Nie ma nic bardziej oczywistego niż woda w kranie. Ostatnie miesiące pokazują jednak, że ta oczywista codzienność nie jest już wcale taka pewna. Eksperci ostrzegają, że infrastruktura krytyczna, a do takiej należą wodociągi, coraz częściej staje się obiektem cyberataków. Ktoś celowo sprawdza, jak łatwo można nas pozbawić jednej z najbardziej podstawowych i najważniejszych do życia usług.
– Do tej pory problem był niedostrzegany, ale wysyp tego rodzaju ataków pokazuje, że staje się on poważny. I że będzie jeszcze gorzej – diagnozuje dr inż. Maciej Niemir z Poznańskiego Instytutu Technologicznego Łukasiewicz, który zajmuje się AI i cyberbezpieczeństwem.
Od lutego 2024 r. odnotowano próby włamań między innymi do stacji uzdatniania wody w Tolkmicku, Małdytach, Sierakowie. W maju taka próba miała miejsce w Szczytnie, włamywano się także do oczyszczalni ścieków w Wydminach i Kuźnicy. W sierpniu odnotowano poważny atak, który, gdyby zakończył się powodzeniem, mógłby pozbawić dostępu do wody dużą aglomerację miejską.
I choć nie wszystkie przypadki są ujawniane opinii publicznej, to nie będzie przesadą powiedzenie, że ich skala zauważalnie wzrasta. Nagranie z lutowego ataku, które zostało udostępnione na komunikatorze Telegram, pokazuje, że hakerzy ustawili maksymalne wartości parametrów w urządzeniach, podnosząc ciśnienie wody i zwiększając czas sedymentacji, czyli procesu opadania zawiesin. Modyfikowali objętość przepływającej przez filtry wody, zmienili też PIN-y dostępu, blokując obsłudze możliwość szybkiej reakcji. Jak ocenił CERT Polska – państwowy zespół reagowania na komputerowe incydenty – ponieważ urządzenie miało błędnie skonfigurowany dostęp do internetu, to można było się z nim połączyć z zewnątrz, tak jak z domowym routerem wi-fi, ale bez właściwych zabezpieczeń. Tym razem, na szczęście, skutków dla ludzi i środowiska udało się uniknąć. Ale przesłanie było jednoznaczne: potrafimy wejść do waszych systemów i pokazać to światu.
– Na razie to były wszystko działania testowe, rodzaj demonstracji siły, zdobycia rozgłosu i budowania reputacji grupy przestępczej. Przekaz jednak jest jasny: nie jesteście bezpieczni. Hakerzy jak dotąd atakują tam, gdzie łatwiej. Potem mogą pojawić się ataki celowane, dużo groźniejsze – ostrzega dr Maciej Niemir.
Niedofinansowany sektor
Dlaczego hakerzy obrali sobie za cel właśnie przedsiębiorstwa wodociągowe? Odpowiedź jest prosta: po pierwsze stanowią one dość łatwy cel, bo nierzadko są najsłabiej zabezpieczone. A przecież – i to ma niebagatelne znaczenie – jest to infrastruktura krytyczna, niezbędna do funkcjonowania państwa i życia obywateli.
– Hakerzy sondują, czy łatwiej sparaliżować 70 proc. małych wodociągów, czy może jeden duży. Ponieważ skutki mogą być podobne: brak wody w kranach lub zmiana jej parametrów, np. nadmiar chloru, który spowoduje, że woda nie będzie nadawała się do picia – zauważa Włodzimierz Woźniak, ekspert od AI i cyberbezpieczeństwa z Poznańskiego Instytutu Technologicznego Łukasiewicz.
Problemem jest chroniczne niedofinansowanie sektora. W Polsce działa ok. 1900 przedsiębiorstw wodno-kanalizacyjnych, które zarządzają siecią o długości ponad 515 tys. km. Wiele z nich to niewielkie spółki komunalne, dla których kosztowne systemy ochrony IT pozostają poza zasięgiem.
Eksperci podkreślają jednak, że nie wszystkie zabezpieczenia wymagają milionowych inwestycji. Badacze z Łukasiewicza wskazują trzy podstawowe działania, które można wdrożyć szybko i bez wielkich nakładów. Pierwszym jest zinwentaryzowanie urządzeń. Czyli sprawdzenie, gdzie dokładnie podłączone są systemy, jakie mają punkty dostępu i jakie luki mogą zostać wykorzystane przez hakerów. Po drugie: segmentacja sieci. Czyli oddzielenie sieci biurowej, jak komputery pracowników, poczta e-mail, od tej, która kontroluje urządzenia techniczne. W praktyce oznacza to, że nawet jeśli pracownik otworzy zainfekowany załącznik, to skutki nie przełożą się na systemy sterujące wodociągami.
Po trzecie w końcu – przygotowanie scenariuszy kryzysowych, tak zwanych „What if”. Powinnismy mieć gotowe procedury na wypadek ataku, tak by personel wiedział, jak reagować, gdzie odciąć dostęp czy jak przejść na tryb awaryjny.
Wykorzystanie AI w cyberatakach
Sztuczna inteligencja staje się tu nowym elementem gry. Z jednej strony daje specjalistom od bezpieczeństwa narzędzia do wykrywania podejrzanych działań w sieci, ale z drugiej może się stać bronią w rękach cyberprzestępców.
Badania Carnegie Mellon University prowadzone we współpracy z firmą Anthropic pokazały, że AI w symulowanych warunkach potrafi samodzielnie przeprowadzić wieloetapowy atak hakerski. W dziewięciu na dziesięć prób osiągała częściowy sukces, ale w połowie już pełny.
– To tylko kwestia czasu, aż podobne techniki zostaną zastosowane w konkretnych systemach – przewiduje Włodzimierz Woźniak.
Ataki na wodociągi są częścią szerszego zjawiska, czyli cyberwojny toczonej równolegle z wojną kinetyczną w Ukrainie. Włamania nie zawsze mają na celu bezpośrednie zniszczenia. Chodzi bardziej o demonstrację siły, próbę zastraszenia. Niestety, podnoszenie ciśnienia wody w instalacjach czy zmiana jej składu chemicznego stanowią konkretne zagrożenia zdrowia i życia obywateli. Nawet jeśli dzisiejsze ataki są bardziej na pokaz, to należy je traktować jako ostrzeżenie, że infrastruktura krytyczna w Polsce pozostaje jednym z najsłabszych ogniw bezpieczeństwa narodowego.
Czy to oznacza, że zabraknie nam wody w kranach? Nie ma jeszcze takiego ryzyka, że mieszkańcy polskich miast i wsi zostaliby masowo pozbawieni wody. Do tego potrzebna byłaby jednak skoordynowana akcja, i to na dużą skalę. Jednak eksperci nie mają tu wątpliwości, że te pojedyncze incydenty już dziś mogą zakłócić dostawy wody na przykład w mniejszych gminach, a odpowiednio zaplanowany atak w przyszłości może mieć skutki ogólnokrajowe.
Opinia partnera
Włodzimierz Woźniak, dr inż. Maciej Niemir, Łukasiewicz – Poznański Instytut Technologiczny
1. Jaki jest najbardziej prawdopodobny scenariusz skutków cyberataku na polskie wodociągi i co nam w związku z tym grozi: brak wody w kranach czy zmiana jej jakości i zagrożenie dla zdrowia obywateli? Co się może wydarzyć w praktyce?
Oba scenariusze są realne.
Brak wody w kranach to scenariusz z perspektywy technicznej raczej lokalny i krótkookresowy. Nagły spadek ciśnienia lub zatrzymanie pomp bezzwłocznie uruchamia alarmy, zauważają go mieszkańcy i służby dyżurne. Reakcja będzie zatem niemalże natychmiastowa. W przypadku kilku ujęć wody i systemów pomp jednoczesne wyłączenie całego zaopatrzenia jest utrudnione. Możliwy i bardziej dotkliwy dla mieszkańców może być wariant próby uszkodzenia magistrali przez gwałtowne zmiany ciśnienia albo pomp przez ich szybkie włączanie i wyłączanie. Niestety na świecie takie ataki miały już miejsce, prowadzące również do fizycznych uszkodzeń.
Poważniejszym scenariuszem może być zanieczyszczenie wody zagrażające zdrowiu obywateli. Atak może polegać na manipulacji systemami sterowania przemysłowego (SCADA/ICS). Atakujący może przykładowo zmienić dozowanie środków dezynfekujących. Takie ataki również miały już miejsce na świecie, ale każdorazowo były udaremniane.
W zależności od motywacji atakującego: czy jest to atak pokazowy dla szerzenia paniki, testowy dla budowania reputacji, sabotaż dla spektakularnego efektu, czy atak ukierunkowany na proces technologiczny, możemy spodziewać się podejmowania różnych prób i scenariuszy. Nie sposób w tej chwili określić prawdopodobieństwa żadnego z nich, ale to, co obecnie możemy zaobserwować, bardziej przypomina celowe działania rosyjskich haktywistów nakierowane na wywoływanie niepokoju społecznego, które łatwo da się skalować celową dezinformacją. Obyśmy ten czas dobrze wykorzystali do zwiększania bezpieczeństwa naszej infrastruktury krytycznej.
2. Co natychmiast powinny zrobić polskie przedsiębiorstwa wodociągowe, żeby podnieść poziom bezpieczeństwa? Jakie działania byłyby tu priorytetem – możliwe do wdrożenia od zaraz, bez dużych pieniędzy i systemów?
W cyberbezpieczeństwie często działa złudzenie skali: jeśli zagrożenia są ogromne, to i rozwiązania muszą być wielkie, skomplikowane, drogie. Tymczasem praktyka pokazuje coś innego – najbardziej spektakularne włamania rzadko wynikają z genialnych ataków hakerów, a częściej z banalnych zaniedbań. Zbyt proste hasło, kliknięcie w podejrzany link, brak aktualizacji, otwarty dostęp z internetu.
Dlatego najszybszy i największy zysk w bezpieczeństwie cyfrowym nie kryje się w milionowych inwestycjach w kolejne „magiczne” systemy, ale w dyscyplinie dnia codziennego. Szkolenie pracowników, jasne procedury, rutynowe działania realnie podnoszą poziom ochrony. Drogie technologie są ważne, ale bez fundamentów są jak zamek z piasku.
Najważniejsze działania do podjęcia od zaraz zaczynają się od audytu bezpieczeństwa. Powinien on jasno pokazać, które urządzenia są widoczne z internetu, z jakich sieci są dostępne, kto ma do nich uprawnienia i czy hasła są wystarczająco mocne (i czy kiedykolwiek zmieniane!). Zwykle już pierwszy audyt ujawnia wiele historycznych zaniedbań i luk, które latami pozostawały niezauważone. Powinniśmy zastosować tu zasadę minimalnych uprawnień – każdy ma dostęp tylko do tego, co jest mu absolutnie niezbędne do pracy, i z tego miejsca czy urządzenia, na którym pracuje.
Obszarem wymagającym niezwłocznej reakcji, szczególnie zagrożonym, patrząc na ostanie ataki na infrastrukturę krytyczną, jest dostęp zdalny. Należy go maksymalnie ograniczyć, a tam gdzie jest nieunikniony, stosować tunele VPN zabezpieczone uwierzytelnianiem dwuskładnikowym. Rozwiązania sterujące infrastrukturą nie powstawały z myślą o cyberzagrożeniach, dlatego trzeba je chronić podwójnie.
Wreszcie najważniejsze działanie, które nic nie kosztuje, to zmiana myślenia zarządu i pracowników: trzeba przyjąć, że atak jest nieunikniony i przygotować się na jego skutki.
