Eskalacja cyber zagrożeń w energetyce: przypadki oraz ich implikacje

Dopiero po takim symulowanym ataku przeprowadzane są warsztaty z pracownikami. Omawiane sytuacje nie są dla uczestników już tylko teoretycznymi rozważaniami czy problemami, na które dali się złapać inni – to ataki, których ofiarą padli sami uczestnicy lub ich koledzy.

- Omawiamy z uczestnikami, którzy padli ofiarą naszego ataku całą procedurę, począwszy od tego, jak taki atak przygotowaliśmy i przeprowadziliśmy. Bardzo ważne jest dokładne uzmysłowienie uczestnikom skutków takich banalnych czynności jak kliknięcie w nie do końca sprawdzony załącznik czy skorzystanie z pendrive’a niewiadomego pochodzenia - mówi Karol Kij.

Phishing to tylko jedno z zagrożeń. W rozmowie, Karol Kij wskazuje, iż masowe rozmieszczenie infrastruktury rozproszonej – wiatrowej i słonecznej oraz konieczność połączeń dojących możliwość zarządzania, znacznie zwiększa powierzchnię systemu energetycznego i czyni ją bardziej podatną na cyberataki. Również rozłączna architektura IT oraz OT stanowi jedno z większych zagrożeń bezpieczeństwa, poprzez trudności w monitorowaniu i wykrywaniu zagrożeń dla środowiska OT używanego w systemach energetycznych. Według raportu firmy Claroty zajmującej się cyberbezpieczeństwem w pierwszej połowie 2021 r. w porównaniu z poprzednim półroczem odnotowano 41 proc. wzrost ujawnionych błędów w przemysłowych systemach sterowania.

W przypadku każdego ataku, kluczowe znaczenie dla skutecznej ochrony ma warstwowa strategia bezpieczeństwa, która obejmuje zarówno zaawansowane metody, monitorowanie bezpieczeństwa oraz wykrywanie zagrożeń, jak i procedurę odpowiedniej reakcji na pojawiające się incydenty.

Przejęcie firmy w dwie godziny

- Ostatni znany mi rekord całego procesu - od dostarczenia malware na komputer użytkownika do przejęcia całego systemu wynosi około dwóch godzin - mówi Karol Kij. - Czasami jednak trwa to wiele dni. Wprowadzanie kolejnych poziomów zabezpieczeń ma utrudnić ten proces podnoszenia sobie uprawnień przez przestępców. Umiejętność dostrzegania zagrożeń w infrastrukturze IT oraz OT, to niewątpliwie najważniejsza umiejętność w procesie zarządzania cyberbezpieczeństwem. Nie da się reagować na zdarzenia, których nie widać, dlatego kluczowym staje się zapewnienie aktualnej informacji o stanie systemów organizacji poprzez ich stałe monitorowanie oraz natychmiastową reakcję na niepożądane zjawiska - dodaje Karol Kij.

Stworzone przez Atende Security Suite to warstwowe podejście do cyberbezpieczeństwa proponowane przez Atende, oparte na analizie behawioralnej, wykrywaniu anomalii i regułach. Jeśli klient samodzielnie dba o część ze wskazanych elementów systemu, może skorzystać z wybranych fragmentów tej kompleksowej usługi.

Warto także pamiętać, że w zakresie działań związanych z zapewnieniem bezpieczeństwem kluczowa jest nie tylko identyfikacja zagrożenia oraz ochrona, która ma miejsce w danym momencie, ale także identyfikacja zagrożeń w całym cyklu życia cyberataku, od wstępnego rozpoznania po tzw. eksfiltrację danych.

Po ataku na Ukrainę w 2015 r. operatorzy sieci przywrócili zasilanie, wysyłając pracowników do ręcznego sterowania wyłącznikami, zamiast pracować ze zdalnego systemu operacyjnego. Niektórzy obserwatorzy sugerują, że taka reakcja nie byłaby już możliwa w coraz bardziej cyfrowych sieciach w Europie Zachodniej czy w Stanach Zjednoczonych.

Strategia ochrony przed cyberzagrożeniami

Technologie cyfrowe umożliwiają większą kontrolę, optymalizację i analitykę, a to z kolei umożliwia lepsze wykorzystanie końcowe i wydajność systemów energetycznych. U podstaw transformacji energetyki musi leżeć bezpieczeństwo rozumiane jako zaplanowana i odpowiednio wdrożono strategia, oparta o odpowiednie, zweryfikowane rozwiązania i edukację pracowników.

Dobrze wdrożona strategia ochrony przed cyberzagrożeniami pozwala na szybkie i skuteczne reagowanie na pojawianie się nowych metod ataków.

Czytaj także: Edge-IoT Alliance ustanowi standardy dla urządzeń brzegowych

- Weźmy pod uwagę chociażby nowo odkrytą podatność w powszechnie używanym narzędziu o nazwie Log4j. Luka umożliwia hakerom internetowym łatwe przejęcie kontroli nad wszystkim, od przemysłowych systemów kontroli po serwery internetowe i elektronikę użytkową. Poprawnie zbudowany system cyberochrony powinien umożliwić szybką identyfikację tej nowej podatności w całym środowisku IT, wskazać potencjalne wektory ataku oraz monitorować, wykrywać i blokować potencjalne próby wykorzystania podatności - mówi Karol Kij.

Aby wyprzedzić nieustannie rozwijającą się walkę z cyberatakami, zabezpieczenia muszą być wbudowane w każdy aspekt firmy — oznacza to w praktyce budowanie odporności od podstaw i stawianie zaufania w centrum nowoczesnego, cyfrowego przedsiębiorstwa. - Dziś potrzebujemy zabezpieczeń dopasowanych do niezwykle szybkiego tempa rozwoju, zabezpieczeń zaprojektowanych i dostosowanych do istniejących zagrożeń, ale również tych jeszcze nieznanych - wskazuje Karol Kij.