Bezpieczeństwo przedsiębiorstw wodociągowych w czasach wzrastających zagrożeń cybernetycznych

Przedsiębiorstwa wodociągowe są tą kategorią podmiotów użyteczności publicznej i infrastruktury krytycznej, w przypadku których ciągła działalność ma szczególne znaczenie. Nikt nie wyobraża sobie sytuacji, w której odbiorcy zostają pozbawieni możliwości korzystania z wody. Specyfiką działalności zakładów wod-kan jest rozproszenie elementów – obsługują punkty ujęcia wody i jej uzdatniania oraz przepompownie ścieków, a odseparowanie poszczególnych części składowych systemu zwiększa ryzyko ataku. Efektywne zarządzanie nimi odbywa się bowiem w coraz większym stopniu w oparciu o dostęp online.

W obliczu rosnącej skali zagrożeń cybernetycznych wymierzonych w infrastrukturę krytyczną, motywowanych zarówno pobudkami ekonomicznymi, jak i geopolitycznymi, zapewnienie maksymalnego bezpieczeństwa pozostaje przedmiotem troski zarządzających tymi podmiotami. Wpływ na to ma zbliżająca się implementacja założeń dyrektywy NIS2, która na podmioty z branży wod-kan nałoży nowe obowiązki.

Produkcja wody i odbiór ścieków to proces, w realizacji którego w coraz większym stopniu wykorzystywane są nowoczesne rozwiązania technologiczne. Internet Rzeczy, ciągła komunikacja pomiędzy poszczególnymi elementami przenikających się sieci – internetowej i przemysłowej – oraz wykorzystanie licznych urządzeń to standard w tej branży.

– Niejednokrotnie na tak funkcjonujący system niezbędne jest nałożenie odpowiednich zabezpieczeń, które zminimalizują ryzyko skutecznych wrogich działań. Z perspektywy podmiotów odpowiedzialnych za wdrożenie cyberochrony jest to wyzwanie, związane z koniecznością działania w sposób pozwalający utrzymać ciągłość procesów produkcyjnych w środowisku przemysłowym przy jednoczesnym zapewnieniu bezpieczeństwa i zgodności sieci – mówi Aleksander Kostuch, inżynier Stormshield, europejskiego wytwórcy rozwiązań z obszaru IT.

Wodociągowe studium przypadku

Specjaliści w ramach wdrożonego w jednym z funkcjonujących w Polsce przedsiębiorstw wodociągowych systemu zabezpieczeń ustanowili bezpieczne, monitorowane i oddzielne środowisko sieciowe IT oraz rozwiązania mające na celu ochronę operacji prowadzonych w sieciach OT (przemysłowych), działających m.in. w oparciu o sterowniki logiczne (PLC) do zarządzania krytycznymi procesami.

Elementem systemu były urządzenia firewall, umieszczone jak najbliżej urządzeń automatyki przemysłowej, często montowane na tej samej szynie DIN co sterowniki PLC. Ułatwia to szybkie wykrywanie zagrożeń i reagowanie na nie, minimalizując powierzchnię ataku i maksymalizując ochronę infrastruktury przemysłowej. Duże znaczenie we wdrożonym systemie bezpieczeństwa ma autoryzacja pracowników z użyciem istniejących mechanizmów Active Directory i integracji poprzez mechanizm SSO. Monitorowane i zapisywane są wszystkie działania systemów i użytkowników w ramach protokołów przemysłowych, które przepuszczone są na urządzeniach. Zdarzenia te są rejestrowane w centralnym systemie SIEM. Infrastruktura rozproszonych firewalli po przepompowniach i ujęciach wody jest zarządzana z centralnego systemu Stormshield Management Center.

Implementując system, uwzględniono również aspekt zgodności wdrażanych rozwiązań z przepisami w zakresie przetwarzania danych. Dane osobowe, takie jak nazwy użytkowników, źródłowe adresy IP, adresy MAC i nazwy hostów, nie były jawnie prezentowane w dziennikach i raportach. Zamiast tego zostały one zanonimizowane w celu zachowania prywatności użytkowników, co pozwoliło spełnić wytyczne RODO.

– Konwergencja sieci IT i OT naraża organizację na potencjalne cyberzagrożenia i ryzyko. Strategia obejmowała wdrożenie firewalli na obrzeżach każdej z sieci OT. Aby sprostać wyzwaniu bezprzerwowego wdrożenia w istniejącej sieci zaproponowane zostało rozwiązanie obejmujące jej segmentację z wykorzystaniem funkcjonalności bridge przy jednoczesnej minimalizacji zmian w istniejącej infrastrukturze sieciowej. Ponadto funkcjonalność bypass pozwala na bezprzerwowe działanie nawet w momencie restartu urządzenia podczas wymiany oprogramowania układowego na nowsze, tzw. upgrade firmwaru – wyjaśnia Aleksander Kostuch.

Podejście to opiera się na wykorzystaniu mostu między interfejsami do segmentacji, w połączeniu z kompleksową polityką bezpieczeństwa i dogłębną analizą protokołów dostosowaną do konkretnych protokołów przemysłowych używanych w różnych segmentach sieci oraz odrzucaniem całości niepożądanego ruchu sieciowego.

Przedsiębiorstwa wodociągowe wobec wyzwań związanych z NIS2

W myśl dyrektywy NIS2 instytucje publiczne świadczące usługi w sektorze niezbędnym dla utrzymania podstawowych funkcji społeczeństwa i gospodarki zalicza się do kategorii podmiotów kluczowych. Dokument nakłada na nie obowiązki stosowania określonych środków ochrony (powinny być one najnowsze ze względu na aktualny stan wiedzy i proporcjonalne do ryzyka związanego z konkretną działalnością) oraz szereg innych wymogów związanych na przykład z raportowaniem incydentów naruszenia bezpieczeństwa, zapewnienie odpowiedniego poziomu bezpieczeństwa produktów i przekazywania informacji o zagrożeniach i wadach. Nowe przepisy obejmą także wdrażanie procedur w zakresie testowania i audytów zabezpieczeń oraz tworzenia planu ciągłości działania.

– Ujęte w dyrektywie wymagania co do zabezpieczeń niezbędnych do wdrożenia sprawiają, że obok narzędzi, takich jak firewalle umożliwiające mikrosegmentację sieci firmowych, z myślą o wykorzystaniu maksimum oferowanego przez nie potencjału zasadnym będzie uzupełnić je na przykład o systemy SIEM. Są one przeznaczone do zbierania informacji z logów, raportowania, korelowania i obsługi incydentów. Takie kompleksowe rozwiązanie może znacząco podnieść bezpieczeństwo danego podmiotu. Jednak niezależnie od skali wprowadzonych zabezpieczeń, zapewnienie ich prawidłowego funkcjonowania wymagać będzie zaangażowania specjalistów – wyjaśnia eksperteuropejskiego wytwórcy rozwiązań z obszaru IT.

Obowiązków wynikających z założeń dyrektywy nie da się zrealizować bez odpowiednio przygotowanej i liczebnej kadry. Przy planowaniu, w tym tworzeniu założeń budżetowych, ten aspekt jest często pomijany, co może odbijać się na jego późniejszej efektywności. Problem niedoboru specjalistów dotyka wszystkich, a perspektywa związana z implementacją rozwiązań opisanych w dyrektywie NIS2, w opinii ekspertów może tę sytuację pogorszyć, choć jednocześnie – daje potencjalną szansę na pozyskanie nowych osób.

– System bezpieczeństwa IT wymaga stałej, specjalistycznej obsługi, co decyduje o znaczeniu czynnika ludzkiego w powodzeniu całej operacji. Podobnie sytuacja wygląda z funkcjonowaniem SOC-ów, audytów czy tworzenia polityk bezpieczeństwa i planów działania. Tu również nie obejdzie się bez specjalistów, choć w tych rolach odnajdą się osoby nieposiadające przygotowania technicznego – dodaje ekspert Stormshield.

Zarządzanie projektami, kompetencje w zakresie efektywnej i skutecznej komunikacji, umiejętności analityczne – te kompetencje będą kluczowe dla chcących wykorzystać szansę, jaka powstaje w związku z przyjęciem dyrektywy.

– Każda z tych umiejętności będzie miała znaczenie w procesie realizacji wymagań dyrektywy, niezależnie czy będziemy je wdrażać samodzielnie czy korzystając z usług specjalistycznych firm. Efektywne zarządzanie projektem, komunikacja czy potencjał do analizy ryzyka będą istotnym elementem. W mojej ocenie, jako praktyka, tworzy to przed osobami spoza branży możliwości, aby do niej dołączyć – ocenia Aleksander Kostuch, ze Stormshield.