W minionym roku doświadczyliśmy incydentu z CrowdStrike, wzrosła też liczba incydentów i wielowarstwowych zagrożeń dla infrastruktury przemysłowej i krytycznej. Na co musimy być gotowi w 2025 roku?
Wdrażanie dyrektywy NIS2 jest opóźnione, ale bez wątpienia stało się impulsem do podnoszenia wymogów bezpieczeństwa. Choć zmienia się pomysł na System 46, w ramach którego cyberbezpieczne mają stać się samorządy i instytucje państwowe, zainteresowanie tym problemem także nie znika. Można więc powiedzieć, że mijający rok przyniósł realną intensyfikację działań na rzecz cyberbezpieczeństwa w administracji publicznej.
– Na podnoszenie poziomu ochrony w jednostkach samorządu terytorialnego znacząco wpłynął program Cyberbezpieczny Samorząd. Stało się to dzięki środkom finansowym na modernizację infrastruktury IT i szkolenia pracowników – mówi Piotr Zielaskiewicz z Dagma Bezpieczeństwo IT. – Od lat obserwuję poziom cyberbezpieczeństwa w Polsce i cieszy mnie zainteresowanie samorządowców udziałem w tym programie, bo pokazuje to, że rośnie świadomość wagi tego obszaru. Obecnie jesteśmy na etapie wdrażania konkretnych rozwiązań.
Można przy tym zauważyć, że nic tak nie zwiększa świadomości w zakresie cyberzagrożeń, jak skuteczny atak hakerski. Jednym z takich wstrząsów dla samorządów był atak na MPK Kraków.
– Hakerzy celowali wówczas w paraliż systemów, co wskazuje na konieczność wzmocnienia ochrony, m.in. przez regularne audyty, szyfrowanie danych oraz szkolenia personelu – podkreśla Piotr Zielaskiewicz. – Rekomenduję w związku z tym wdrożenie monitoringu zagrożeń w czasie rzeczywistym, segmentacji sieci oraz planów reagowania na incydenty, aby szybko minimalizować skutki podobnych ataków w przyszłości. W świetle wyzwań, wobec których stoimy zachowanie ciągłości działania będzie nabierało jeszcze większego znaczenia. Dotyczy to w szczególności sfery samorządowej, która jest jednym z fundamentów sprawnie funkcjonującego państwa i z tego powodu stanowi jeden z kluczowych obszarów potencjalnego cyberataku.
Większość małych i średnich operatorów telekomunikacyjnych zdaje już sobie sprawę, że dyrektywa NIS2 wymusza wdrażanie systemów cyberbezpieczeństwa adekwatnych do działalności podmiotów zaliczonych do kategorii ważnych i kluczowych.
2025 rok – bardziej intensywny
Kończący się rok stał także pod znakiem istotnego wzmożenia działań destabilizujących polskie państwo. Głośne były sprawy m.in. fałszywej depeszy PAP ws. rzekomej mobilizacji do wojska czy ataki DDoS na instytucje samorządowe i branżę transportową (Autostrada Wielkopolska S.A. czy Gdańsk Transport Company) przeprowadzone przez prorosyjską grupę NoName057.
Kolejny rok zapowiada się pod tym względem jeszcze bardziej intensywnie. Sytuacja geopolityczna i wydarzenia międzynarodowe – wojna w Ukrainie, zmiana władzy w USA czy niestabilna sytuacja na Bliskim Wschodzie, a także wydarzenia wewnętrzne, to okoliczności, które zdaniem ekspertów przestępcy, zarówno ci motywowani politycznie, jak i działający jedynie dla finansowego zysku, będą chcieli wykorzystać do maksimum.
– W mojej ocenie głównym obszarem ich zainteresowania pozostanie jeszcze niezabezpieczona infrastruktura krytyczna oraz przedsiębiorstwa i instytucje, które można zaliczyć do kategorii ważnych, czyli działających m.in. w branży produkcji i dystrybucję chemikaliów, żywności, czy elektroniki. Niestety, w ich przypadku wdrażanie wymogów bezpieczeństwa odbywa się z jeszcze większym opóźnieniem. Przestępcy mają tego świadomość i z pewnością będą starać się wykorzystać tę słabość – dodaje Piotr Zielaskiewicz.
Infrastruktura krytyczna i łańcuchy dostaw
Celów zainteresowania przestępców jest oczywiście więcej. Należą do nich także infrastruktura krytyczna (w tym telekomunikacyjna) i łańcuchy dostaw.
– Publikowane w ostatnich miesiącach raporty specjalistycznych instytutów badawczych wskazują na alarmujący wręcz wzrost liczby incydentów w sektorach energetycznym, transportowym, wodno-ściekowym czy farmaceutycznym – zauważa Aleksander Kostuch, inżynier Stormshield, ekspert w zakresie cyberbezpieczeństwa. – Europa odnotowuje także zwiększone naciski na łańcuchy dostaw. To efekt coraz lepszego rozumienia przez cyberprzestępców relacji pomiędzy dostawcami kluczowych urządzeń i oprogramowania, a ostatecznymi usługodawcami w sektorach krytycznych.
Celem ataków, obok standardowych baz danych z wrażliwymi informacjami, są również bezpośrednio sterowniki przemysłowe czy systemy SCADA. Wobec faktu, że gospodarka działa jako system naczyń połączonych w ten sposób można starać się blokować jej funkcjonowanie, czego byliśmy świadkami w 2024 roku.
– Incydent CrowdStrike dobitnie pokazał, jaką skalę zakłóceń mogą wywołać takie działania – stwierdza Aleksander Kostuch. – Choć sam w sobie był wynikiem błędu technicznego, a nie ataku. Wadliwa aktualizacja zmusiła do wstrzymania operacji przez duże banki, operatorów sieci energetycznych czy podmioty zarządzające infrastrukturą. W Polsce zakłócił działalność terminali kontenerowych i spowodował opóźnienia w odprawach pasażerów na lotniskach. Pozornie prosty błąd spowodował globalny chaos i straty liczone w miliardach dolarów, będąc przy okazji niezwykle cenną lekcją dla przestępców. Powinniśmy wyciągnąć daleko idące wnioski z tej lekcji i nie zwlekać z podnoszeniem poziomu cyberbezpieczeństwa.
Ta sprawa pokazuje konieczność tworzenia środowisk testowych, odizolowanych od środowisk produkcyjnych, w których można bezpiecznie sprawdzać aktualizacje i łatki przed masowym wdrożeniem. Staranne testowanie poprawek, izolowanie środowisk produkcyjnych, wdrażanie aktualizacji etapami oraz opcja ręcznej kontroli nad procesem mogą zadecydować o bezpieczeństwie i stabilności kluczowych systemów. To jedno z wyzwań dla specjalistów IT.
Polskie spółki testują procedury
W tym kontekście warto odnotować intensywne testy procedur awaryjnych i odtwarzania systemów, które w ostatnich miesiącach prowadziły polskie spółki infrastrukturalne. Kładły one przy tym szczególny nacisk na implementację rekomendacji płynących z międzynarodowych analiz. W mojej ocenie to niezwykle istotne w świetle coraz powszechniejszej tendencji konwergencji IT/OT, będącej impulsem do coraz śmielszych kampanii cyberprzestępców i agencji sponsorowanych przez państwa. A te są niestety wymierzone głównie w przedsiębiorstwa obsługujące infrastrukturę krytyczną kluczową dla stabilnego funkcjonowania państw. Testy planów ciągłości działania (BCP) systemów i strategii odzyskiwania (DR) staną się niezbędne, aby zachować sprawność operacyjną w obliczu powtarzających się w przyszłości ataków.
Przyszłość IT/OT pod znakiem wielowarstwowych zagrożeń
– Przyszłość w obszarze IT/OT będzie stać pod znakiem wielowarstwowych zagrożeń, przed którymi uchronić może jedynie ciągłe monitorowanie i zarządzanie ryzykiem z wykorzystaniem specjalizowanych narzędzi, na przykład firewalli z głęboką analizą protokołów przemysłowych czy systemów EDR i XDR – ocenia Aleksander Kostuch. – Ataki typu supply chain oraz próby zakłócania procesów technologicznych w sektorach OT zwiększą presję cyberochrony na firmy i instytucje.
Wzmocnienie bezpieczeństwa wymaga, zdaniem eksperta, zabezpieczenia całego łańcucha dostaw, poprzez stworzenie zaufanego ekosystemu rozwiązań zabezpieczających automatycznie wykrywających ataki i blokujących, szyfrujących i autoryzujących transmisję, najlepiej centralnie zarządzanych przez certyfikowaną kadrę specjalistów IT.
– Na cyberbezpieczeństwo należy patrzeć holistycznie, przy czym katalizatorem zmian w podejściu do tego zagadnienia stanie się implementacja NIS2 w krajach unijnych – dodaje.
Implementacja nowych regulacji takich jak NIS2, DORA czy CRA (Cyber Resilience Act) pomoże uporządkować kwestie związane z ochroną kluczowych zasobów gospodarki. Standaryzacja procedur i zaufanie certyfikowanym europejskim rozwiązaniom wydają się kluczowe, aby sprostać rosnącym zagrożeniom.
