Sektor energetyczny będzie coraz częściej padał ofiarą cyberataków

Straty finansowe i wizerunkowe, choć mog? być ogromne, to należ? do najmniej dotkliwych z możliwych skutków ataku na przedsiębiorstwo z sektora energetycznego. Efekty działania cyberprzestępców mog? być dużo bardziej rozległe i w skrajnych przypadkach oddziaływać na ludzkie zdrowie oraz życie. –  W Polsce szczególnie narażonym na cyberatak jest sektor naftowo-gazowy. To właśnie operatorzy tego segmentu rynku, świadcz?cy kluczowe usługi, stanowi? strategiczny punkt na mapie nie tylko bezpieczeństwa gospodarczego czy obywateli, ale także całego kraju. To wynik aktualnej sytuacji geopolitycznej, w tym rywalizacji wielu grup wpływów. Operatorzy, z uwagi na to, że posiadaj? systemy automatyki przemysłowej i systemy IT s? grup? podwyższonego ryzyka  – mówi  Piotr Borkowski, Ekspert w obszarze cyberbezpieczeństwa w Zespole ds. Energii i Zasobów Naturalnych Deloitte.

Systemy (nie)bezpieczeństwa

W obliczu możliwych, niekiedy skrajnych, skutków cyberataków zupełny brak lub niedostateczna dbałość o zabezpieczenie przed nimi może dziwić. W wielu przypadkach twórcy systemów automatyki przemysłowej skupili się przede wszystkim na ich niezawodności, zamiast na potencjalnym zagrożeniu, jakie ich przejęcie przez np. terrorystów może oznaczać. -  Systemy IT oraz OT, administrowane przez operatorów usług kluczowych, mog? zostać zaatakowane zarówno przez grupy wynajęte przez firmy konkurencyjne, grupy działaj?ce na rzecz obcych państw, jak również „zwykłych” przestępców, którzy w takiej formie swojej aktywności mog? upatrywać potencjalnie dobrego zysku. Wskazane systemy musz? być również jak najlepiej przygotowane na kampanie globalne, które często choć s? nieukierunkowane to rykoszetem potrafi? spustoszyć systemy niejednej dużej firmy. Tak wiele czynników ryzyka dla systemów IT oraz OT powinno być motywatorem do podjęcia wszelkich dostępnych środków, aby maksymalnie ograniczyć ryzyko ich wyst?pienia  – zaznacza  Piotr Borkowski. Eksperci Deloitte zwracaj? uwagę, że skuteczność tych działań zależy od poł?czenia wiedzy o IT i inżynierii oraz pogodzenia ich niekiedy rozbieżnych punktów widzenia. Specjaliści przemysłowych systemów sterowania nie zawsze bowiem w pełni rozumiej? współczesne zagrożenia bezpieczeństwa informatycznego, podobnie jak specjaliści od bezpieczeństwa IT często nie rozumiej? procesów przemysłowych. Bez wsparcia IT systemy sterowania produkcj? niezwykle trudno jest zabezpieczyć. Wynika to między innymi z tego, że choć nie zostały zaprojektowane do poł?czenia, dziś funkcjonuj? jako część sieci. Rozwój technologiczny sprzyja wydajności i obniżeniu kosztów, ale także otwiera przedsiębiorstwa na cał? gamę cybernetycznych zagrożeń.

Ostrzeżenie z USA

O skali zagrożenia najlepiej świadcz? próby ataków, które obserwujemy od lat. Już w 2003 r. jedna z amerykańskich elektrowni j?drowych w stanie Ohio została zainfekowana wirusem Slammer. Terroryści najpierw zaatakowali system firmy współpracuj?cej z przedsiębiorstwem zarz?dzaj?cym elektrowni?. Potem łatwiej już było uderzyć w sam? elektrownię, a wirus błyskawicznie atakował kolejne komputery. Slammer zablokował system odpowiedzialny za chłodzenie reaktora. Z kolei w 2014 r. zhakowane zostały systemy komputerowe operatora elektrowni j?drowej w Korei Południowej. Informacje i technologie zachodnich firm energetycznych nieustannie próbuj? wykraść hakerzy z konkurencyjnych krajów. Rozsyłaj? maile z zainfekowan? treści?, instaluj? szkodliwe oprogramowanie czy zmieniaj? treści na stronie internetowej atakowanej firmy. To ataki nieudane, gdzie straty s? znikome lub nie było ich wcale. Ale w 2016 r. atak na ukraińsk? energetykę pozbawił pr?du część Kijowa na dwa dni. Rok wcześniej podobny atak pozbawił pr?du 225 tys. mieszkańców zachodniej Ukrainy. Przed cyberprzestępcami z Rosji na pocz?tku roku ostrzegał Departament Bezpieczeństwa Wewnętrznego (DHS) Stanów Zjednoczonych. Z jego analiz wynika, że scenariusz jest zazwyczaj podobny do tego w Ohio. Hakerzy atakuj? najpierw organizacje zewnętrzne, współpracuj?ce z faktycznym celem ich ataku. Wirus rozprzestrzenia się poprzez zainfekowane konta pocztowe czy strony internetowe odwiedzane przez pracowników.

Różne motywy, jeden cel

–  Nieznajomość wroga powinna być duż? zachęt? do jak najlepszego zabezpieczenia systemów IT i OT. Dodatkowy akcelerator działań to wejście w życie w sierpniu tego roku ustawy o Krajowym Systemie Cyberbezpieczeństwa, która w odniesieniu do systemów IT i ich bezpieczeństwa narzuca na operatorów usług kluczowych dodatkowe wymagania  – mówi  Piotr Borkowski.

Brak zabezpieczeń, nieprawidłowe testowanie systemów IT czy wdrażanie technologii bez wcześniejszych testów – to wszystko zostawia luki, z których mog? skorzystać cyberprzestępcy. Często pomijanym elementem w systemach bezpieczeństwa s? także ludzie. Przez brak przeszkolenia w tym zakresie i wiedzy o ryzyku pracownicy przenosz? do systemu przedsiębiorstwa media zainfekowane złośliwym oprogramowaniem. Wiele osób wci?ż jest przekonanych, że niepowodzenia czy awarie najczęściej s? spowodowane warunkami pogodowymi, błędami ludzkimi i zmęczeniem sprzętu, a nie manipulacj? cyberprzestępców.

Znalezienie podatności i ewentualnych błędów konfiguracyjnych w posiadanych systemach to priorytet dla firm naftowo-gazowych. Eksperci Deloitte zaznaczaj?, że pracę nad nimi powinien na bież?co wykonać zespół specjalistów ds. biznesu, inżynierii i bezpieczeństwa IT. Niemożliwe jest zabezpieczenie wszystkiego w równym stopniu. Na szczycie listy powinny być więc krytyczne zasoby i infrastruktura. Aby przedsiębiorstwo było bezpieczne konieczne jest jego ci?głe i automatyczne monitorowanie oraz opracowanie mechanizmów wychwytuj?cych potencjalny atak lub minimalizowanie jego skutków.