Cyberbezpieczeństwo sektora elektroenergetycznego
Budowanie cyberbezpieczeństwa w organizacji można podzielić na kilka wzajemnie uzupełniających się obszarów. Bezpieczeństwo IT jest tylko jego bardzo istotną, ale jednak tylko częścią i skupienie się wyłącznie na niej nie wystarczy dla stworzenia odpowiedniego poziomu ochrony. Równie ważna jest strona OT oraz integracja procesu budowania cyberbezpieczeństwa z tradycyjnie pojmowaną ochroną, pogłębianie świadomości cyberbezpieczeństwa wśród pracowników, a także wykorzystanie ubezpieczeń od cyberzagrożeń, tzw. cyberpolis.
Cyberbezpieczeństwo
Według Symantec1 aż 16% wszystkich cyberataków skierowanych jest na branżę energetyczną. Zagrożenia dla infrastruktury krytycznej płynące z cyberprzestrzeni to jedno z największych wyzwań współczesnych państw. Polska znajduje się w szczególnym położeniu z uwagi na geograficzną bliskość konfliktu na Ukrainie i zaostrzenie rosyjskich działań o charakterze wojny hybrydowej na terenie całej Europy Środkowo-Wschodniej. Z tego względu nasz kraj jest wyjątkowo narażony na politycznie motywowane ataki na obiekty infrastruktury krytycznej.
Tego typu działania mogą mieć katastrofalne skutki dla zdrowia i życia ludzi, środowiska, całej gospodarki czy też bezpieczeństwa państwa, łącznie z funkcjonowaniem administracji i potencjału obronnego. Doświadczenia ostatnich lat – cyberataki na ukraińską sieć elektroenergetyczną, niemiecką hutę stali czy rurociąg BTC – pokazują, że nawet najlepiej chroniona, odizolowana od internetu infrastruktura krytyczna nie jest bezpieczna.
Cyberbezpieczeństwo elektroenergetyki - dlaczego takie ważne?
Przypadek ataku na ukraińską sieć elektroenergetyczną z 2015 r. świadczy o tym, że unieruchomienie takiej infrastruktury wyłącznie za pomocą środków cybernetycznych jest możliwe (dwa inne ataki o podobnych skutkach opisane są w ramkach – NotPetya i Stuxnet).
Uderzenie to dotknęło ponad 200 000 ludzi, którzy na kilka godzin stracili dostęp do elektryczności. Wszelkie zaburzenie pracy sektora elektroenergetycznego jest szczególnie niebezpieczne, gdyż wpływa paraliżująco na pracę innych branż i funkcjonowanie kluczowych usług. Jak wykazało badanie niemieckiego Biura Analiz Technologicznych przy niemieckim Bundestagu2, nawet krótka, ograniczona obszarowo przerwa w dostawach elektryczności może mieć katastrofalne skutki dla telekomunikacji, transportu, systemu kanalizacyjnego i wodociągowego, systemu opieki zdrowotnej i innych, prowadząc do wzrostu całkowitych strat.
Wirus, który w 2017 r. wywołał duże szkody na całym świecie. Szyfrował dyski twarde i żądał opłacenia okupu w celu uzyskania klucza deszyfrującego (atak typu ransomware). Śledztwo wykazało jednak, że pozornie ekonomicznie motywowany atak nie miał w istocie celu zarobkowego (mechanizm ściągania opłat był zaprojektowany dość prymitywnie i nie funkcjonował prawidłowo praktycznie od samego początku ataku), a najprawdopodobniej był inspirowany politycznie i obliczony na maksymalizację szkód. Epicentrum ataku była Ukraina, a jedną z ofiar padł operator sieci energetycznej Ukrenergo. Jak wykazali eksperci podczas III Europejskiego Forum Cyberbezpieczeństwa, NotPetya była testem cybernetycznych elementów wojny hybrydowej, toczonej na Ukrainie od 2014 r., a prawdziwym powodem ataku była realizacja celów politycznych³.
Zagrożenia płynące z cyberprzestrzeni dla sektora elektroenergetycznego mogą przyjmować kilka wariantów i być inicjowane z różnych źródeł. Ze względu na kluczowe znaczenie i specyfikę działania tej branży można wyszczególnić kilka typów podmiotów atakujących:
- politycznie motywowany aktor, którego celem jest sabotaż infrastruktury poprzez przerwy w funkcjonowaniu czy zniszczenie lub upokorzenie ofiary i wywołanie strat wizerunkowych,
- haktywista (z ang. Hacktivist) – aktor motywowany pobudkami moralnymi/ideologicznymi, nastawiony na nagłośnienie ataku i kompromitację ofiary,
- ekonomicznie motywowany aktor kierowany chęcią zysku, celem uzyskania korzyści finansowych (np. z okupu).
Same ataki również można podzielić na kilka typów:
- ransomware – polegający na zaszyfrowaniu dysku twardego w celu wyłudzenia pieniędzy w zamian za klucz deszyfrujący, np. NotPetya,
- BEC (z ang. Business Email Compromise) – wymierzony najczęściej w członków zarządu i osoby decyzyjne w zakresie finansowym oraz ich sekretariaty; uderzający, podszywając się najczęściej pod zwierzchnika atakowanej osoby, próbuje nakłonić ją do realizacji pilnego przelewu bankowego (np. Historia jednego e-maila – patrz ramka),
- DDoS (z ang. Distributed Denial of Service) – rozproszona odmowa usługi; polega na przeciążeniu serwera ofiary i wyłączeniu dostępu do usług świadczonych przez strony www,
- atak na ICS lub systemy SCADA – wymierzony w elementy automatyki przemysłowej w celu spowodowania fizycznych szkód i zniszczeń; tego typu atak wymaga dużych zasobów i wiedzy, lecz może wywołać bardzo poważne szkody, szczególnie wśród operatorów usług kluczowych; przykładem takiego działania jest np. Stuxnet (patrz ramka),
- APT (z ang. Advanced Persistent Threat) – skierowany i skupiony wyłącznie na konkretnym celu (w przeciwieństwie do metod oportunistycznych, realizowanych na szeroką skalę); atakujący wykorzystuje szereg metod, aby uzyskać kontrolę nad systemami ofiary.
Wirus odkryty w 2010 r., wykorzystany w historycznym ataku na irańskie zakłady wzbogacania uranu, przeprowadzonym najprawdopodobniej przez Stany Zjednoczone i Izrael, wskutek którego fizyczna infrastruktura została zniszczona wyłącznie za pomocą infekcji oprogramowania obsługującego systemy SCADA. Stuxnet był bardzo zaawansowanym narzędziem (wykorzystywał m.in. cztery różne podatności typu zero-days i zaprojektowany był z myślą o konkretnych sterownikach przemysłowych o oprogramowaniu sterowników przemysłowych Siemens Step7. Wirus dostał się do systemu najprawdopodobniej za pomocą zainfekowanego nośnika USB i w ten sposób przekroczył tzw. air gap (patrz ramka). Skutecznie zaatakował ponad 200 000 komputerów i doprowadził do fizycznego zniszczenia 1000 wirówek do gazowego wzbogacania uranu poprzez zmianę parametrów pracy urządzeń i wprowadzenie ich w rezonans.
W praktyce zdefiniowanie osoby odpowiedzialnej za atak oraz zrozumienie jej motywacji może okazać się trudne. W zależności od typu atakującego i jego pobudek zastosowane mogą być różne techniki ataku, biorące na cel różne elementy infrastruktury, procesy, osoby wewnątrz organizacji czy nawet jej kontraktorów. Z tego względu wszelkie działania ochronne powinny być realizowane na wszystkich poziomach przedsiębiorstwa oraz równolegle w sferze IT, a także OT.
Konieczne jest budowanie kultury cyberbezpieczeństwa sektora elektroenergetycznego w oparciu o holistyczne podejście, uwzględniające zarówno aspekty techniczne, operacyjne, jak i strategiczne. Istotne jest zaangażowanie w proces nie tylko personelu odpowiedzialnego za aspekty informatyczne, lecz także wszystkich pracowników na każdym szczeblu z zarządem włącznie. Traktowanie cyberbezpieczeństwa jako stałego procesu, a nie jednorazowego działania.
Przez długi czas utrzymywał się pogląd, że wystarczy odizolować sieć lokalną od internetu, aby skutecznie uchronić ją przed atakami z zewnątrz. Choć intuicyjnie wydaje się to być właściwe podejście, to jednak istnieje szereg sposobów umożliwiających uzyskanie dostępu do takiej sieci.
Jednym z nich jest atak pośredni poprzez zainfekowanie komputerów kontraktorów wykonujących okresowe przeglądy lub aktualizacje oprogramowania, a którzy muszą podłączyć się „z zewnątrz”. Inny sposób to podrzucenie zainfekowanego pendrive'a, np. na parkingu. Do bardziej wyrafinowanych metod pokonania air gap należy atak za pomocą fal akustycznych lub elektromagnetycznych, m.in. przy wykorzystaniu telefonów osób przebywających na terenie atakowanego obiektu.
Cyberbezpieczeństwo - IT i OT
Ochrona IT
Obejmuje wykorzystanie zasobów technologicznych: programów antywirusowych, konfigurację zapór sieciowych, definicji poziomów dostępów, bieżące aktualizowanie programów, wykonywanie kopii zapasowych danych oraz audytów itp. Ważne jest monitorowanie wszystkich punktów styku sieci organizacji z internetem. Oprócz warstwy czysto software'owej należy zadbać także o odpowiednią ochronę hardware'u IT, np. zabezpieczyć porty USB w komputerach pracowników przed wpinaniem lub wypinaniem dowolnych urządzeń czy np. ograniczyć dostęp do routerów.
Ochrona OT
Obejmuje bezpieczeństwo systemów przemysłowych ICS (z ang. Industrial Control Systems), takich jak SCADA, DCS, HMI, PLC, RTU, IED, SIS, sensory, przekaźniki itp. Metody ochrony i dobre praktyki w tym zakresie obejmują m.in. separację i segmentację sieci, analizę i audyt kodu dostarczanego przez kontraktorów i dostarczycieli urządzeń. Systemy automatyki przemysłowej są o tyle bardziej problematyczne od rozwiązań IT, gdyż często sprzęga się je z fizyczną aparaturą, a ich aktualizacja jest bardzo trudna lub wręcz niemożliwa. Najczęściej systemy automatyki wdrażane były wraz z instalacją fizycznego sprzętu, okres ich użytkowania jest dłuższy niż przy systemach IT (często kilkadziesiąt lat), a ich ewentualna wymiana wiąże się z przestojami w funkcjonowaniu urządzeń. Kolejny problem stwarza trend związany z proliferacją urządzeń przemysłowego Internetu Rzeczy – IIoT (z ang. Industrial Internet of Things – czyli urządzeń pomiarowych lub sterujących, połączonych z internetem, służących do szeroko rozumianej poprawy wydajności produkcji), które sprawiają, że strefy IT i OT coraz bardziej się przenikają. Wybrane metody ataku na systemy automatyki przemysłowej (ISC):
- infekcja programów ICS złośliwym oprogramowaniem,
- blokowanie danych lub przekazywanie operatorowi systemu niepełnych bądź fałszywych informacji w celu ukrycia rozwoju sytuacji albo zmuszenia go do podjęcia niewłaściwych działań,
- nieuprawnione zmiany w progach alarmowych bądź całkowite ich usunięcie,
- blokowanie lub opóźnianie przepływu informacji przez sieci ICS, skutkujące zaburzeniami jej pracy,
- nieuprawnione zmiany w poleceniach zaprogramowanych w miejscowych procesorach w celu przejęcia kontroli nad zależnościami typu master-slave pomiędzy terminalami nadrzędnymi MTU (z ang. Master Terminal Unit) a rozprowadzającymi FTU (z ang. Feeder Terminal Unit),
- przeciążanie kadry jednoczesnymi awariami w wielu systemach.
Przenikania się tradycyjnego bezpieczeństwa i cyberbezpieczeństwa
Coraz bardziej zauważalnym trendem jest zacieranie się granicy pomiędzy klasycznie pojmowanym bezpieczeństwem a cyberbezpieczeństwem. Przykładowo, rozwój technologii telewizji przemysłowej (CCTV), jaki nastąpił w ostatnich latach, pozwala na zastosowanie zaawansowanych algorytmów m.in. do rozpoznawania twarzy. Wraz z danymi z systemu elektronicznych identyfikatorów i czytników tablic rejestracyjnych na parkingach informacje takie pozwalają na tworzenie całych profili behawioralnych indywidualnych pracowników i analizowanie ich zachowań w realnym świecie.
Treści te można następnie zespolić z logami aktywności w sieci, by zbudować kompleksowy obraz sytuacji i eliminować zagrożenia wewnętrzne, tzw. Insider threats (patrz ramka). Rozwój sztucznej inteligencji i uczenia maszynowego, a także rozpowszechnienie urządzeń Internetu Rzeczy (IoT) dodatkowo zacierają granicę między światem realnym a cyfrowym, dlatego istotne jest, aby jak najwcześniej tworzyć synergię pomiędzy działaniami w obszarach tradycyjnie pojmowanego bezpieczeństwa i cyberbezpieczeństwa.
Insider threats – zagrożenia wewnętrzne. Im większa korporacja tym, większe zagrożenie sabotażem ze strony niezadowolonego pracownika. Nawet w przypadku braku złośliwych intencji, zwyczajne niedbalstwo może doprowadzić do incydentu komputerowego lub wycieku danych. Do minimalizacji tego rodzaju zagrożenia można wykorzystać technologię analityki behawioralnej UBA (z ang. User Behaviour Analytics), która analizuje wzorce zachowań człowieka, a następnie stosuje algorytmy i analizę statystyczną w celu wykrycia znaczących anomalii. Dynamiczny rozwój sztucznej inteligencji i uczenia maszynowego w ostatnich latach zdecydowanie zwiększa możliwości i zakres użycia tego typu technologii.
Budowanie świadomości cyberbezpieczeństwa
Niezwykle istotnym elementem jest budowanie świadomości cyberbezpieczeństwa wśród pracowników firmy. W zależności od szacunków, błąd ludzki jest powodem 80–90% skutecznych ataków. Są na nie narażeni wszyscy pracownicy, którzy nawet w najmniejszym stopniu wchodzą w styczność z infrastrukturą informatyczną, nie tylko dział IT. Otworzenie podejrzanego załącznika czy użycie zainfekowanego nośnika USB może wystarczyć, aby stworzyć krytyczną lukę w zabezpieczeniach. Ważne jest zatem podnoszenie świadomości pracowników w tym zakresie. Do dobrych praktyk można zaliczyć zaangażowanie zarządu w takie działania, co stwarza atmosferę solidarności w podejściu do problemu. Innym sposobem jest ustanowienie systemu zachęt i nagród, nagradzającego odpowiedzialne zachowanie pracowników. Natomiast zdecydowanie nie zaleca się karania użytkowników za niebezpieczne zachowania – nie skutkuje to wzrostem świadomości cyberbezpieczeństwa, a jedynie tworzy atmosferę niechęci i niepokoju w podejściu do zagadnienia. Przedsiębiorstwo może samodzielnie stworzyć program budowania świadomości cyberbezpieczeństwa lub skorzystać z szerokiego wachlarza gotowych usług dostępnych na rynku.
„Glen, czy mógłbyś zająć się sprawą T251. To poufna transakcja, która bierze priorytet nad całą resztą. Czy kontaktował się już z tobą Stephen Shapiro z KPMG? To bardzo poufna sprawa, więc proszę kontaktuj się ze mną wyłącznie przez tego e-maila, inaczej możemy mieć problem z SEC. Nie rozmawiaj z nikim o tej sprawie! Pozdrawiam, Gean”.
Powyższy tekst to treść e-maila, jaki w 2014 r. otrzymał Glen Wurm, dyrektor finansowy Ameriforge Group, od atakującego podającego się za jego szefa – CEO firmy. Na pierwszy rzut oka polecenie powinno podnieść kilka czerwonych flag, jednak kilkadziesiąt minut po otrzymaniu e-maila, Glen dostał telefon z potwierdzeniem od Stephena i zrealizował przelew na 480 000 dolarów, którego odbiorcą był Agricultural Bank of China. Kiedy polecenie okazało się być fałszywe, pieniądze zostały już wytransferowane za granicę i wszelki ślad po nich zaginął. Atakujący wykazał się w tym przypadku doskonałą znajomością procesów, także nieformalnych, opartych na stopniu zażyłości pracowników firmy. Czytając jednak treść tego e-maila, wydaje się, że wpadki można byłoby łatwo uniknąć, gdyby w firmie postawiono na rozwój świadomości i odpowiednie szkolenia w zakresie cyberbezpieczeństwa.
CERT – wyspecjalizowany zespół reagowania na incydenty komputerowe
Realizację ww. postulatów w zakresie ochrony cybernetycznej pomaga ustanowienie CERT-u (z ang. Computer Emergency Response Team). To wyspecjalizowany zespół reagowania na incydenty z obszaru bezpieczeństwa IT, mający także na celu przeciwdziałać im i rozwiązywać powstałe w ich wyniku problemy, identyfikować źródła czy podnosić stopień skuteczności zabezpieczeń w organizacji. W idealnym scenariuszu w skład CERT-u wchodzić powinni specjaliści obejmujący szeroki zakres kompetencji: m.in. informatyka śledcza, inżynieria wsteczna czy bezpieczeństwo automatyki przemysłowej. Należy tutaj zaznaczyć, że utworzenie i utrzymanie CERT-u jest dużym wyzwaniem (choćby ze względu na trudność pozyskania specjalistów o odpowiednich kwalifikacjach) i znajduje zastosowanie jedynie w przypadku dużych podmiotów (w polskim sektorze elektroenergetycznym CERT istnieje m.in. w Polskich Sieciach Elektroenergetycznych i ENERDZE). Z tego względu powstaje szereg usług, takich jak outsourcing usług CERT lub SOC (z ang. Security Operations Center) lub korzystanie z tzw. SOC nowej generacji. Istnieje szereg instytucji zrzeszających CERT-y w ramach sektorów czy regionalnie. Ich zadaniem jest wymiana informacji między zespołami, koordynacja wzajemnego ostrzegania o zagrożeniach oraz podnoszenie kwalifikacji poprzez wspólne szkolenia i wymianę dobrych praktyk.
Cyberpolisy na cyberbezpieczeństwo
Od niedawna do elementów nowoczesnej polityki bezpieczeństwa przedsiębiorstwa można włączyć cyberpolisy. W przypadku wystąpienia ataku i powstania konkretnych szkód odpowiednia polisa będzie kluczem do zachowania ciągłości działania. Cyberpolisa może mieć także istotny potencjał zapobiegawczy, kiedy w skład kompleksowej usługi wchodzą audyty, ocena ryzyka, optymalizacja procesów związanych z bezpieczeństwem i zarządzaniem ryzykiem, szkolenia czy doradztwo.
Problem zwrotu z inwestycji w cyberbezpieczeństwo
Istotnym, choć niewidocznym na pierwszy rzut oka, problemem w budowaniu cyberbezpieczeństwa w dużych korporacjach jest trudność wykazania zwrotu z inwestycji. Działania tego typu konkurują z przedsięwzięciami skierowanymi w rozwój biznesu. Koszty przeznaczone na jego wdrażanie i rozwój, a w szczególności na zatrudnienie wykwalifikowanych specjalistów nie mają bezpośredniego przełożenia na wydajność produkcji czy przychody przedsiębiorstwa. Ich uzasadnienie opiera się na starannej ocenie ryzyka, którą niełatwo przeprowadzić w obliczu ciągle ewoluującego wachlarza zagrożeń, często pojawiających się w zupełnie nowych miejscach. Straty związane z wystąpieniem incydentów również są trudne do oszacowania. Przykładowo, Kaspersky wycenił średnią stratę w wyniku incydentu komputerowego w sektorze średnich i małych przedsiębiorstw na 38 000 dolarów. Z kolei inne badanie, przeprowadzone przez rząd brytyjski oraz PwC, ustaliło tę wartość na kwotę 112 000–466 000 dolarów. Dodatkowo na te kalkulacje mają wpływ regulacje unijne, jak np. o ochronie danych osobowych (RODO) czy dotyczące bezpieczeństwa sieci i informacji (Dyrektywa NIS).
Fundusz, w ramach którego firma przeznacza część środków na inwestycje w zewnętrzne start-upy w zamian za udział kapitałowy. Jest to atrakcyjny model współpracy przy rozwoju nowatorskich rozwiązań, np. w dziedzinie cyberbezpieczeństwa, który angażuje minimum zasobów osobowych po stronie firmy (co jest szczególnie ważne wziąwszy pod uwagę lukę zatrudnienia wśród specjalistów tej branży) oraz pozwala brać udział w procesie rozwoju produktów i usług start-upu i dostosowywania ich do potrzeb korporacji.
Nowe unijne prawodawstwo w zakresie cyberbezpieczeństwa – NIS i RODO
Dyrektywa Parlamentu Europejskiego i Rady dotycząca bezpieczeństwa sieci i informacji z dnia 6 lipca 2016 r. definiuje operatorów dostawców usług kluczowych (w tym sektor elektroenergetyczny) i nakłada na nich szereg obowiązków w kwestii cyberbezpieczeństwa, m.in. w zakresie raportowania incydentów komputerowych, a także w charakterze i wysokości kar nakładanych na podmioty niestosujące się do wymogów prawa. Dyrektywa ma charakter ogólny i wymaga implementacji na poziomie krajowym – w Polsce rolę tę ma pełnić ustawa o krajowym systemie cyberbezpieczeństwa. Regulacje o ochronie danych osobowych to rozporządzenie unijne, obowiązujące z pełną mocą od 25 maja 2018 r. Prawodawstwo ma charakter bezpośredni i nie wymaga implementacji na poziomie krajowym. Nakłada szereg restrykcji i obowiązków na wszystkie podmioty przetwarzające dane osobowe i ustanawia kary za niedostosowanie się do przepisów (górny limit to 20 mln euro lub 4% obrotu światowego).
Oba akty prawne w znaczący sposób zwiększają odpowiedzialność podmiotów gospodarczych za zapewnienie właściwego poziomu cyberbezpieczeństwa swojej działalności. Jakościową zmianą jest zdefiniowanie zakresu odpowiedzialności i ustanowienie systemu sankcji w przypadku zaniechania obowiązków. Jednakże, jak rekomenduje raport Instytutu Kościuszki „Cyberbezpieczeństwo polskiego przemysłu – sektor energetyczny”, dyrektywę NIS należy traktować jedynie jako zestaw niezbędnych minimalnych wymagań. Podmioty muszą rozwijać cyberbezpieczeństwo w oparciu o wewnętrzną ocenę ryzyka i ciągle aktualizowany obraz zagrożeń. Procedury postępowania w przypadku wystąpienia incydentu powinny wynikać z własnej wiedzy i doświadczeń.
Cyberbezpieczeństwo sektora elektroenergetycznego - podsumowanie
Sektor elektroenergetyczny to jeden z kluczowych obszarów gospodarki, a jego ochrona powinna stanowić fundament bezpieczeństwa współczesnego państwa. W wyniku rozwoju systemów informatycznych i cyfryzacji procesów przemysłowych przedsiębiorstwa energetyczne znalazły się w zasięgu nowego rodzaju niebezpieczeństw, którym muszą stawić czoła. Zagrożenia cybernetyczne stojące przed operatorami infrastruktury krytycznej, a w szczególności przed sektorem elektroenergetycznym, są złożone, a ich zakres wybiega daleko poza tradycyjnie pojmowane bezpieczeństwo oprogramowania IT. Zagadnienie to obejmuje także hardware IT oraz wkracza coraz bardziej w tradycyjnie pojmowane bezpieczeństwo fizyczne.
Budowanie cyberbezpieczeństwa to proces, a nie pojedyncza inwestycja. Wymaga zaangażowania wszystkich pracowników w proces podnoszenia świadomości. Cyberbezpieczeństwo jest znacznie bardziej regulowaną dziedziną. Za sprawą prawodawstwa unijnego, a także krajowego, dbanie o nie stało się obowiązkiem prawnym obarczonym odpowiednimi sankcjami.
Przypisy
1. Symantec: Targeted Attacks Against the Energy Sector.
2. What happens during a blackout, Office of Technology Assessment at the German Bundestag, 2011.
3. CYBERSEC 2017 Recommendations, Instytut Kościuszki, 2017 r. (https://cybersecforum.eu/pl/rekomendacje-2017).
Artykuł ukazał się w publikacji „Sektor Elektroenergetyczny”
Zobacz e-wydanie