Departament Cyberbezpieczeństwa KPRM wydał rekomendacje dotyczące ochrony przed atakami na przemysłowe systemy sterowania, skierowane zwłaszcza do podmiotów infrastruktury wodno – kanalizacyjnej (jak oczyszczalnie ścieków, stacje uzdatniania wody, rurociągi).

To część infrastruktury krytycznej szczególnie narażone na ryzyko. Pokazała to sytuacja w USA, gdzie w lutym br. zaatakowano stację uzdatniania wody. Cyberprzestępca wykorzystał niezabezpieczony zdalny pulpit do przejęcia kontroli nad systemem, który sterował składem chemicznym wody. W konsekwencji zwiększył ilości wodorotlenku sodu w wodzie do niebezpiecznych dla człowieka wartości. Atak udało się wykryć i nie doszło do nieszczęścia.

„Analizy ekspertów z zespołu reagowania na incydenty komputerowe CSIRT NASK wskazują, że podobne luki bezpieczeństwa posiada wiele podmiotów funkcjonujących w Polsce” – przyznaje departament.

Oddzielić OT od IT, zabezpieczyć zdalny dostęp

Sformułowane w lutym rekomendacje są skierowane do podmiotów infrastruktury wod.-kan., czy też szerzej do operatorów sieci przemysłowych, natomiast niektóre zalecenia mają bardziej uniwersalny charakter.

Departament bezpieczeństwa cyfrowego radzi m.in., by zmniejszyć do minimum ekspozycję sieci przemysłowej, zarówno lokalnej, jak i punktów styku, poprzez identyfikację oraz ograniczenie do koniecznych połączeń z i do tej sieci.

Zaleca się też oddzielić systemy OT od systemów IT zorientowanych na klienta oraz monitorować i kontrolować interakcje pomiędzy nimi. Rekomendowanym rozwiązaniem jest unikanie podłączeń urządzeń przemysłowych do sieci publicznych, w szczególności do internetu.

Należy dokonać przeglądu zdalnego dostępu i ograniczyć go do niezbędnego minimum. Trzeba zwłaszcza zwrócić uwagę na modemy komórkowe i metody zdalnego dostępu podwykonawców. Warto również zmienić domyślne dane uwierzytelniające.

Gdy zdalny dostęp jest niezbędny, np. do monitorowania i zarządzania infrastrukturą, powinno się go umożliwić z pomocą VPN6 z wykorzystaniem konfiguracji pozwalającej na uwierzytelnienie wieloskładnikowe (MFA)7.

Rządowa jednostka rekomenduje też m.in. ograniczenie dostępu do VPN dla określonych adresów IP.

To tylko niektóre z rekomendacji. Cały dokument można znaleźć tutaj.

„Jesteśmy świadkami coraz częstszych ataków na sieci przemysłowe i to już nie są drobne incydenty które przechodzą bez echa, a stały, rosnący trend, dlatego przedsiębiorstwa działające w ramach infrastruktury krytycznej muszą dostrzec konieczność stosowania odpowiednich zabezpieczeń, by nie dopuszczać w przyszłości do takich incydentów” – komentuje powstanie rekomendacji Piotr Zielaskiewicz, product manager Stormshield.