Cyberataki na infrastrukturę krytyczną w Polsce – zagrożenia dla systemów ICS/OT

Ataki na systemy ICS/OT są coraz bardziej wyrafinowane. Zaniepokojenie budzi także ich rosnąca liczba, stąd m.in. komunikat opublikowany przez Krzysztofa Gawkowskiego, Pełnomocnika Rządu do spraw Cyberbezpieczeństwa.

Komunikat zawiera zalecenia dotyczące ochrony instalacji przemysłowych nadzorowanych przez Jednostki Samorządu Terytorialnego oraz inne podmioty publiczne. Całość oczywiście ma służyć skuteczniejszej ochronie infrastruktury krytycznej w kraju.

W ostatnich 12 miesiącach odnotowano kilkukrotne ataki na systemy ICS/OT w Polsce. Często są przeprowadzane przez aktywistów, którzy chcą zwrócić uwagę mediów na swoje działania. Nie zmienia to faktu, że wrogie działania prowadzone są także przez grupy hakerskie działające na zlecenie. Eksperci Check Point Research odnotowali wyraźny wzrost działalności hakerskiej motywowanej politycznie lub społecznie (to tzw. hacktywizm). Rządy różnych krajów wykorzystują hacktywizm jako sposób na pośrednie atakowanie przeciwników, szczególnie w kontekście konfliktów takich jak wojna rosyjsko-ukraińska i konflikt Izrael-Hamas. Na przykład prorosyjska grupa hakerska NoName057(16) przeprowadziła skoordynowane ataki DDoS na kluczowe firmy transportowe w Polsce, takie jak Autostrada Wielkopolska S.A. oraz Gdańsk Transport Company. Ataki te spowodowały utrudnienia w korzystaniu z usług, takich jak płatności za przejazdy oraz dostęp do aktualnych informacji o stanie dróg.

W 2023 roku CERT Polska zarejestrował 80 267 unikalnych incydentów cyberbezpieczeństwa, co stanowi ponad dwukrotny wzrost w porównaniu z rokiem poprzednim. W 2024 roku trend ten utrzymywał się, z atakami skierowanymi m.in. na instytucje państwowe, medyczne oraz sektor prywatny

Ataki często są prowadzone poprzez sieci komórkowe, co utrudnia kontakt z właścicielami systemów. Urządzenia ICS/OT są dostępne z internetu, co siłą rzeczy wystawia je na ryzyko. Stąd komunikat pełnomocnika. Jego celem jest zwrócenie uwagi instytucji odpowiedzialnych za funkcjonowanie obiektów przemysłowych oraz infrastruktury krytycznej. Komunikat Krzysztofa Gawkowskiego jest w istocie listą zaleceń i dobrych praktyk, których przestrzeganie ma zminimalizować ryzyko ataku oraz jego ewentualne konsekwencje.

Podobne rekomendacje wydał także CERT Polska w maju 2024 roku. Eksperci kategorycznie odradzają bezpośrednie połączenie z Internetem jakichkolwiek systemów umożliwiających sterowanie procesem przemysłowym, nawet jeśli wydaje się, że jest on skonfigurowany w trybie tylko do odczytu. Oznacza to, że:

• Nie należy umożliwiać bezpośredniego zdalnego połączenia z wykorzystaniem protokołów takich jak VNC czy RDP oraz oprogramowania do zdalnego wsparcia technicznego.
• Nie należy umożliwiać bezpośredniego zdalnego dostępu do panelu WWW systemów sterowania i wizualizacji, nawet jeśli stosowane jest silne hasło,
• Nie należy udostępniać portów, na których działają protokoły przemysłowe – w szczególności umożliwiające konfigurację urządzenia.

Jeśli do odczytu lub sterowania procesem wymagany jest zdalny dostęp, należy skorzystać z VPN z wieloskładnikowym uwierzytelnianiem. Dotyczy to również małych instalacji, które najczęściej padają ofiarą ataków.

Ataki coraz częstsze

W lipcu 2024 roku rosyjskie grupy hakerskie przeprowadziły ataki DDoS na polską infrastrukturę krytyczną, motywowane propozycją polskiego rządu dotyczącą zestrzeliwania rosyjskich rakiet na terytorium Ukrainy.  W 2022 roku odnotowano 40 tysięcy incydentów cyberbezpieczeństwa w Polsce, a w 2023 roku liczba ta wzrosła do 80 tysięcy. Nie powinno dziwić, że rok później liczba ataków, zwłaszcza na naszą infrastrukturę krytyczną, wzrosła.

Atakom na systemy ICS/OT towarzyszą także działania wymierzone w systemy SCADA (Supervisory Control And Data Acquisition), czyli automatyki przemysłowej. Systemy te pracują w zakładach w różnych gałęziach przemysłu, takich jak energetyka, wodociągi, transport czy produkcja. Ich sprawne funkcjonowanie jest kluczowe dla funkcjonowania infrastruktury krytycznej. Dlatego są na celowniku różnej maści cyberprzestępców.

W 2024 roku miało miejsce wiele incydentów cyberbezpieczeństwa, które dotknęły zarówno polskie, jak i międzynarodowe organizacje.

Awaria CrowdStrike i bezpieczeństwo łańcucha dostaw

19 lipca 2024 roku doszło do globalnej awarii oprogramowania CrowdStrike Falcon, które służy do ochrony punktów końcowych. Incydent spowodował pojawienie się tzw. “niebieskich ekranów śmierci” na około 8,5 miliona komputerów z systemem Windows. Choć nie był to atak hakerski, a błąd w oprogramowaniu, zdarzenie to uwypukliło znaczenie solidnych zabezpieczeń w łańcuchu dostaw oprogramowania.

W czerwcu 2024 roku miał miejsce atak na łańcuch dostaw pollyfill.io, narzędzia wykorzystywanego do implementacji nowych funkcji w starszych przeglądarkach. Przejęcie witryny przez chińskich inwestorów skutkowało przekierowaniami na niepożądane strony, co dotknęło ponad 100 tysięcy serwisów internetowych.

Ataki na polską administrację publiczną

Polska administracja publiczna stała się celem licznych ataków ransomware w 2024 roku. Ofiarami padły m.in. Starostwo Powiatowe w Świebodzinie, Miejsko-Gminny Ośrodek Pomocy Społecznej w Sędziszowie Małopolskim oraz Powiatowy Urząd Pracy w Policach. Najpoważniejszy incydent dotyczył Powiatu Jędrzejowskiego, gdzie cyberprzestępcy rzekomo wykradli dane osobowe 80 tysięcy mieszkańców. Choć informacje te nie zostały ostatecznie potwierdzone, incydent ten podkreśla potrzebę wzmocnienia ochrony danych w instytucjach publicznych.

Wyciek danych z POLADA

Polska Agencja Antydopingowa (POLADA) doświadczyła poważnego naruszenia bezpieczeństwa, w wyniku którego wyciekło 250 GB wrażliwych danych sportowców, w tym informacje medyczne i wyniki badań antydopingowych. Dane te zostały opublikowane na platformie Telegram, co naraża poszkodowanych na ryzyko kradzieży tożsamości i ataków phishingowych.

Atak dezinformacyjny na Polską Agencję Prasową (PAP)

31 maja 2024 roku cyberprzestępcy włamali się na stronę PAP, publikując fałszywe depesze o rzekomej mobilizacji wojskowej w Polsce. Choć informacje szybko usunięto, incydent ten wywołał spekulacje na temat możliwego zaangażowania rosyjskich hakerów, mających na celu destabilizację sytuacji politycznej przed wyborami do Parlamentu Europejskiego.

Kradzież danych z AIUT i Atende SA

Grupa hakerska Hunters przeprowadziła ataki na polskie firmy AIUT oraz Atende SA. W wyniku tych działań z AIUT skradziono 5,9 TB danych, a z Atende SA ponad 1 TB. Wykradzione informacje obejmowały dane osobowe pracowników, poufne dokumenty oraz plany projektowe, co mogło narazić te firmy na poważne straty finansowe i reputacyjne.

Polska na celowniku

Według raportu “Microsoft Digital Defense 2024” Polska jest trzecim w Europie krajem najczęściej atakowanym przez cyberprzestępcze organizacje sponsorowane przez obce państwa, głównie Rosję. W ostatnich miesiącach odnotowano wzrost liczby ataków na słabo zabezpieczone urządzenia OT połączone z internetem, które kontrolują krytyczne procesy.

W odpowiedzi na te zagrożenia pełnomocnik rządu ds. cyberbezpieczeństwa zalecił jednostkom samorządowym i podmiotom publicznym wprowadzenie środków ochronnych, takich jak:

• Uniemożliwienie połączeń do systemów sterowania przez protokoły VNC, RDP oraz oprogramowanie wsparcia technicznego.
• Nieudostępnianie portów komunikacyjnych protokołów przemysłowych w otwartym internecie.
• Stosowanie VPN z wieloskładnikowym uwierzytelnianiem do zdalnego odczytu lub sterowania procesami.
• Zgłaszanie ataków na systemy przemysłowe do odpowiednich CSIRT-ów krajowych.

Zaleca się zmianę domyślnych haseł na silne, wyłączenie niewykorzystywanych kont oraz ograniczenie połączeń z zewnętrznymi sieciami do niezbędnego minimum, w tym zdalnego dostępu przez modemy komórkowe i dostęp podwykonawców.

Działania te mają na celu wzmocnienie ochrony polskiej infrastruktury przemysłowej przed rosnącym zagrożeniem cyberataków na systemy SCADA i ICS/OT.

WIĘCEJ NA TEN TEMAT: BEZPIECZEŃSTWO W PRZEMYŚLE