Strona główna Bezpieczeństwo biznesu Sektor energetyczny coraz częściej będzie ofiarą cyberataków

Sektor energetyczny coraz częściej będzie ofiarą cyberataków

Kompleksowy rozwój bezpieczeństwa systemów IT i OT (Operational Technology) pozwoli uniknąć wielu sytuacji kryzysowych.

Określenie krytycznych systemów oraz dokonanie analizy i testów w celu wykrycia ich podatności na potencjalne cyberataki to kluczowy obszar, nad jakim powinny pracować firmy z sektora energetycznego, w szczególności w branży naftowo-gazowej (Oil&Gas). Autorzy raportu firmy doradczej Deloitte An integrated approach to combat cyber risk. Securing industrial operations in oil and gas ostrzegają, że w niektórych przypadkach nie jest potrzebna zaawansowana technologia czy wiedza, aby zaatakować wewnętrzne systemy informatyczne tych firm.

Straty finansowe i wizerunkowe, choć mogą być ogromne, należą do najmniej dotkliwych z możliwych skutków ataku na przedsiębiorstwo z sektora energetycznego. Efekty działania cyberprzestępców mogą być dużo bardziej rozległe i w skrajnych przypadkach oddziaływać na ludzkie zdrowie oraz życie. – W Polsce szczególnie narażony na cyberatak jest sektor naftowo-gazowy. To właśnie operatorzy tego segmentu rynku, świadczący kluczowe usługi, stanowią strategiczny punkt na mapie nie tylko bezpieczeństwa gospodarczego czy obywateli, ale także całego kraju. To wynik aktualnej sytuacji geopolitycznej, w tym rywalizacji wielu grup wpływów. Operatorzy, ze względu na posiadane systemy automatyki przemysłowej i systemy IT, są grupą podwyższonego ryzyka – mówi Piotr Borkowski, ekspert w obszarze cyberbezpieczeństwa w Zespole ds. Energii i Zasobów Naturalnych Deloitte.

Systemy (nie)bezpieczeństwa
W obliczu możliwych, niekiedy skrajnie różnych skutków cyberataków dziwić może niedostateczna dbałość o zabezpieczenie przed nimi lub zupełny ich brak. W wielu przypadkach twórcy systemów automatyki przemysłowej skupili się na ich niezawodności zamiast na potencjalnym zagrożeniu, jakie ich przejęcie np. przez terrorystów może oznaczać.
– Systemy IT oraz OT administrowane przez operatorów usług kluczowych mogą zostać zaatakowane zarówno przez grupy wynajęte przez konkurencyjne firmy, grupy działające na rzecz obcych państw, jak i zwykłych przestępców, którzy w takiej formie swojej aktywności mogą upatrywać zysku. Wskazane systemy muszą być również jak najlepiej przygotowane na kampanie globalne, które choć często są nieukierunkowane, to rykoszetem potrafią spustoszyć systemy niejednej dużej firmy. Tak wiele czynników ryzyka dla systemów IT oraz OT powinno skłaniać do podejmowania wszelkich dostępnych środków, aby maksymalnie ograniczyć ryzyko ich wystąpienia – zaznacza Piotr Borkowski.

Eksperci Deloitte zwracają uwagę, że skuteczność tych działań zależy od połączenia wiedzy z zakresu IT i inżynierii oraz pogodzenia ich niekiedy rozbieżnych interesów. Specjaliści przemysłowych systemów sterowania nie zawsze bowiem w pełni rozumieją współczesne zagrożenia bezpieczeństwa informatycznego, podobnie jak specjaliści od bezpieczeństwa IT często nie rozumieją procesów przemysłowych. Bez wsparcia IT systemy sterowania produkcją niezwykle trudno jest zabezpieczyć. Wynika to m.in. z tego, że dziś funkcjonują jako część sieci, choć nie zostały do takiej interakcji zaprojektowane. Rozwój technologiczny sprzyja wydajności i obniżeniu kosztów, ale także otwiera przedsiębiorstwa na różne zagrożenia cybernetyczne.

Ostrzeżenie z USA
O skali zagrożenia najlepiej świadczą obserwowane od lat próby ataków. Już w 2003 r. jedna z amerykańskich elektrowni jądrowych w stanie Ohio została zainfekowana wirusem Slammer. Terroryści najpierw zaatakowali system firmy współpracującej z przedsiębiorstwem zarządzającym elektrownią. Potem łatwiej już było uderzyć w samą elektrownię, a wirus błyskawicznie atakował kolejne komputery. Slammer zablokował system odpowiedzialny za chłodzenie reaktora. Z kolei w 2014 r. zostały zhakowane systemy komputerowe operatora elektrowni jądrowej w Korei Południowej. Hakerzy z konkurencyjnych krajów nieustannie próbują wykraść informacje i technologie zachodnich firm energetycznych. Rozsyłają e-maile z zainfekowaną treścią, instalują szkodliwe oprogramowanie czy zmieniają treści na stronie internetowej atakowanej firmy.

To ataki nieudane, gdzie straty są znikome lub nie było ich wcale. Ale w 2016 r. atak na ukraińską energetykę na dwa dni pozbawił prądu część Kijowa. Rok wcześniej w wyniku podobnego ataku 225 tys. mieszkańców zachodniej Ukrainy nie miało dostępu do energii elektrycznej. Przed cyberprzestępcami z Rosji na początku roku ostrzegał Departament Bezpieczeństwa Wewnętrznego (DHS) Stanów Zjednoczonych. Z jego analiz wynika, że scenariusz jest zazwyczaj podobny do tego w Ohio. Hakerzy atakują najpierw organizacje zewnętrzne, współpracujące z faktycznym celem ich ataku. Wirus rozprzestrzenia się poprzez zainfekowane konta pocztowe czy strony internetowe odwiedzane przez pracowników.

Różne motywy, jeden cel
– Nieznajomość wroga powinna być dużą zachętą do jak najlepszego zabezpieczenia systemów IT i OT. Dodatkowy akcelerator działań to wejście w życie w sierpniu 2018 r. ustawy o Krajowym Systemie Cyberbezpieczeństwa, która w odniesieniu do systemów IT i ich bezpieczeństwa narzuca na operatorów usług kluczowych dodatkowe wymagania – mówi Piotr Borkowski.

Brak zabezpieczeń, nieprawidłowe testowanie systemów IT czy wdrażanie technologii bez wcześniejszych testów – to wszystko zostawia luki, z których mogą skorzystać cyberprzestępcy. Często pomijanym elementem w systemach bezpieczeństwa są także ludzie. Przez brak przeszkolenia w tym zakresie i wiedzy o ryzyku pracownicy przenoszą do systemu przedsiębiorstwa media zainfekowane złośliwym oprogramowaniem. Wiele osób wciąż jest przekonanych, że niepowodzenia czy awarie najczęściej są spowodowane warunkami atmosferycznymi, błędami ludzkimi i zmęczeniem sprzętu, a nie manipulacją cyberprzestępców.
Znalezienie podatności i ewentualnych błędów konfiguracyjnych w posiadanych systemach to priorytet dla firm naftowo-gazowych.

Eksperci Deloitte zaznaczają, że pracę nad nimi powinien na bieżąco wykonać zespół specjalistów ds. biznesu, inżynierii i bezpieczeństwa IT. Niemożliwe jest zabezpieczenie wszystkiego w równym stopniu. Na szczycie listy powinny więc znajdować się krytyczne zasoby i infrastruktura. Aby przedsiębiorstwo było bezpieczne, konieczne jest jego ciągłe i automatyczne monitorowanie oraz opracowanie mechanizmów wychwytujących potencjalny atak lub minimalizowanie jego skutków.

Deloitte
Biuro w Warszawie
al. Jana Pawła II 22
00-133 Warszawa