Głośny incydent w sektorze energii – wnioski, które każdy przedsiębiorca powinien znać

Do głośnego incydentu w sektorze energii doszło 29 grudnia ubiegłego roku. Dotknął on podmioty należące do OSE, w tym farmy wiatrowe i fotowoltaiczne, dużą elektrociepłownię oraz spółkę z sektora produkcyjnego. Informacja o zdarzeniu trafiła do opinii publicznej dopiero miesiąc później. Szczegółowy opis techniczny oraz analizę przebiegu incydentu udostępniono w raporcie CERT Polska, z którym warto się zapoznać: raport – incydent w sektorze energii  Tam też odsyłam w poszukiwaniu informacji o sekwencji zdarzeń towarzyszących atakom na poszczególne podmioty. 

W niniejszym tekście chcę zwrócić uwagę na okoliczności dotyczące incydentu, który objął spółkę produkcyjną, oraz wskazać wnioski, jakie może z niego wyciągnąć praktycznie każdy przedsiębiorca – niezależnie od branży.

Jak wyglądał wektor ataku?

Celem atakujących było uzyskanie dostępu do urządzeń brzegowych, które już wcześniej wykazywały podatności. Konfiguracja tych urządzeń została wykradziona i opublikowana na jednym z forów wykorzystywanych przez środowiska cyberprzestępcze.

Upublicznienie konfiguracji umożliwiło atakującym przejęcie dostępu do urządzeń i zmianę haseł użytkowników. W efekcie przestępcy byli w stanie utrzymać nielegalny dostęp przez dłuższy czas, co dodatkowo zwiększyło skalę zagrożenia.

Wnioski z incydentu – czego może nauczyć każdego przedsiębiorcę?

W biznesie, podobnie jak w życiu prywatnym, najlepiej uczyć się na cudzych błędach. W tym przypadku najważniejsze wnioski obejmują konsekwentne wzmacnianie cyberbezpieczeństwa oraz regularne monitorowanie środowiska IT.

Przede wszystkim stałe monitorowanie produktów i urządzeń wykorzystywanych w prowadzonej działalności

• monitorowanie aktualizacji zabezpieczeń udostępnianych przez producentów – takie działania często usuwają krytyczne podatności narażające biznes np. na obejście uwierzytelnień i uzyskanie dostępu do funkcji administracyjnych,
• szybkie reagowanie na publikowane poprawki bezpieczeństwa usuwające krytyczne podatności,
• weryfikację konfiguracji urządzeń oraz ich zgodności z najlepszymi praktykami bezpieczeństwa,
• ograniczenie dostępu administracyjnego wyłącznie do niezbędnych przypadków,
• stały monitoring logów, aby wychwytywać anomalie i nietypowe aktywności,
• aktualizowanie sygnatur antywirusowych i stosowanie narzędzi do automatycznego zarządzania łatami (patch management).

Co w tym zakresie wymaga NIS2 i ustawa o KSC?

Dyrektywa NIS2 oraz znowelizowana ustawa o krajowym systemie cyberbezpieczeństwa (UKSC) kładą szczególny nacisk na proaktywną cyberobronę oraz zapobieganie naruszeniom bezpieczeństwa sieci i systemów informacyjnych.

Jednym z założeń systemu zarządzania bezpieczeństwem informacji, który wdraża podmiot kluczowy i podmiot ważny jest uwzględnienie podatności związanych z dostawcą sprzętu lub oprogramowania. 

Podczas audytów luk Mikołaj Prochownik, Andrzej Broniewski i Przemysław Strzępek weryfikują m.in., jak przedsiębiorcy wchodzący w zakres NIS2 realizują ten obowiązek i czy właściwie zarządzają ryzykiem związanym z podatnościami dostawców.