Rządowe rekomendacje IT dla firm wodno-kanalizacyjnych

Sektor wodno-kanalizacyjny jest częścią tzw. infrastruktury krytycznej. Składają się na niego miedzy innymi oczyszczalnie ścieków, stacje uzdatniania wody, czy rurociągi. Ostatni głośny atak na tego typu instytucję był prawdopodobnie jednym z wielu czynników, które skłoniły rząd do wydania rekomendacji w zakresie cyberbezpieczeństwa dla firm sektora wodno-kanalizacyjnego.

Systemy wodno-kanalizacyjne – jak wiele obiektów infrastruktury krytycznej państw – są narażone na ataki cybernetyczne. W ostatnim czasie o tego typu incydentach zrobiło się głośno. Wszystko za sprawą sytuacji z lutego, kiedy to w Stanach Zjednoczonych zaatakowano stację uzdatniania wody. Cyberprzestępca wykorzystał niezabezpieczony zdalny pulpit do przejęcia kontroli nad systemem, który sterował składem chemicznym wody. W konsekwencji atakujący zwiększył ilości wodorotlenku sodu w wodzie do niebezpiecznych dla człowieka wartości. Atak udało się jednak wykryć i nie doszło do nieszczęścia. Tej sytuacji można było zapobiec, gdyby tylko wspomniane wodociągi posługiwały się branżowymi standardami bezpieczeństwa IT – posiadały wdrożoną politykę zarządzania hasłami, stosowały segmentację sieci oraz kontrolowały, filtrowały i zabezpieczały dostępy do sieci OT, czyli sterowników PLC i systemów SCADA.

Ta sytuacja pokazała, że w sektorze wodno-kanalizacyjnym – który jest jednym z najbardziej krytycznych- brakuje podstawowych zasad bezpieczeństwa, segmentacji sieci oraz uwypukliło globalny problem i prawdopodobnie skłoniło Departament Cyberbezpieczeństwa Kancelarii Prezesa Rady Ministrów do wydania rekomendacji dla podmiotów infrastruktury krytycznej, dotyczących ochrony przed cyberatakami.

1. Należy zmniejszyć do minimum ekspozycję sieci przemysłowej, zarówno sieci lokalnej, jak i punktów styku, poprzez identyfikację i ograniczenie do koniecznych, połączeń „z” i „do” tej sieci – ograniczamy (lub wręcz uniemożliwiamy) w ten sposób nieautoryzowane połączenia z zewnątrz.
2. Należy oddzielić systemy OT od systemów IT zorientowanych na klienta oraz monitorować i kontrolować interakcje pomiędzy tymi dwoma obszarami. Rekomendowanym rozwiązaniem jest unikanie podłączeń urządzeń przemysłowych do sieci publicznych, w szczególności Internetu.
3. W przypadku gdy zdalny dostęp jest niezbędny (np. do monitorowania i zarządzania rozległą infrastrukturą) powinien być zawsze realizowany za pomocą VPN6 z wykorzystaniem konfiguracji umożliwiającej zastosowanie uwierzytelnienia wieloskładnikowego (MFA)7 .
4. Należy dokonać przeglądu zdalnego dostępu i ograniczyć go do niezbędnego minimum, w szczególności należy zwrócić uwagę na modemy komórkowe i metody zdalnego dostępu podwykonawców.
5. Należy zmienić domyślne dane uwierzytelniające stosując dobre praktyki silnych haseł (o ile urządzenie takie hasła wspiera), na wszystkich urządzeniach, w szczególności urządzeniach posiadających interfejs webowy oraz wyłączyć niewykorzystywane konta.
6. Tam gdzie to możliwe, należy ograniczyć dostęp do VPN dla określonych adresów IP lub ich zakresów. Przykładowo gdy podmiot nie posiada współpracowników ani podwykonawców zagranicznych, rekomenduje się zastosować możliwość próby nawiązania sesji VPN tylko dla polskich adresów IP.
7. W przypadku, gdy niezbędny jest zdalny przesył danych telemetrycznych za pomocą sieci komórkowej należy korzystać z dedykowanych prywatnych APN8.
8. Należy aktualizować oprogramowanie wykorzystywanych systemów i urządzeń, w szczególności podczas planowych postojów. Przed aktualizacją należy przeprowadzić analizę potencjalnego wpływu aktualizacji na utrzymanie ciągłości działania (w szczególności aktualizacja może wprowadzać elementy, które spowodują utratę zgodności np. z oprogramowaniem niskopoziomowym) – dlatego też przed dokonaniem aktualizacji należy przetestować ją w środowisku testowym, przed zastosowaniem w środowisku produkcyjnym.
9. Należy stosować segmentację sieci - minimalnie na styku sieci przemysłowej, a preferencyjnie, zależnie od rozmiaru i złożoności zakładu, również wewnątrz.
10. Należy prowadzić okresową analizę widoczności urządzeń poprzez zewnętrzne skanowanie zakresu adresacji należącej do obiektu, czy wykorzystanie narzędzi typu Shodan.
11. Należy zgłosić osoby do kontaktu do zespołów reagowania na incydenty - CSIRT poziomu krajowego - w celu ustanowienia szybkiej ścieżki reakcji w przypadku incydentu.
12. Każde zdarzenie mające znamiona cyberataku oraz incydent bezpieczeństwa należy niezwłocznie zgłosić do właściwego zespołu CSIRT poziomu krajowego.

Jesteśmy świadkami coraz częstszych ataków na sieci przemysłowe i to już nie są drobne incydenty które przechodzą bez echa, a stały, rosnący trend, dlatego przedsiębiorstwa działające w ramach infrastruktury krytycznej muszą dostrzec konieczność stosowania odpowiednich zabezpieczeń, by nie dopuszczać w przyszłości do takich incydentów. Cieszę się, że powstała lista rekomendacji, bo to pomoże w określeniu priorytetów bezpieczeństwa w infrastrukturze wod-kan.

W jaki sposób Stormshield pomaga w realizacji tych rekomendacji? Przypomnijmy, że jest to dedykowane rozwiązanie Next Generation Firewall, które chronią, kontrolują i autoryzują ruch sieciowy oraz pozwalają bezpiecznie łączyć ze sobą oddziały i użytkowników za pomocą tuneli VPN. Dzięki monitoringowi na żywo, zaawansowanemu IDS/IPS i DPI protokołów przemysłowych takich jak S7, Modbus, UMAS, OPC Classic (DA/HDA/AE), OPC UA, EtherNet/IP, CIP, BACnet/IP, Profinet, IEC 60780-5-104, DNP3, IEC 61850 (MMS/GOOSE) są to obecnie najchętniej wybierane firewalle do zabezpieczania sieci przemysłowych.