Alarm z USA po ataku na Polskę. Energetyka na celowniku hakerów

Amerykańska Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury zabrała głos po poważnym incydencie wymierzonym w instalacje odnawialnych źródeł energii w Polsce. Ostrzeżenie trafiło do operatorów infrastruktury krytycznej na całym świecie i uruchomiło dyskusję o kondycji zabezpieczeń w systemach technologii operacyjnych podłączonych do internetu.

Sprawa dotyczy ataku, który według ustaleń polskich służb objął kilkadziesiąt obiektów związanych z energetyką wiatrową i słoneczną. Wydarzenia opisywane w ubiegłym miesiącu stały się argumentem dla instytucji międzynarodowych, aby ponownie przyjrzeć się najsłabszym punktom cyfrowego zaplecza sektora energii.

Wejście przez urządzenia brzegowe

CISA zwraca uwagę na scenariusz, który od lat pojawia się w analizach specjalistów. Punktem startowym dla napastników były elementy infrastruktury sieciowej wystawione do internetu, w tym routery oraz zapory. Część z nich nie posiadała aktualnych poprawek lub była już pozbawiona wsparcia producentów.

Po uzyskaniu dostępu intruzi uruchomili destrukcyjne oprogramowanie. Raporty mówią o uszkodzeniach terminali zdalnych, kasowaniu danych w systemach operatorskich i ingerencji w firmware urządzeń pracujących w terenie. Produkcja energii miała być utrzymana, jednak zespoły odpowiedzialne za obsługę instalacji straciły możliwość bieżącej obserwacji i sterowania.

Trop prowadzi na Wschód

CERT-Polska poinformował, że infrastruktura wykorzystana podczas operacji pokrywa się z narzędziami wcześniej łączonymi z aktorami działającymi w interesie Rosji. W środowisku analityków funkcjonuje kilka nazw przypisywanych tej grupie, a jej aktywność była w przeszłości obserwowana przy kampaniach wymierzonych w energetykę i przemysł. Tego typu powiązania nadają incydentowi wymiar geopolityczny. Operatorzy infrastruktury krytycznej muszą liczyć się z przeciwnikiem dysponującym zapleczem finansowym i technicznym, a także cierpliwością potrzebną do długotrwałych operacji.

Nowy front: rozproszone źródła

Eksperci z firmy Dragos opisują zdarzenie jako ważny moment w historii cyberbezpieczeństwa energetyki. W centrum zainteresowania znalazły się rozproszone zasoby, takie jak mniejsze farmy wiatrowe i słoneczne oraz lokalne elektrociepłownie. Obiekty tego typu intensywnie korzystają z łączności zdalnej. Architektury projektowano z myślą o wygodzie zarządzania i optymalizacji kosztów, a kwestie ochrony cyfrowej często schodziły na dalszy plan. Współczesne realia wymuszają zmianę podejścia.

Waszyngton przyspiesza działania

Amerykańska agencja w ostatnim czasie wyraźnie zaostrzyła kurs wobec podatnego sprzętu sieciowego. Niedawno wydano wiążącą dyrektywę nakazującą federalnym instytucjom odłączenie nieobsługiwanych urządzeń brzegowych. Komunikat po wydarzeniach w Polsce wpisuje się w tę samą strategię.

CISA zachęca operatorów do zapoznania się z analizami technicznymi przygotowanymi przez polskich specjalistów oraz do wdrażania zaleceń dotyczących środowisk OT i systemów sterowania przemysłowego. Podobne apele płyną z Wielkiej Brytanii, gdzie tamtejsze Narodowe Centrum Bezpieczeństwa Cybernetycznego również wezwało do podniesienia poziomu ochrony.

Ostrzeżenie dla całej branży

Atak na instalacje OZE stał się sygnałem dla firm energetycznych funkcjonujących w różnych częściach świata. Cyfryzacja przynosi ogromne możliwości operacyjne, ale jednocześnie otwiera drzwi dla zaawansowanych kampanii sabotażowych. Wiele wskazuje na to, że presja na modernizację zabezpieczeń będzie rosła. Zarządy przedsiębiorstw muszą przygotować się na kosztowne inwestycje i reorganizację procesów, a regulatorzy mogą wprowadzić bardziej wymagające standardy.