Ataki na wodociągi. ABW o widoczności obiektów z Internetu

Autor. Freepik.com
Ataki na polskie stacje uzdatniania wody i oczyszczalnie ścieków zdarzały się kilkukrotnie na przestrzeni ostatnich miesięcy. Część z nich mogła bezpośrednio zagrażać życiu i zdrowiu ludzi, co zawarto w komunikatach NASK oraz CPPC. Agencja Bezpieczeństwa Wewnętrznego w odpowiedzi na nasze pytania przekazała ważne stanowisko.
Cyberataki prorosyjskich haktywistów na polski sektor wodno-kanalizacyjny oznaczają manipulowanie parametrami technicznymi obiektów, takimi jak m.in. przepływ wody. Wśród jednostek dotkniętych atakami należy wyróżnić:
- stację uzdatniania wody Jabłonna Lacka (09.2025);
- SUW Szczytno (05.2025);
- SUW Małdyty, Tolkmicko, Sierakowo (04.2025);
- oczyszczalnia ścieków w Witkowie (04.2025);
- oczyszczalnia ścieków w Kuźnicy (10.2024).
Co ważne, niektóre z tych ataków miały poważne skutki. „W ostatnim czasie odnotowano przypadki prób włamań do systemów uzdatniania wody oraz oczyszczalni ścieków w różnych częściach Polski, m.in. w Wydminach, Kuźnicy, Tolkmicku czy Małdytach. Cyberataki często prowadziły do manipulowania parametrami technicznymi urządzeń i stwarzały realne zagrożenie dla zdrowia i życia mieszkańców” - stwierdzono w komunikacie NASK z 3 września br.
W podobnym tonie opublikowano informację o naborze wniosków w programie „Cyberbezpieczne Wodociągi” na stronie Centrum Projektów Polska Cyfrowa.
Czytaj też
ABW o atakach na wodociągi
Skierowaliśmy pytania do Agencji Bezpieczeństwa Wewnętrznego w związku z atakami na stacje uzdatniania wody i oczyszczalnie ścieków. ABW podkreśliło, że CSIRT GOV „na bieżąco uzyskuje informacje i analizuje przypadki ataków na zasoby teleinformatyczne systemów odpowiedzialnych za technologie operacyjne”.
Jednocześnie Agencja zaznaczyła, że dotychczas zarejestrowane incydenty były każdorazowo przekazywane do właściwego CSIRT-u – w tym przypadku CSIRT NASK, który ma odpowiadać za podjęcie kontaktu z zarządcą obiektu i mitygację zagrożenia.
Kluczowe jest jednak poniższe stwierdzenie ABW o widoczności paneli sterowania z poziomu Internetu:
Z naszych obserwacji wynika, że potencjalnie skompromitowane podmioty posiadały zasoby IT dostępne z publicznej sieci Internet, w tym panele HMI (ang. human machine interface – przyp. red.) sterujące procesami technologicznymi.
Zespół Prasowy ABW
ABW podkreśliło jednocześnie, że „Zespół CSIRT GOV nie prowadzi analizy w zakresie skutków oraz konfiguracji sieciowej infrastruktury omawianych podmiotów, gdyż te pozostają poza właściwością Zespołu”. Dodatkowo, informacje o zagrożeniach rozpoznanych przez Agencję przekazywane są „wyłącznie właściwym organom administracji rządowej” na bazie obowiązujących przepisów.
Czytaj też
Apel
Z racji na powtarzający się problem w postaci widoczności stacji uzdatniania wody oraz oczyszczalni ścieków, pragniemy wystosować poniższy apel do sektora wodno-kanalizacyjnego:
Odetnijcie panele sterowania od Internetu
O zagrożeniach związanych z widocznością paneli WWW systemów HMI i SCADA (nadzorującego procesy technologiczne) oraz VNC (przesyłania obrazu ekranu) informował CERT Polska już w maju 2024 roku. „W ostatnim czasie CERT Polska obserwuje zwiększoną liczbę ataków na przemysłowe systemy sterowania (ICS/OT) dostępne bezpośrednio z internetu. (…) Warto zaznaczyć, że CERT Polska odnotował również przypadki, w których atak miał realny wpływ na działanie fizycznych systemów” – stwierdzono w rekomendacjach CERT Polska.
Podobny obraz wyłania się z raportu rocznego CERT Polska za ubiegły rok. „(…) były to panele HMI firmy (…) dostępne z internetu dzięki routerom SIM z udostępnionym pulpitem zdalnym VNC. Prawdopodobnie zostało użyte proste hasło logowania, które doprowadziło do niepowołanego uzyskania dostępu. Na szczęście atak miał ograniczone konsekwencje, a zdalny dostęp został odłączony. Hasła w serwerach VNC są ograniczone tylko do 8 znaków, dodatkowo usługa nie posiada żadnych ograniczeń liczby niepomyślnych prób logowania, co umożliwia wykonanie ataku na hasło brute force” – tak CERT Polska opisał jeden z ataków na oczyszczalnię.
Warto dodać, że CERT Polska odkrył 299 instancji VNC o „niedostatecznym poziomie zabezpieczeń”, które umożliwiały dostęp do paneli kontrolnych SUW-ów, pieców przemysłowych czy małych elektrowni wodnych. Każdy rodzaj wymienionych jednostek został zaatakowany w przeciągu ostatnich kilkunastu miesięcy.
Miejmy nadzieję, że program „Cyberbezpieczne Wodociągi” sprawi, że takich incydentów będzie mniej. Co ważne, cyberbezpieczeństwo w takich jednostkach wymaga nie tylko pieniędzy, lecz odpowiedniej ilości wykwalifikowanego personelu, co na naszych łamach opisali eksperci z PIT Łukasiewicz.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
Cyfrowy Senior. Jak walczy się z oszustami?