Ataki na wodociągi. ABW o widoczności obiektów z Internetu

Cyberataki prorosyjskich haktywistów na polski sektor wodno-kanalizacyjny oznaczają manipulowanie parametrami technicznymi obiektów, takimi jak m.in. przepływ wody. Wśród jednostek dotkniętych atakami należy wyróżnić:

• stację uzdatniania wody Jabłonna Lacka (09.2025);
• SUW Szczytno (05.2025);
• SUW Małdyty, Tolkmicko, Sierakowo (04.2025);
• oczyszczalnia ścieków w Witkowie (04.2025);
• oczyszczalnia ścieków w Kuźnicy (10.2024).

Co ważne, niektóre z tych ataków miały poważne skutki. „W ostatnim czasie odnotowano przypadki prób włamań do systemów uzdatniania wody oraz oczyszczalni ścieków w różnych częściach Polski, m.in. w Wydminach, Kuźnicy, Tolkmicku czy Małdytach. Cyberataki często prowadziły do manipulowania parametrami technicznymi urządzeń i stwarzały realne zagrożenie dla zdrowia i życia mieszkańców” - stwierdzono w komunikacie NASK z 3 września br.

W podobnym tonie opublikowano informację o naborze wniosków w programie „Cyberbezpieczne Wodociągi” na stronie Centrum Projektów Polska Cyfrowa.

ABW o atakach na wodociągi

Skierowaliśmy pytania do Agencji Bezpieczeństwa Wewnętrznego w związku z atakami na stacje uzdatniania wody i oczyszczalnie ścieków. ABW podkreśliło, że CSIRT GOV „na bieżąco uzyskuje informacje i analizuje przypadki ataków na zasoby teleinformatyczne systemów odpowiedzialnych za technologie operacyjne”.

Jednocześnie Agencja zaznaczyła, że dotychczas zarejestrowane incydenty były każdorazowo przekazywane do właściwego CSIRT-u – w tym przypadku CSIRT NASK, który ma odpowiadać za podjęcie kontaktu z zarządcą obiektu i mitygację zagrożenia.

Kluczowe jest jednak poniższe stwierdzenie ABW o widoczności paneli sterowania z poziomu Internetu:

Z naszych obserwacji wynika, że potencjalnie skompromitowane podmioty posiadały zasoby IT dostępne z publicznej sieci Internet, w tym panele HMI (ang. human machine interface – przyp. red.) sterujące procesami technologicznymi.
Zespół Prasowy ABW

ABW podkreśliło jednocześnie, że „Zespół CSIRT GOV nie prowadzi analizy w zakresie skutków oraz konfiguracji sieciowej infrastruktury omawianych podmiotów, gdyż te pozostają poza właściwością Zespołu”. Dodatkowo, informacje o zagrożeniach rozpoznanych przez Agencję przekazywane są „wyłącznie właściwym organom administracji rządowej” na bazie obowiązujących przepisów.

Apel

Z racji na powtarzający się problem w postaci widoczności stacji uzdatniania wody oraz oczyszczalni ścieków, pragniemy wystosować poniższy apel do sektora wodno-kanalizacyjnego:

Odetnijcie panele sterowania od Internetu

O zagrożeniach związanych z widocznością paneli WWW systemów HMI i SCADA (nadzorującego procesy technologiczne) oraz VNC (przesyłania obrazu ekranu) informował CERT Polska już w maju 2024 roku. „W ostatnim czasie CERT Polska obserwuje zwiększoną liczbę ataków na przemysłowe systemy sterowania (ICS/OT) dostępne bezpośrednio z internetu. (…) Warto zaznaczyć, że CERT Polska odnotował również przypadki, w których atak miał realny wpływ na działanie fizycznych systemów” – stwierdzono w rekomendacjach CERT Polska.

Podobny obraz wyłania się z raportu rocznego CERT Polska za ubiegły rok. „(…) były to panele HMI firmy (…) dostępne z internetu dzięki routerom SIM z udostępnionym pulpitem zdalnym VNC. Prawdopodobnie zostało użyte proste hasło logowania, które doprowadziło do niepowołanego uzyskania dostępu. Na szczęście atak miał ograniczone konsekwencje, a zdalny dostęp został odłączony. Hasła w serwerach VNC są ograniczone tylko do 8 znaków, dodatkowo usługa nie posiada żadnych ograniczeń liczby niepomyślnych prób logowania, co umożliwia wykonanie ataku na hasło brute force” – tak CERT Polska opisał jeden z ataków na oczyszczalnię.

Warto dodać, że CERT Polska odkrył 299 instancji VNC o „niedostatecznym poziomie zabezpieczeń”, które umożliwiały dostęp do paneli kontrolnych SUW-ów, pieców przemysłowych czy małych elektrowni wodnych. Każdy rodzaj wymienionych jednostek został zaatakowany w przeciągu ostatnich kilkunastu miesięcy.

Miejmy nadzieję, że program „Cyberbezpieczne Wodociągi” sprawi, że takich incydentów będzie mniej. Co ważne, cyberbezpieczeństwo w takich jednostkach wymaga nie tylko pieniędzy, lecz odpowiedniej ilości wykwalifikowanego personelu, co na naszych łamach opisali eksperci z PIT Łukasiewicz.