Jak walczyć z cyberatakami w energetyce? "Szybka wymiana infomacji"

Ekspert zauważył, że przyspieszony proces cyfryzacji, który wymusiła pandemia, spowodował wzrost zagrożenia cyberatakami. Powołując się na coroczne raporty ENISA Threat Landscape („Krajobraz zagrożeń wg Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA)”) powiedział, że w 2020 r. w krajach Wspólnoty odnotowano ponad 1000 znaczących incydentów i liczba ta rośnie z roku na rok.

Sektor energetyczny narażony na cyberataki

Według Leszczyny jednym z bardziej narażonych na ataki cyberprzestępców jest sektor energetyczny; dobrze skonstruowany wirus, czy złośliwy kod wpuszczony do sieci informatycznej może sparaliżować system wytwarzania i dostaw energii, a tym samym uniemożliwić funkcjonowania wielu instytucji i przedsiębiorstw.

"To może być nawet paraliż kraju" - powiedział. Dodał, że w ubiegłym roku CERT Polska zarejestrował ponad sto cyberincydentów w sektorze energetycznym, a skala zjawiska z rośnie. "Hakerom najczęściej zależy na okupie, zdobyciu danych lub przejęciu kontroli nad komputerami" - wyjaśnił.

Jako przykład chaosu wywołanego cyberatakiem na sektor energetyczny, wskazał incydent, do którego doszło w maju br. w Colonial Pipeline – firmie-właścicielu największego rurociągu naftowego na wschodnim wybrzeżu USA. "Efektem było wyłączenie rurociągu, zamknięcie wielu stacji benzynowych i wprowadzenie stanu wyjątkowego w stanie Georgia" - powiedział Leszczyna.

Ekspert przypomniał, że zarząd Colonial Pipeline w ciągu kilku godzin zdecydował się na zapłacenie hakerom 4,4 mln dolarów okupu, ale przywrócenie systemów do pracy i ponowne uruchomienie przesyłu paliw zajęło prawie tydzień.

Dodał, że choć żadna z polskich elektrowni do tej pory nie była calem ataku, to nie można takiej sytuacji wykluczyć. "Bronią w walce z nowoczesnymi cyberatakami jest monitoring i w sposób ciągły dzielenie się informacjami na temat tego, co się dzieje w systemach informatycznych poszczególnych producentów i dostawców energii" - powiedział.

Wskazał, że taką wymianę wiedzy i doświadczeń umożliwia sieć SAN (ang. Situational Awareness Network) oraz system wymiany informacji o cyberincydentach opracowany w ramach międzynarodowego projektu, którego partnerem była Politechnika Gdańska. Sieć SAN - jak mówił - pomaga w budowaniu świadomości sytuacyjnej, czyli zdolności dostrzegania zdarzeń, ich analizy oraz określenia skutków. Z kolei system wymiany informacji wspomaga wymianę doświadczeń związanych z cyberincydentami z przeszłości i pomaga zabezpieczyć się przed przyszłymi zagrożeniami.

Podkreślił, że rozwiązania zostały przetestowane we włoskiej elektrowni w Livorno, a z platformy wymiany informacji korzysta obecnie ok. 30 firm z branży energetycznej, m.in. Polskie Sieci Elektroenergetyczne, ENEL, SwissGrid, EDP, Siemens czy Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA).

Pytany, jak działa platforma współtworzona przez naukowców z Politechniki Gdańskiej, powiedział, że jest to przede wszystkim bieżąca wymiana doświadczeń uczestników. "Dzięki wypracowanym rozwiązaniom elektrownie czy operatorzy systemów przesyłowych i dystrybucyjnych mogą być bardziej świadomi zagrożeń i odpowiednio się przed nimi zabezpieczyć" - powiedział. Dodał, że algorytmy, modele i metryki, które umożliwiają dzielenie się danymi rozwijane są w ramach prac europejskiego centrum EE-ISAC (Information Sharing & Analysis Centre).

Z kolei zapytany jak ocenia zabezpieczenia polskiego systemu energetycznego powiedział, że wrażliwym ogniwem są systemy automatyki przemysłowej, a w tym SCADA (Supervisory Control and Data Acquisition). Większość z nich - jak wyjaśnił - wykorzystuje oprogramowanie interface’owe człowiek - maszyna (HMI), umożliwiające użytkownikowi współpracę (łącznie ze sterowaniem) z urządzeniami i wyposażeniem elektrowni. "Gdy haker uzyska dostęp do software’u sterującego, to może bezpośrednio wpływać na pracę urządzeń energetycznych i na przykład spowodować ich awarię " - wskazał. Zaznaczył, że systemy automatyki są szeroko wykorzystywane w energetyce.

Akt o cyberbezpieczeństwie

W czerwcu 2019 roku wszedł w życie Akt o cyberbezpieczeństwie, czyli ogólnoeuropejska regulacja w zakresie cyberbezpieczeństwa. Dokument tworzy europejskie ramy certyfikacji cyberbezpieczeństwa dla produktów i usług ICT oraz nadaje nowe, stałe kompetencje Agencji UE ds. Cyberbezpieczeństwa.

W Polsce obowiązuje Ustawa o krajowym systemie cyberbezpieczeństwa, która m.in. wskazuje tzw. operatorów usług kluczowych, czyli firmy i instytucje świadczące usługi o istotnym znaczeniu dla utrzymania krytycznej działalności społecznej lub gospodarczej. Usługa kluczowa jest zależna od systemów informatycznych. Ustawa wskazuje sektory, w których identyfikowani są operatorzy usług kluczowych. Są to sektor energetyczny, transportowy, bankowy i infrastruktury rynków finansowych, ochrony zdrowia, zaopatrzenia w wodę pitną (wraz z dystrybucją) i infrastruktury cyfrowej. Obecnie trwają prace nad nowelizacją ustawy.