Cyberbezpieczeństwo w przetargach wodno-kanalizacyjnych często nie istnieje

Poniższy artykuł ma na celu opisanie zapisów w publicznie dostępnych dokumentach przetargowych. Założeniem jest przedstawienie powszechnego zjawiska, nie zaś wskazanie potencjalnie odpowiedzialnych za dany stan rzeczy. Celem nie jest stygmatyzacja, lecz zwiększenie poziomu bezpieczeństwa w sektorze wodno-kanalizacyjnym.

Sektor wodno-kanalizacyjny wielokrotnie padał ofiarami ataków prorosyjskich haktywistów na przestrzeni ostatnich kilkunastu miesięcy. Wśród rodzajów obiektów, które padły ofiarami ataków inspirowanych ze wschodu, należy wyróżnić m.in.:

• stacje uzdatniania wody (Tolkmicko, Sierakowo, Małdyty, Szczytno, Jabłonna Lacka;
• oczyszczalnie ścieków (Kuźnica, Witkowo, Chodaczów).

Postanowiliśmy zajrzeć do dokumentacji przetargowej wybranych obiektów, aby wykazać, że zaatakowane jednostki nie uwzględniły rekomendacji od CERT Polska oraz Pełnomocnika Rządu.

Należy zaznaczyć, że w przypadku omawianych obiektów, modernizacje miały miejsce przed opublikowaniem stosownych dokumentów oraz w zupełnie innej sytuacji pod kątem cyberzagrożeń. Aby zwiększyć świadomość podmiotów odpowiedzialnych za stacje uzdatniania wody i oczyszczalnie ścieków, pragniemy opisać praktyki z dokumentacji przetargowych, które nie powinny się powtarzać w przyszłości.

Rekomendacje CERT Polska i Pełnomocnika Rządu

„W związku z poważnym zagrożeniem wzywamy podmioty posiadające systemy przemysłowe do podjęcia natychmiastowych działań i wprowadzenia opisanych poniżej rekomendacji” - takie zdanie, okraszone wyraźną czerwoną ramką, znalazło się w „Rekomendacjach dla wzmocnienia ochrony systemów OT” CERT Polska z 2024 roku, do których lektury serdecznie zachęcamy.

Wśród rekomendacji CSIRT-u poziomu krajowego znalazło się m.in.:

1. NIE NALEŻY umożliwiać bezpośredniego zdalnego połączenia z wykorzystaniem protokołów jak VNC czy RDP oraz oprogramowania zdalnego wsparcia technicznego.
2. NIE NALEŻY umożliwiać bezpośredniego zdalnego dostępu do panelu WWW systemów sterowania i wizualizacji, nawet jeśli stosowane jest silne hasło.
3. NIE NALEŻY udostępniać portów, na których działają protokoły przemysłowe – w szczególności umożliwiające konfigurację urządzenia.

Pod koniec lutego br. Pełnomocnik Rządu do spraw Cyberbezpieczeństwa, wicepremier Krzysztof Gawkowski, opublikował komunikat w sprawie ataków na przemysłowe systemy sterowania.

„Co ważne, niektóre z tych ataków miały wpływ na rzeczywiste działanie systemów, a ich skutki odczuli odbiorcy usług. (…) Urządzenia przemysłowe często łączą się z internetem przez routery sieci komórkowych, a przypisane im adresy IP wskazują na operatorów sieci mobilnych, których karty SIM zostały użyte. W takim przypadku nie ma możliwości kontaktu z właścicielem systemu, można jedynie przekazać informacje do operatora telekomunikacyjnego” - stwierdzono w artykule na rządowej stronie.

Rekomendacje w dokumencie były bardzo pokrewne z apelem CERT-u, wspomniając m.in. o „stosowaniu VPN z wieloskładnikowym uwierzytelnianiem do zdalnego odczytu lub sterowania procesem” oraz zgłaszaniu incydentów do odpowiedniego CSIRT-u. Rekomendujemy osobom opowiedzialnym za bezpieczeństwo urządzeń ICS/OT zapoznanie się z całością dokumentów.

Widoczność z poziomu Internetu

Podczas analizy skupiliśmy się na trzech obiektach: SUW Jabłonna Lacka oraz oczyszczalniach ścieków w Witkowie i Chodaczowie. Co ważne, każdy z opisywanych dokumentów jest publicznie dostępny, lecz może nie być zaindeksowany przez wyszukiwarki internetowe (np. Google), ponieważ były to pliki PDF lub archiwa na platformach przetargowych.

Program Funkcjonalno-Użytkowy (PFU) SUW Witkowo, opublikowany podczas modernizacji stacji uzdatniania wody i centralnej przepompowni ścieków w Witkowie, zakładał poniższe elementy:

• zdalny dostęp do ekranów operatorskich z poziomu urządzeń mobilnych i stacjonarnych;
• automatyczne generowanie ekranów zdalnego dostępu na podstawie przygotowanej aplikacji wizualizacyjnej na panel operatorski HMI;
• wbudowane funkcje logowania oraz kontroli poziomu dostępu do zdalnych ekranów operatorskich.

Dodatkowo, możemy również znaleźć poniższe stwierdzenie, padające w kontekście SUW Witkowo (ofiarą ataku była oczyszczalnia ścieków, ujęta w tym samym postępowaniu przetargowym):

Całe odwzorowanie graficzne procesu zamieszczone na ekranie sterownika, będzie dostępne do podglądu oraz do zmiany nastaw parametrów pracy stacji jako strona www. Do strony będzie mógł zalogować się każdy kto będzie posiadał dane dostępu. Do strony będzie można się zalogować z każdego miejsca podłączonego do Internetu. Dostęp do wizualizacji będzie możliwy również z urządzeń mobilnych takich jak telefony (smartphony).
PFU SUW Witkowo

Założenie, że „zmiana nastaw parametrów pracy jako strona www”, dostępna z każdego miejsca podłączonego do Internetu, jest wprost sprzeczne z rekomendacjami CERT Polska (pkt 2. przytoczonych zaleceń). Obecnie powinniśmy, oczywiście w miarę możliwości, starać się stosować dwuetapowe uwierzytelnianie czy wykorzystywać VPN-y (mowa o logowaniu do paneli). Wystawienie „na świat” takich urządzeń jest nierekomendowane i może stwarzać zagrożenie.

W Raporcie CERT Polska za 2024 rok możemy znaleźć następujące stwierdzenia, które niekoniecznie muszą dotyczyć omawianych obiektów, lecz są bardzo ważne w kontekście omawianego zagadnienia:

Hasła w serwerach VNC są ograniczone tylko do 8 znaków, dodatkowo usługa nie posiada żadnych ograniczeń liczby niepomyślnych prób logowania, co umożliwia wykonanie ataku na hasło brute force.
Raport Roczny CERT Polska

„Od wielu lat monitorujemy niedostatecznie zabezpieczone pulpity zdalne. Mimo wysyłanych powiadomień regularnie dowiadujemy się o systemach, które zostają przejęte, czego przyczyną najczęściej jest wykorzystywanie prostego hasła. (…) Wybrano 5 haseł, które często stosowane są w urządzeniach przemysłowych, i za ich pomocą zweryfikowano zabezpieczenia 7806 serwerów VNC dostępnych w Polsce. W rezultacie udało się zidentyfikować 299 instancji o niedostatecznym poziomie zabezpieczeń. Wiele z nich umożliwiało dostęp do paneli kontrolnych takich obiektów, jak stacje uzdatniania wody, piece przemysłowe czy małe elektrownie wodne” - kwituje CERT.

Łączność z wykorzystaniem GSM

SUW-y czy oczyszczalnie ścieków mogą znajdować się w miejscach, gdzie nie ma obecnie dostępu do szerokopasmowego łącza, opartego na światłowodach czy tradycyjnych „miedzianych kablach”. Wówczas można zastosować routery z kartami SIM. Niezmiennie ważne jest zachowanie przy tym odpowiednich praktyk z zakresu cyberbezpieczeństwa.

„W przypadku gdy niezbędny jest zdalny przesył danych telemetrycznych za pomocą sieci komórkowej, rekomenduje się wykorzystanie prywatnych APN-ów” - stwierdzono w rekomendacjach CERT Polska z 2024 roku.

W „Opisie technicznym części technologicznej” przebudowy i rozbudowy SUW Jabłonna Lacka możemy znaleźć następujące stwierdzenia, dotyczące zapewnienia poniższych funkcjonalności:

• dostęp poprzez przeglądarkę internetową i wbudowany serwer WWW oraz system stron internetowych, pozwalający na przegląd bieżących danych procesowych, nastaw, komunikatów alarmowych bieżących i historycznych;
• zdalną zmianę nastaw poprzez system stron internetowych;
• zdalny dostęp do parametrów pracy urządzeń oraz graficznej interpretacji ich pracy (wizualizacji);
• (warunkowe - przyp. red.) podłączenie stacji do Internetu przez kartę SIM z uruchomioną usługą – statyczny, publiczny adres IP (Orange, T-Mobile, Plus GSM).

Podobnie jak w przypadku omawianego wcześniej obiektu, panel sterowania musiał być widoczny jako strona WWW - konieczne było zapewnienie ”zdalnej zmiany nastaw poprzez system stron internetowych”. Nie wskazano wprost sposobu uwierzytelniania.

Wystawienie portu do sieci

„Z naszych obserwacji wynika, że potencjalnie skompromitowane podmioty posiadały zasoby IT dostępne z publicznej sieci Internet, w tym panele HMI (ang. human machine interface – przyp. red.) sterujące procesami technologicznymi” - przekazała nam Agencja Bezpieczeństwa Wewnętrznego w październiku br.

W przypadku dokumentacji przetargowej oczyszczalni ścieków w Chodczowie, analizie poddano trzy dokumenty: szczegółową specyfikację techniczną wykonania i odbioru robót budowlanych, opis techniczny do projektu wykonawczego oraz projekt wykonawczy elektryki. Znalazły się w nich następujące stwierdzenia:

System wizualizacji procesu, stanu poszczególnych obiektów technologicznych zaprojektowany zostanie w oparciu o WEB SERWER oraz port Ethernet wbudowany w sterownik PLC. (...) Dla poprawności działania systemu konieczny jest stały dostęp do internetu. Realizacja dostępu do internetu możliwa jest poprzez system DSL ze stałym adresem IP, co wymaga linii telefonicznej na oczyszczalni, lub też wewnętrznej sieci ethernetowej w urzędzie gminy. To drugie rozwiązanie polegałoby na wykorzystaniu bezprzewodowego portu Eternetowego, na który przekierowany by został przez odpowiedni port adres IP ogólno-dostępny w sieci internetowej.
Szczegółowa specyfikacja techniczna wykonania i odbioru robót budowlanych

Modem z funkcją transmisji danych w technologii GPRS w systemie SCADA do odbioru danych poprzez stronę WWW na dowolnym komputerze w sieci internetoqwej.
Projekt wykonawczy (pisownia oryginalna)

Dodatkowo projekt wykonawczy elektryki zakłada wyposażenie w „moduł GPRS z wizualizacją przez stronę WWW producenta, kartą SIM i dostępem do danych w okresie gwarancji” w ramach szafki sterowniczej.

Wizualizacja stanów procesów technologicznych nie powinna opierać się na „wystawieniu” do Internetu odpowiedniego portu, nawet przy stosowaniu „silnego hasła”, co opisało CERT Polska w swoich rekomendacjach.

Rekomendacje

Serdecznie zachęcamy do zapoznania się z rekomendacjami CERT Polska i Pełnomocnika Rządu ds. Cyberbezpieczeństwa, wicepremiera Gawkowskiego.

Warto dodać, że omawiane dokumenty zazwyczaj były tworzone przez zewnętrzne podmioty, niezależne od administracji publicznej.

Tam, gdzie to możliwe zdalny dostęp powinien być realizowany na żądanie. Każde prowadzenie zdalnych czynności na systemie powinno zostać odnotowane w sposób pozwalający jednoznacznie zidentyfikować czas, cel i źródło prowadzonych prac.
CERT Polska, Rekomendacje OT, maj 2024

Niestety w wielu przypadkach urządzenia przemysłowe podłączone są do internetu przez routery komórkowe, których adres IP wskazuje na operatora komórkowego, którego karta SIM została użyta. W takiej sytuacji nie mamy możliwości dotarcia do właściciela, możemy jedynie przekazać informacje do operatora telekomunikacyjnego.
CERT Polska, Rekomendacje OT, maj 2024

Osoby, które chcą się z nami anonimowo skontaktować, zapraszamy do  formularza w zakładce „Kontakt” (u dołu strony).