W ostatnich miesiącach mieliśmy w Polsce do czynienia z poważnymi atakami na kluczowe sektory, takie jak energetyka, ciepłownictwo i wodociągi. Intensyfikacja działań hakerskich – szczególnie tych sponsorowanych przez obce państwa – stawia pytanie o stan zabezpieczeń infrastruktury krytycznej, będącej kluczowym elementem polskiej gospodarki, odpowiadającej za około 20% PKB.
Przykładowo, grudniowy atak na polski system energetyczny mógł spowodować blackout na ogromną skalę. W ciepłowni w Rucianem Nida hakerzy wyłączyli jeden z pieców kotłowni, a w miastach takich jak Tolkmicko, Małdyty i Rzeszów próbowano przejąć dostęp do systemów SCADA w zakładach wodociągowych – próbowano manipulować parametrami np. stężeniem chloru, obrotami pomp czy temperaturami. Na szczęście ataki te udaremniono, jednak pokazały one, jak wielkie ryzyko niesie ze sobą cyfryzacja.
„W wielu podmiotach – szczególnie w sektorze wod-kan i ciepłownictwie – nadal funkcjonują systemy projektowane kilkanaście czy kilkadziesiąt lat temu, które podłączono do sieci szybciej, niż zbudowano wokół nich adekwatne mechanizmy ochrony. Zdalny dostęp jest wygodny, ale często nie towarzyszy mu dojrzałe zarządzanie ryzykiem” – wskazuje Piotr Combik z CISO Poland. Ekspert podkreśla, że tam, gdzie wdrożono segmentację, monitoring i procedury reagowania, ataki udaje się wykrywać i neutralizować. Największe ryzyko dotyczy natomiast organizacji działających reaktywnie, bez spójnej strategii cyberbezpieczeństwa.
Jeszcze ostrzej sytuację ocenia Piotr Zielaskiewicz z DAGMA Bezpieczeństwo IT: „Na dziś polskie OT jest tykającą bombą, której detonator pozostaje w rękach przestępców”. Zwraca on uwagę, że skuteczne ataki na infrastrukturę krytyczną oraz uruchamiane programy wsparcia dla zabezpieczeń – m.in. w sektorze wodociągowym i energetycznym – jasno pokazują skalę problemu. Kluczowym wyzwaniem pozostaje nie tylko zakup technologii, ale jej właściwa konfiguracja, utrzymanie i regularne testy. Bariery finansowe oraz niedobór specjalistów dodatkowo komplikują sytuację.
Na brak operacyjnej dojrzałości wskazuje z kolei Aleksander Kostuch z Stormshield: „Zakup firewalli przemysłowych czy systemów detekcji to dopiero pierwszy krok. Konieczne są aktualizacje, monitoring, testy bezpieczeństwa i skuteczne reagowanie – w środowisku, które nie toleruje przestojów”. Dodaje, że przy rosnącej konwergencji IT i OT kluczowe stają się inwentaryzacja zasobów, segmentacja sieci i automatyzacja reakcji, a jednym z głównych ograniczeń pozostaje wspomniany już brak specjalistów łączących kompetencje obu obszarów.
Kluczowe zasady zabezpieczania infrastruktury krytycznej
Analiza ostatnich incydentów pokazuje, że najważniejsze znaczenie ma zabezpieczenie „brzegu sieci” oraz konsekwentne wdrażanie dobrych praktyk. Według ekspertów, kluczowe dla skutecznego powstrzymania intruzów okazują się następujące kwestie:
- Stosowanie firewalli przemysłowych instalowanych możliwie blisko sterowników PLC/RTU zgodne z ISA/IEC 62443.
- Certyfikacja EAL4+ dla firewalli.
- Centralne zarządzanie flotą firewalli.
- Weryfikacja łańcucha dostaw.
- Fizyczna i logiczna separacja sieci IT i OT.
- Wydzielone strefy DMZ dla komunikacji OT z systemami SCADA, IT i zdalnym dostępem.
- Wysoka dostępność transmisji (HA dla firewalli, zdublowane zasilanie, bypass).
- Monitoring i zabezpieczenie przed anomaliami w ruchu w protokołach przemysłowych (np. Modbus, Profinet, S7).
- Autoryzacja użytkowników.
- Obowiązkowe One Time Password dla zdalnego dostępu, kont administracyjnych i dostępu serwisowego.
- Aktualizacja.
- Monitorowanie komunikatów producentów (CVE, advisory).
- Centralny system zbierania logów (SIEM/SOC) i reagowania na incydenty.
„Ataki na energetykę to dzwonek alarmowy dla wszystkich sektorów, które korzystają z technologii operacyjnej” – podsumowuje Piotr Zielaskiewicz.
