Breaking news
Targi ENERGETAB już 15-17 września 2020.

Technologie informacyjno-komunikacyjne (ICT) współczesnej energetyki można zdefiniować, jako połączenie coraz bardziej skutecznych cyfrowych sieci telekomunikacyjnych (porównywanych do nerwów), wszechobecnie występujących elementów sztucznej inteligencji (porównywanych do mózgów), czujników i liczników (porównywanych do narządów zmysłów) oraz oprogramowania (porównywanego do wiedzy i kompetencji poznawczych).

 

Marek Wąsowski, Dyrektor Biura,
Konsorcjum Smart Power Grids Polska

 

W takim ujęciu inteligentne sieci energetyczne (jak: Smart Grids, Smart City, Smart Home, Smart Metering etc.) należy postrzegać jako sieć nakładających się wzajemnie połączeń „nerwowych” do mechanicznych i elektrycznych systemów sieci energetycznych, systemów zarządzania budynkami (BMS), systemów transportowych, systemów wbudowanych w sprzęty gospodarstwa domowego itp. oraz systemów zapewniających bezpieczeństwo odbiorców energii.

Systemy ICT polskiej energetyki – analogicznie jak tradycyjne systemy komputerowe (IT) – narażone są na cyberataki, których celem jest obezwładnienie czynnika ludzkiego zaangażowanego w ochronę atakowanej infrastruktury oraz przejęcie kontroli nad atakowaną infrastrukturą oraz informacją przechowywaną lub przetwarzaną przez tę infrastrukturę. W skrajnych przypadkach celem hakerów jest spowodowanie fizycznych zniszczeń.

Firma Check Point Software Technologies, lider rozwiązań bezpieczeństwa informatycznego, stworzyła cyfrową mapę świata „World Cyber Threat Map” [1], która prezentuje w czasie rzeczywistym trwające ataki ATP w objętej monitoringiem sieci. Mapa ta czerpie dane z chmury obliczeniowej Check Point ThreatCloud – największej światowej sieci stworzonej do walki z cyberatakami. ThreatCloud może pochwalić się bazą danych zawierającą 250 mln adresów IP, powiązanych z atakami ATP, 11 mln sygnatur złośliwego oprogramowania i 5,5 mln adresów zainfekowanych stron internetowych.

Na stronie dostępne są statystyki, z których wynika, że Polska jest celem ok. 2 proc. wszystkich ataków rejestrowanych przez ThreatCloud (patrz rysunek).

W tych warunkach zagwarantowanie całkowitej nienaruszalności infrastruktury, a także integralności oraz poufności przetwarzanych danych jest zadaniem niewykonalnym. Stąd zachodzi potrzeba określenia nowych kryteriów sukcesu i porażki w obronie cyberbezpieczeństwa systemów energetycznych.

Zmiany natury zagrożeń dla sieci energetycznych

Z nastaniem XXI w. świat wkroczył na nową arenę konfliktów, na której bronią stały się komputery, programy oraz systemy teleinformatyczne. Wojny informacyjne, koncentrujące się dotąd na uzyskiwaniu zdalnego dostępu do systemów informatycznych przeciwnika, weszły w fazę zdalnego wywoływania fizycznych zniszczeń w naszpikowanych elektroniką systemach infrastruktury krytycznej. Do opinii publicznej dotarły jedynie informacje o tego typu atakach, których efektów nie dało się ukryć. Do najpoważniejszych znanych „sukcesów” hakerów, które zakończyły się fizycznym zniszczeniem infrastruktury, zalicza się:

  • 2008 – zniszczenie instalacji wzbogacania uranu w kompleksie energetycznym w Buszehr (Iran),
  • 2015„poważne uszkodzenie systemu” w jednej z hut w RFN, które spowodowało „brak możliwości wygaszenie pieca hutniczego w sposób kontrolowany”,
  • 2015 – pozbawienie na kilkanaście godzin dopływu prądu do 220 tys. domostw w obwodzie iwanofrankowskim na Ukrainie (do 1962 r. miasto to nazywało się Stanisławów;położone jest 200 km od Przemyśla).

Ataki te przypisywane są wysoko wyspecjalizowanym zespołom podziemia informatycznego i/lub rządom państw wykorzystujących zaawansowane technologie informatyczne do zdalnej realizacji zadań dywersyjnych. Polska energetyka – choć oficjalne źródła często temu zaprzeczają – poddawana jest nieustającym próbom sforsowania zabezpieczeń informatycznych. Część z tych prób zdaniem specjalistów zakończyła się sukcesem hakerów.

Informację o udanym cyberataku na polską infrastrukturę energetyczną można znaleźć np. w Raporcie CERT.GOV.PL o stanie cyberbezpieczeństwa RP za 2014 r. [2], w którym czytamy: „Skompromitowany system infekowany był złośliwym oprogramowaniem z rodziny BlackEnergy. W związku z powyższym zagrożeniem Zespół CERT.GOV.PL podjął działania skierowane do instytucji administracji państwowej oraz sektora energetycznego infrastruktury krytycznej, zmierzające do ograniczenia możliwości eskalacji zagrożenia. Przekazano listę adresów IP serwerów zarządzających (C&C) biorących udział w kampanii, celem weryfikacji czy doszło do połączeń wraz z zaleceniami m.in. natychmiastowej aktualizacji wszystkich komputerów wykorzystujących podatne wersje systemów operacyjnych Windows”.

Ten sam BlackEnergy wykryty na Ukrainie w 2014 r., w rok później spowodował blackout w obwodzie iwanofrankowskim. W tym kontekście działanie Zespołu CERT.GOV.PL należy traktować w kategorii sukcesu CERT oraz porażki osób odpowiedzialnych za bezpieczeństwo infrastruktury, w której dopuszczono do używania nieaktualnych wersji oprogramowania Windows.

Miary sukcesu cyberobrony

Jak wynika z danych zgromadzonych przez zespół CERT Polska działający w ramach NASK, w Polsce w 2014 r. każdego dnia zostało zainfekowanych złośliwym oprogramowaniem średnio 280 tys. komputerów, co daje łączną liczbę ponad 100 mln zainfekowań rocznie [3].

Miara sukcesu zatem pozornie wydaje się prosta do ustalenia: ilość (odsetek) wykrytych infekcji komputerów działających w systemach polskiej energetyki, przy czym pod pojęciem „komputer” należy rozumieć także urządzenia mobilne użytkowane przez pracowników obsługi systemów ICT takie, jak: laptopy, tablety, telefony komórkowe czy popularne pendrive. Jako porażkę należy traktować brak kompleksowego zarządzania podatnością na cyberatak z użyciem zainfekowanego urządzenia.

Do kategorii „komputery” coraz częściej zaliczane są również inne urządzenia podłączone do Internetu, w tym m.in. modemy, routery, kontrolery, elementy systemów SCADA, urządzenia sieciowe PLC w systemach AMI, w tym liczniki energii elektrycznej. W odróżnieniu od systemów IT (ang. Internet Technologies), zwykło się tego typu urządzenia określać skrótem OT (ang. Operational Technologies). O ile do ochrony systemów IT są powszechnie dostępne rozwiązania antywirusowe, antyspamowe, antymalware itp., to o tyle sytuacja mocno komplikuje się w przypadku próby adekwatnej ochrony systemów OT. Pierwszą miarą sukcesu, która się w tym przypadku nasuwa jest ilość (odsetek) eksploatowanych systemów OT wyposażonych w podsystemy monitoringu oraz ochrony transmisji danych. Porażką będzie każda liczba odpowiedzi negatywnych.

Bezwzględnym wymogiem bezpieczeństwa jest posiadanie czynnej umowy serwisowej z producentami systemów OT, w których zagwarantowano sobie okresową aktualizację dostarczonego oprogramowania, usuwającą wykryte po zainstalowaniu systemu tzw. „luki” w postaci popularnych „łat” (ang. patch), jak i możliwość zatrudnienia pracowników producenta do naprawienia szkód powstałych w wyniku działania złośliwego oprogramowania. W tym przypadku jako miarę sukcesu można by określić ilość (odsetek) zainstalowanych aktualizacji oprogramowania zaimplementowanego w systemach OT, zaś miarą porażki – ilość (odsetek) dostępnych a niezainstalowanych aktualizacji. Powracając do sukcesu CERT.GOV.PL polegającego na wykryciu w 2014 r. złośliwego oprogramowania BlackEnergy warto pamiętać, że zalecenie CERT.GOV.PL dotyczyło natychmiastowej aktualizacji używanych systemów Windows firmy Microsoft, nie wspomina jednak o podobnych działaniach dotyczących systemów OT.

Na koniec pozostaje odnieść się do najtrudniejszego wyzwania, jakie stoi obecnie przed osobami odpowiedzialnymi za bezpieczeństwo informatyczne. Według szeregu publikacji średni czas wykrycia cyberataku na duże przedsiębiorstwo wynosi od pięciu miesięcy od daty zaistnienia cyberataku do nawet kilku lat.

22 września 2016 r. amerykański portal internetowy Yahoo podał do publicznej wiadomości informację o potwierdzonym ataku hakerów, który nastąpił w 2014 r. W jego wyniku wykradziono dane ponad 500 mln klientów Yahoo. Tak późne podanie tej informacji nie wynikało z chęci zatuszowania wycieku informacji użytkowników, lecz z faktu, że Yahoo nie zdawało sobie sprawy z istniejącego problemu [4]. Niespełna trzy miesiące później Yahoo przyznało się do kolejnego wycieku danych, tym razem wg deklaracji firmy łupem cyberprzestępców padły prywatne informacje miliarda użytkowników. Ale największą konsternację wywołała inna wiadomość podana przez Yahoo: hakerzy wykradli te dane z serwerów firmy w sierpniu 2013 r., czyli ponad trzy lata wcześniej! Przypadek ten odzwierciedla kolosalną porażkę konwencjonalnego podejścia do oceny cyberbezpieczeństwa.

Po ujawnieniu ataków na Yahoo firma Verizon, która w lipcu 2016 r. ogłosiła przejęcie Yahoo poinformowała o obniżce ceny za transakcję o 1 mld dolarów, a zaoszczędzona suma ma zostać przeznaczona na zabezpieczenie ewentualnych roszczeń, z którymi mogą wystąpić osoby dotknięte wyciekiem danych. Podobnie jak w przypadku Yahoo, straty finansowe powstałe w wyniku cyberataku są podawane do publicznej wiadomości przez inne przedsiębiorstwa. Z raportu IBM [5] wynika, że przeciętny wyciek danych z jednej firmy w USA generuje stratę finansową średnio w kwocie 4 mln dolarów.

Wyciągając wnioski w opisanego przypadku firmy Yahoo, należy jak najszybciej przejść od tradycyjnego modelu pasywnej obrony systemów informatycznych do modelu obrony aktywnej, którego istotą jest wykrywanie śladów obecności cybernapastnika w chronionych systemach, aby już przy pierwszym zetknięciu się z jego obecnością móc go zablokować [6].

Miarami sukcesu (i porażki), którymi w takich działaniach można się posługiwać się są np.:

  • czas odkrycia przeniknięcia cybernapastnika do systemu oraz
  • stopień redukcji strat, jakie mógł on wyrządzić w czasie swojej aktywności.

Podsumowanie i wnioski

Praktyczne podejście do współczesnych zagrożeń wymaga w opinii autora zredagowania na nowo procesów, procedur i praktyk biznesowych związanych z eksploatacją systemów IT/OT w polskim sektorze energetycznym.

Zaprezentowane propozycje miar sukcesu i porażki w podejmowanych działania w zakresie cyberbezpieczeństwa stanowić mogą przyczynek do podjęcia szerszej dyskusji w zakresie rewizji dotychczas stosowanych rozwiązań. W przedstawionym ujęciu proponuje się przyjęcie nowego paradygmatu, którego istotą nie jest jedynie zapobieganie infiltracji krytycznych systemów IT/OT, lecz jak najszybsze wykrycie każdego ataku i zminimalizowanie szkód spowodowanych przez cybernapastnika.

 

Źródło:
[1] https://www.checkpoint.com/ThreatPortal/livemap.html (odczyt 23.11.2016 godz. 12:12)
[2] https://www.cert.gov.pl/download/3/172/RaportostaniebezpieczenstwacyberprzestrzeniRPw2014roku.pdf (odczyt 28.12.2016)
[3] http://naukawpolsce.pap.pl/aktualnosci/news,404635,cert-polska-statystycznie-280-tys-zainfekowanych-komputerow-w-polsce.html (odczyt 28.12.2016)
[4] http://www.wirtualnemedia.pl/artykul/verizon-chce-zaplacic-za-yahoo-o-miliard-dolarow-mniej-powodem-wyciek-danych-500-mln-uzytkownikow (odczyt 28.12.2016)
[5] http://www-03.ibm.com/security/services/endpoint-data-protection/ (odczyt 28.12.2016)
[6] http://www.marketwatch.com/story/this-is-the-new-reality-for-cyber-security-accept-that-hackers-will-get-in-2016-12-09?mod=mw_share_twitter (odczyt 28.12.2016)

 

Artykuł ukazał się w ramach czasopisma "Smart Grids Polska" 1/2017(17).

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu tylko za zgodą wydawcy ARTSMART Izabela Żylińska.