Reklama

Ataki na wodociągi. ABW o widoczności obiektów z Internetu

Agencja Bezpieczeństwa Wewnętrznego odpowiedziała na nasze zapytanie prasowe dot. ataków na wodociągi
Agencja Bezpieczeństwa Wewnętrznego odpowiedziała na nasze zapytanie prasowe dot. ataków na wodociągi
Autor. Freepik.com

Ataki na polskie stacje uzdatniania wody i oczyszczalnie ścieków zdarzały się kilkukrotnie na przestrzeni ostatnich miesięcy. Część z nich mogła bezpośrednio zagrażać życiu i zdrowiu ludzi, co zawarto w komunikatach NASK oraz CPPC. Agencja Bezpieczeństwa Wewnętrznego w odpowiedzi na nasze pytania przekazała ważne stanowisko.

Cyberataki prorosyjskich haktywistów na polski sektor wodno-kanalizacyjny oznaczają manipulowanie parametrami technicznymi obiektów, takimi jak m.in. przepływ wody. Wśród jednostek dotkniętych atakami należy wyróżnić:

Co ważne, niektóre z tych ataków miały poważne skutki. „W ostatnim czasie odnotowano przypadki prób włamań do systemów uzdatniania wody oraz oczyszczalni ścieków w różnych częściach Polski, m.in. w Wydminach, Kuźnicy, Tolkmicku czy Małdytach. Cyberataki często prowadziły do manipulowania parametrami technicznymi urządzeń i stwarzały realne zagrożenie dla zdrowia i życia mieszkańców - stwierdzono w komunikacie NASK z 3 września br.

W podobnym tonie opublikowano informację o naborze wniosków w programie „Cyberbezpieczne Wodociągi” na stronie Centrum Projektów Polska Cyfrowa.

Czytaj też

Reklama

ABW o atakach na wodociągi

Skierowaliśmy pytania do Agencji Bezpieczeństwa Wewnętrznego w związku z atakami na stacje uzdatniania wody i oczyszczalnie ścieków. ABW podkreśliło, że CSIRT GOV „na bieżąco uzyskuje informacje i analizuje przypadki ataków na zasoby teleinformatyczne systemów odpowiedzialnych za technologie operacyjne”.

Jednocześnie Agencja zaznaczyła, że dotychczas zarejestrowane incydenty były każdorazowo przekazywane do właściwego CSIRT-u – w tym przypadku CSIRT NASK, który ma odpowiadać za podjęcie kontaktu z zarządcą obiektu i mitygację zagrożenia.

Kluczowe jest jednak poniższe stwierdzenie ABW o widoczności paneli sterowania z poziomu Internetu:

Z naszych obserwacji wynika, że potencjalnie skompromitowane podmioty posiadały zasoby IT dostępne z publicznej sieci Internet, w tym panele HMI (ang. human machine interface – przyp. red.) sterujące procesami technologicznymi.
Zespół Prasowy ABW

ABW podkreśliło jednocześnie, że Zespół CSIRT GOV nie prowadzi analizy w zakresie skutków oraz konfiguracji sieciowej infrastruktury omawianych podmiotów, gdyż te pozostają poza właściwością Zespołu”. Dodatkowo, informacje o zagrożeniach rozpoznanych przez Agencję przekazywane są „wyłącznie właściwym organom administracji rządowej” na bazie obowiązujących przepisów.

Czytaj też

Reklama

Apel

Z racji na powtarzający się problem w postaci widoczności stacji uzdatniania wody oraz oczyszczalni ścieków, pragniemy wystosować poniższy apel do sektora wodno-kanalizacyjnego:

Odetnijcie panele sterowania od Internetu

O zagrożeniach związanych z widocznością paneli WWW systemów HMI i SCADA (nadzorującego procesy technologiczne) oraz VNC (przesyłania obrazu ekranu) informował CERT Polska już w maju 2024 roku. „W ostatnim czasie CERT Polska obserwuje zwiększoną liczbę ataków na przemysłowe systemy sterowania (ICS/OT) dostępne bezpośrednio z internetu. (…) Warto zaznaczyć, że CERT Polska odnotował również przypadki, w których atak miał realny wpływ na działanie fizycznych systemów – stwierdzono w rekomendacjach CERT Polska.

Podobny obraz wyłania się z raportu rocznego CERT Polska za ubiegły rok. „(…) były to panele HMI firmy (…) dostępne z internetu dzięki routerom SIM z udostępnionym pulpitem zdalnym VNC. Prawdopodobnie zostało użyte proste hasło logowania, które doprowadziło do niepowołanego uzyskania dostępu. Na szczęście atak miał ograniczone konsekwencje, a zdalny dostęp został odłączony. Hasła w serwerach VNC są ograniczone tylko do 8 znaków, dodatkowo usługa nie posiada żadnych ograniczeń liczby niepomyślnych prób logowania, co umożliwia wykonanie ataku na hasło brute force” – tak CERT Polska opisał jeden z ataków na oczyszczalnię.

Warto dodać, że CERT Polska odkrył 299 instancji VNC o „niedostatecznym poziomie zabezpieczeń”, które umożliwiały dostęp do paneli kontrolnych SUW-ów, pieców przemysłowych czy małych elektrowni wodnych. Każdy rodzaj wymienionych jednostek został zaatakowany w przeciągu ostatnich kilkunastu miesięcy.

Miejmy nadzieję, że program „Cyberbezpieczne Wodociągi” sprawi, że takich incydentów będzie mniej. Co ważne, cyberbezpieczeństwo w takich jednostkach wymaga nie tylko pieniędzy, lecz odpowiedniej ilości wykwalifikowanego personelu, co na naszych łamach opisali eksperci z PIT Łukasiewicz.

CyberDefence24.pl - Digital EU Ambassador

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

Reklama

Cyfrowy Senior. Jak walczy się z oszustami?

Komentarze

    Reklama