Cyberataki na wodociągi to alarm. Nie panikujmy, ale działajmy [OPINIA]

Poniższy artykuł to opinia autora i nie zawsze musi odzwierciedlać stanowisko całej redakcji.

Na przestrzeni ostatnich kilkunastu miesięcy byliśmy świadkami kilku incydentów w polskim sektorze wodno-kanalizacyjnym. Na wstępie należy podkreślić, że obecnie nie znamy bezpośrednich skutków takich zdarzeń; nie ma żadnych informacji wskazujących na to, aby komuś w Polsce odcięto dostęp do wody wskutek cyberataku.

Wiemy jednak o tym, że zagrożenie jest poważne. Wychodząc z założenia, że państwowe instytuty trzymają się wyłącznie faktów, niektóre z incydentów zagrażały życiu i zdrowiu Polek i Polaków. NASK w artykule z 3 września stwierdził, że:

Rosyjska agresja w cyberprzestrzeni nie zna granic. W ostatnim czasie odnotowano przypadki prób włamań do systemów uzdatniania wody oraz oczyszczalni ścieków w różnych częściach Polski, m.in. w Wydminach, Kuźnicy, Tolkmicku czy Małdytach. Cyberataki często prowadziły do manipulowania parametrami technicznymi urządzeń i stwarzały realne zagrożenie dla zdrowia i życia mieszkańców.
NASK

Widać tutaj ciekawy dualizm – żaden podmiot z sektora wodno-kanalizacyjnego nie poinformował o tym, że rosyjscy cyberprzestępcy doprowadzili do sytuacji, gdzie np. doszłoby do skażenia wody. Jednocześnie takie ataki stwarzały realne zagrożenie dla mieszkańców. Jeśli dobrze rozumiem, a mogę się mylić – ataki mogły mieć faktyczne skutki na zdrowie i życie odbiorców usług, lecz udało się im zapobiec w czasie, który uniemożliwił wystąpienie jakichkolwiek poważnych konsekwencji.

„Nasze służby szybko zareagowały. Początkowo wyglądało to na awarię, ale problem został błyskawicznie usunięty” – stwierdził wójt gminy Grodzisk Dolny w rozmowie z Radiem Rzeszów na temat ataku na oczyszczalnię ścieków w Chodaczowie.

Co to oznacza?

Zagrożenie jest realne, co pokazuje również wypowiedź wicepremiera Gawkowskiego z lipca br.

Jeżeli normalne życie obywateli jest w jakimś stopniu pozbawione usług, takich jak np. woda czy kanalizacja, to nie możemy powiedzieć, że się nic nie stało.
Krzysztof Gawkowski, wicepremier i minister cyfryzacji

W sierpniu minister cyfryzacji poinformował o nieudanej próbie odcięcia dużego polskiego miasta od dostępu do wody.

W ramach analizy takich zdarzeń powinniśmy wyjść z założenia, że:

• manipulowanie parametrami polskich stacji uzdatniania wody ma miejsce;
• manipulowanie parametrami polskich oczyszczalni ścieków ma miejsce;
• dotychczas nie wiemy, aby taki incydent skutkował odcięciem lub skażeniem wody;
• zmiana parametrów automatyki przemysłowej może być szybko dostrzeżona przez osoby zarządzające jednostką;
• ataki stworzyły realne zagrożenie (via NASK);
• incydenty dotyczą małych jednostek;
• musimy walczyć z możliwością manipulowania parametrami polskiej automatyki przemysłowej;
• nie możemy wpadać w nieuzasadnioną panikę.

Odpowiedzialność medialna

Podczas opisywania ataków na polskie stacje uzdatniania wody i oczyszczalnie ścieków spotkałem się z ciekawym komentarzem portalu Bezpieka na X, dotyczącym tym razem ataku na stację regazyfikacji LNG.

Ataki tej grupy polegają w skrócie na próbach zalogowania się domyślnymi/prostymi hasłami (np 1234) na urządzenia ICS wystawione do internetu. Powielanie tych informacji w mediach działa na ich korzyść i wspiera propagandę rosyjską. Podobnie jest z DDoSami. "Haktywiści" blokują polską stronę na kilka minut poprzez przeciążenie ruchem i wrzucają takie info na telegram, a polskie media kolportują to już dalej, nakręcając narrację "rosyjscy hakerzy zaatakowali http:// x.gov.pl!!!".
Bezpieka

Przyznam, że komentarz skłonił mnie do pewnych refleksji pod kątem tego, jak powinno wyglądać informowanie o incydentach. Warto jednak zadać sobie pytanie o to, czy manipulowanie parametrami stacji uzdatniania wody czy oczyszczalni ścieków jest tożsame z DDoS-ami, które faktycznie mają znikome skutki na działanie systemów (np. kilkumintowa niedostępność. Osobiście widzę to jako totalnie inny rodzaj incydentów: przeciążenie serwera wobec wpływu na działanie stacji uzdatniania wody w mieście XYZ.

Niestety prawdą jest to, że szeroko pojętym mediom, niezależnie od medium (papierowe gazety, telewizor, Internet, radio) zależy na naszych emocjach. Dokładnie dlatego powinniśmy odróżniać fakty od emocjonalnych komentarzy, co bywa coraz trudniejsze.

Myślę, że tytuł artykułu „Polska oczyszczalnia zdobyta przez ruskich hakerów. Robili co chcieli” ma totalnie inny wydźwięk niż „Atak prorosyjskiej grupy na oczyszczalnię ścieków na Podkarpaciu”. Byłbym również daleki od stawiania cyberataków jako potencjalnej przyczyny awarii, np. „Nie ma prądu? To może być cyber atak z wrogiego kraju”.

Jestem również zdania, że przekazywanie informacji o faktach, bez „przeceniania” zdolności haktywistów, jest kluczową rolą mediów – nie powinniśmy „przymykać” oczu na poważne zagrożenie, które przytoczył NASK.

Zgodnie z art. 1 prawa prasowego, media powinny urzeczywistniać „prawo obywateli do ich rzetelnego informowania”. Uważam, że nie powinniśmy milczeć o incydentach, które wykraczają poza propagandowy przekaz oraz podkreślają nowe zagrożenia. Co innego dotyczy tworzenia wokół tego emocji, które nie zawsze pomagają w sprawie.

Skutki incydentów w Europie

Wracając do meritum, w Europie wystąpiły incydenty w sektorze wodno-kanalizacyjnym, które wpłynęły na działanie usług. Głośnym przypadkiem była zmiana przypływu wody w norweskiej tamie, co w sierpniu opisał The Guardian. Wówczas doszło do niekontrolowanego przepływu wody przez cztery godziny.

W lutym br. duńskie Centre For Cyber Security przekazało informację o manipulowaniu parametrami małej stacji uzdatniania wody. Skutkiem ataku był znaczny spadek ciśnienia oraz chwilowe odcięcie od dostępu do wody około 450 gospodarstw domowych. Incydent doprowadził również do pęknięcia rury, co odcięło 50 gospodarstw domowych od wody na kilka godzin. CFCS zapewniło jednak, że tamtejszy SUW padł ofiarą ataku z racji na niedostateczne zabezpieczenia, nie zaś ze względu na bycie elementem sektora wodno-kanalizacyjnego.

W grudniu 2023 r. SecurityWeek poinformowało o ataku, który spowodował odcięcie od wody ok. 180 irlandzkich gospodarstw domowych przez dwa dni. Celem ataku był prywatny podmiot.

Meritum

Ataki na stacje uzdatniania wody i oczyszczalnie ścieków nigdy nie powinny mieć miejsca. Nie oznacza to jednak, że jesteśmy o krok od odcięcia nam dostępu do wody przez prorosyjskich haktywistów – propagandowa otoczka incydentów ma sprawić, że będziemy tak myśleć.

Warto przy tym podkreślić, że cyberataki na polskie obiekty z sektora wodno-kanalizacyjnego zazwyczaj były możliwe dzięki widoczności urządzeń z poziomu sieci, co potwierdziła nam Agencja Bezpieczeństwa Wewnętrznego.

Szkoda, że program „Cyberbezpieczne Wodociągi” nie pozwala zaliczyć na poczet wydatków kwalifikowalnych z zakresu „rozwiązań dziedzinowych obszarów OT/ICS/IIoT, np. SCADA, HMI, itp.” (§5 pkt. 17 ust. 12 regulaminu konkursu).

Z naszych obserwacji wynika, że potencjalnie skompromitowane podmioty posiadały zasoby IT dostępne z publicznej sieci Internet, w tym panele HMI (ang. human machine interface – przyp. red.) sterujące procesami technologicznymi.
Zespół Prasowy ABW, komentarz w art. „Ataki na wodociągi. ABW o widoczności obiektów z Internetu"