Cyberbezpieczeństwo wodociągów - jak zabezpieczyć systemy IT i OT bez zatrzymania pracy
Kiedy cyberprzestępcy blokują stację uzdatniania, mogą w jednej chwili sparaliżować całe miasto. Obrona przed takim szantażem sporo kosztuje, dlatego spółki komunalne chętnie sięgają po państwowe dotacje. Jednak zanim wydasz te pieniądze na nowy sprzęt, sprawdź, czy możesz uszczelnić obecną infrastrukturę.
Dlaczego wodociągi i spółki komunalne są pod presją cyberataków?
Przerwa w dostawie wody natychmiast wywołuje chaos w regionie. Wtedy przestępcom łatwiej wymusić okup, dlatego sieci wodno-kanalizacyjne notują każdego dnia dziesiątki prób włamań.
Skąd brać środki na audyty, sprzęt i szkolenia, które mogą temu zapobiec? Ich koszty pozwala opłacić program „Cyberbezpieczne Wodociągi", ale sam zakup drogich urządzeń nie zadziała bez wcześniejszego zbadania słabych punktów własnej sieci.
Gdzie szukać luk? Zobacz różnicę między IT a OT/SCADA
Wodociągi korzystają z dwóch równoległych stref informatycznych. Pierwszą z nich jest biurowe IT, gdzie pracownicy najłatwiej padają ofiarą phishingu. Z kolei przemysłowa sieć OT steruje pompami i systemami SCADA. Pracują one latami bez aktualizacji oprogramowania, bo każda ingerencja grozi awarią technologiczną.
Laptopy w biurze są podatne na infekcje, z kolei maszyn przemysłowych często nie da się w ogóle zaktualizować. Dlatego jedynym wyjściem jest logiczne odcięcie tych stref od siebie. Wtedy wirus z komputera księgowego zatrzymuje się przed siecią operacyjną, a dostawy płyną dalej.
Obszary, które warto sprawdzić w pierwszej kolejności
Sama segmentacja nie wystarczy, jeśli ktoś ma uprawnienia do wejścia w głąb wydzielonej sieci. Zrobisz z tym porządek, układając priorytety działań dla czterech obszarów kontroli:
- uprawnienia podwykonawców - sprawdź, ilu serwisantów ma wciąż stałe połączenie z Waszymi pompami;
- stan starych sterowników - pracują one latami bez łatek, dlatego stale szukaj ich słabości przez skanowanie podatności;
- mechanizmy wczesnego ostrzegania - zorganizuj zewnętrzny nadzór analityczny wyłapujący anomalie;
- procedury awaryjne - przygotuj odizolowaną kopię zapasową na wypadek ataku ransomware.
Absolutnym priorytetem powinno być odebranie niepotrzebnych uprawnień serwisantom. Q przeciwnym razie mogą powstać otwarte furtki, przez które łatwiej uderzyć z zewnątrz, o czym więcej przeczytasz w artykule: Atak na łańcuch dostaw: awaria u dostawcy, straty u Ciebie - jak ograniczyć ryzyko.
Zabezpiecz środowisko etapami bez przestoju w działaniu
Montaż nowych zapór nie powinien wstrzymywać pracy pomp. Aby nie sparaliżować przy tym całego zakładu, podziel inwestycję na małe kroki.
Zrób najpierw rekonesans bezpieczeństwa, by zmapować urządzenia widoczne z internetu. Potem naprawiaj błędy i podłącz stały monitoring operacyjny. Co jeszcze warto zrobić? Więcej na ten temat dowiesz się z artykułu: Czym jest Security Operations Center (SOC) i ile kosztuje?.
Jako ostatni etap wdróż i przetestuj procedury odtworzeniowe. W razie udanego ataku i zaszyfrowania infrastruktury uratuje Was wyłącznie sprawdzony backup danych. W ten sposób wprowadzisz nowe blokady w tle, nie wyłączając przy tym produkcji na halach. Wtedy zarząd dostaje gotową listę priorytetów biznesowych.
Z konkretnymi danymi w ręku władzom spółki łatwiej udowodnić choćby to, że potrzebują środków z dotacji, by zapłacić za te wszystkie zlecenia. Dlaczego warto starać się o dofinansowanie?
Zewnętrzne wsparcie finansowe pomaga opłacić audyty bez nadmiernego obciążania budżetu gminy. Ułatwi też ochronę infrastruktury, jeśli odizolujesz sieć biurową od operacyjnej i mądrze zaplanujesz kolejne etapy prac i mądrze zaplanujesz kolejne etapy prac.
Zacznij od krótkiego przeglądu ekspozycji i krytycznych punktów infrastruktury. Dopiero potem układaj większy plan inwestycji.
