu poprzez dezinformację.

— Specjaliści od cyberbezpieczeństwa pracują nad wykrywaniem i przewidywaniem ataków. Używają też do tego sztucznej inteligencji, ale przed wszystkimi atakami nas nie uchronią. To na nas samych spoczywa odpowiedzialność, jak będziemy przygotowani na to, że "internet się wyłączy", "zniknie prąd", czy "zniknie mój dysk z danymi" — dodaje Piotr Biczyk, co sugeruje, że każdy obywatel powinien na własną rękę podszkolić się z cyberbezpieczeństwa. Zwłaszcza w obecnych czasach.

Autor: Grzegorz Kubera, dziennikarz Business Insider Polska