Sieci energetyczne od dawna są celem cyberprzestępców chcących zakłócić działanie infrastruktury krytycznej, a ataki w tym sektorze stały się powszechne na całym świecie. Cyberatak z 2021 r. w USA na Colonial Pipeline pokazał, że kompromitacja haseł może mieć wpływ zarówno na systemy IT, jak i OT, a zakłócenia w tych systemach mają daleko idące konsekwencje – nie tylko dla firmy, ale także dla akcjonariuszy i klientów.
Haker próbował zatruć zaopatrzenie w wodę miasta na Florydzie (Oldsmar) przy użyciu platformy oprogramowania zdalnego dostępu, która była uśpiona od miesięcy. W lutym 2022 r. cyberatak na europejskie huby rafineryjne Amsterdam-Rotterdam-Antwerpia (ARA) zakłócił załadunek i rozładunek ładunków produktów rafinowanych w warunkach kontynentalnego kryzysu energetycznego. A teraz, w związku z wojną na Ukrainie, istnieje dobrze udokumentowana rosyjska strategia, która jest skierowana na ukraińskie elektrownie i inne słabe punkty infrastruktury energetycznej.
Chociaż Ukraina i inne kraje były w stanie odeprzeć wiele cyberataków na infrastrukturę krytyczną z pomocą nowoczesnego uwierzytelniania wieloczynnikowego (MFA) i kluczy bezpieczeństwa, cyberataki nadal powodują spustoszenie. Przykłady te stanowią wyraźne przypomnienie, że środki bezpieczeństwa, zwłaszcza praktyki silnego uwierzytelniania, są zazwyczaj nierównomiernie wdrażane w różnych obiektach energetycznych. Dlatego też należy wprowadzić konkretny plan, aby chronić nasze niezwykle cenne usługi i infrastrukturę energetyczną i zasobów naturalnych.
Zabezpieczenie technologii operacyjnej
Dwa kluczowe obszary, które czasami są pomijane, to te, które historycznie były odseparowane od systemów IT: mianowicie systemy technologii operacyjnych (OT), takie jak przemysłowe systemy sterowania (ICS) i systemy infrastruktury krytycznej (CIS).
Dwa powszechne wektory ataków skierowane na te obszary to phishing i nieuprawniony zdalny dostęp, oba możliwe dzięki skradzionym danym uwierzytelniającym. Po zdobyciu przyczółka, osoba atakująca może przemieszczać się na boki i potencjalnie znaleźć wejście do środowiska OT oraz zakłócić działanie krytycznych urządzeń i funkcji. Nawet jeśli środowisko OT jest całkowicie odizolowane od środowiska IT, oba są w dużym stopniu zależne od prowadzenia działalności gospodarczej, a wpływ jednego z tych środowisk może negatywnie wpłynąć na funkcjonowanie drugiego. W niedawnym raporcie Dragos opisano, w jaki sposób złośliwe oprogramowanie znane jako „Pipedream” dokonało spustoszenia. Nawet Administracja Bezpieczeństwa Transportu (TSA) wydała dyrektywy bezpieczeństwa TSA 2021-01 i 2021-02, które nakazały podniesienie poprzeczki bezpieczeństwa w celu zmniejszenia luk w bezpieczeństwie cybernetycznym i wdrożenia konkretnych środków łagodzących ataki i zagrożenia dla właścicieli i operatorów rurociągów.
Ważne jest, aby być na bieżąco z zadaniami, które wymagają od organizacji odejścia od haseł, które są podatne na przechwycenie, i podejścia w kierunku nowoczesnych rozwiązań, zapewniających silniejsze uwierzytelnianie, odporne na phishing i inne nowoczesne mechanizmy ataku. Obecnie jedynymi dwoma metodami uwierzytelniania, które spełniają powyższe wymagania dotyczące uwierzytelniania dostępu odpornego na phishing są PIV/smart card i FIDO2:
Przy formułowaniu nowoczesnej strategii bezpieczeństwa MFA dla sektora energetycznego, kluczowe jest uwzględnienie następujących użytkowników i scenariuszy biznesowych.
- Kontraktorzy, osoby oddelegowane i spółki joint venture. Ci peryferyjni lub mniej niż pełnoetatowi pracownicy prawdopodobnie nie mają urządzenia przekazanego im przez organizację, która jest właścicielem obiektu. Jest to szybko zmieniająca się siła robocza – jej wielkość i charakter zmienia się co miesiąc, np: w zależności od pory roku. Co więcej, typowe są prace zlecone wykonawcom w krytycznych systemach, gdzie osoby te mają tendencję do przynoszenia własnych urządzeń w celu ich walidacji, co tylko zwiększa potencjalną lukę zagrożenia. Grupy te mają zwiększoną potrzebę dobrze zaprojektowanych wdrożeń, edukacji i świadomości związanej z silnymi, odpornymi na phishing praktykami uwierzytelniania. Ich krótkotrwała natura oznacza również, że muszą one zostać uruchomione przy jak najmniejszym nakładzie czasu.
- Współdzielone środowiska stacji roboczych. Mogą to być urządzenia, kioski lub środowiska komputerowe używane przez wielu, często „mobilnych” użytkowników. Choć stacje te są często krytyczne w codziennych operacjach, są również najbardziej narażone na zagrożenia, ponieważ mają bezpośrednie połączenie z krytycznymi systemami i wrażliwymi danymi, co wzmacnia zagrożenie ze strony osób postronnych, niezależnie od tego, czy są to działania złośliwe, czy zaniedbania, i stanowi dodatkowe ryzyko dla bezpieczeństwa, szczególnie gdy są używane w miejscach o dużym natężeniu ruchu. Zabezpieczając dostęp do współdzielonych stacji roboczych, należy rozważyć możliwości samego systemu oraz obowiązki służbowe danej osoby, aby upewnić się, że nie jest on nadmiernie uciążliwy dla jej codziennych zadań i pozwala jej jedynie na wgląd w dane lub dostęp do określonych elementów sterujących, zgodnie z jej funkcją służbową.
- Środowiska z ograniczeniami dotyczącymi urządzeń mobilnych. W niektórych miejscach pracy, takich jak hale produkcyjne lub miejsca pracy w przemyśle o wysokim poziomie bezpieczeństwa, występują scenariusze, w których urządzenia mobilne nie mogą być obecne ze względu na czynniki związane z samym środowiskiem, takie jak specjalistyczny sprzęt (SCADA) lub odizolowane sieci, trudne środowiska, lokalizacje offline lub offshore, co całkowicie eliminuje uwierzytelnianie mobilne jako opcję. Znalezienie zawsze dostępnego, odpornego na phishing, wieloczynnikowego rozwiązania uwierzytelniania (MFA), które nie zależy od usługi komórkowej, dostępu do Internetu lub baterii urządzenia, aby działać – jak klucz bezpieczeństwa – jest krytyczne.
- Urządzenia IoT. Sektor energetyczny coraz częściej wdraża urządzenia IoT w celu stworzenia inteligentnych sieci. Te inteligentne sieci, z możliwością ciągłego monitorowania i reagowania, pozwalają na wydajność operacyjną. Jednak wraz z tą eksplozją nowych urządzeń pojawiają się nowe zagrożenia. Przykładem ataku jest ten, który KrebsOnSecurity relacjonował w 2021 roku, spowodowany został przez nowy botnet IoT o nazwie „Meris.” To rozrastanie się punktów końcowych, stworzonych przez przyjęcie urządzeń IoT, skutkuje zwiększonym ryzykiem ze względu na większe powierzchnie ataku. Zabezpieczenie interakcji „urządzenie – urządzenie” i „operator – urządzenie” teraz, bardziej niż kiedykolwiek, powinno pozostać blisko szczytu rejestrów ryzyka dla organizacji, które działają w tej przestrzeni.
Zabezpieczenie łańcucha dostaw
Być może jeszcze większym wyzwaniem niż OT jest ochrona łańcuchów dostaw obiektów energetycznych, w tym zarządzanie kodem. Większość przedsiębiorstw dopiero zaczyna opracowywać plany tworzenia spójności i zgodności w setkach aplikacji związanych z łańcuchem dostaw.
Nowe Memorandum Bezpieczeństwa Narodowego w sprawie poprawy bezpieczeństwa cybernetycznego systemów sterowania infrastrukturą krytyczną oraz cele Departamentu Bezpieczeństwa Wewnętrznego w zakresie bezpieczeństwa cybernetycznego (CPGs) podkreślają podstawowe środki o najwyższym priorytecie, które właściciele infrastruktury krytycznej powinni podjąć w celu ochrony przed nowoczesnymi zagrożeniami cybernetycznymi, które mają na celu uzupełnienie ram bezpieczeństwa cybernetycznego NIST. W sekcji 1.3 dotyczącej MFA zaleca się, aby „sprzętowe MFA było włączone, gdy jest dostępne” w celu zapewnienia bezpiecznego dostępu w środowiskach IT i OT. Obejmuje to również bardziej ogólne rozporządzenie wykonawcze 14028 w sprawie MFA, które zostało wydane przez prezydenta Stanów Zjednoczonych.
Wszystkie te czynniki sprawiają, że pilnie potrzebne są plany łańcucha dostaw skoncentrowane na bezpieczeństwie oraz zapewnienie rygorystycznych praktyk bezpieczeństwa w całej infrastrukturze krytycznej.
Bezpieczeństwo jest tylko tak silne, jak jego najsłabsze ogniwo
Jeśli Twoi dostawcy i partnerzy z łańcucha dostaw nie stosują tego samego podejścia MFA odpornego na phishing co Ty, może to skutkować kosztownymi konsekwencjami, takimi jak zakłócenia w działalności oraz krajowe lub regionalne przerwy w funkcjonowaniu infrastruktury krytycznej.
Jak ich zaangażować? Na początek poinformuj swoich partnerów z łańcucha dostaw, że odporne na phishing MFA jest wyraźnym priorytetem, za pomocą jasno sformułowanej informacji. Jeśli masz już nowe przepisy dotyczące zgodności, przedstaw je z dużym wyprzedzeniem, aby dostawcy nie byli później zaskoczeni ujawnionym „wielkim planem”. Choć zawsze znajdzie się kilka powolnych żółwi w kwestiach zgodności, większość partnerów będzie chciała przygotować się z dużym wyprzedzeniem do spełnienia nowych wymogów bezpieczeństwa. Współpraca z nimi (marchewka) jest zawsze lepsza niż groźba znalezienia innego dostawcy (kij).
Ponieważ ataki w tym sektorze są powszechne, przyszłe globalne regulacje mogą podążać za nimi. Zaawansowanie ataków cybernetycznych wymierzonych w systemy IT i OT w sektorze energetycznym i zasobów naturalnych tylko wymusza pilne dodanie odpornej na phishing funkcji MFA, takiej jak YubiKey, do dostępu cyfrowego dla wszystkich użytkowników, którzy mają kontakt z Twoją infrastrukturą.
(Anonimowy kierownik ds. cyberbezpieczeństwa w zakładzie energetycznym na Ukrainie) „Od czasu rozpoczęcia wojny doświadczyliśmy ogromnego wzrostu ataków phishingowych… Wierzymy, że YubiKey są tak samo ważne dla naszej obrony cybernetycznej, jak kamizelki kuloodporne, które chronią żołnierzy i innych, którzy są na pierwszej linii frontu.”
Artykuł powstał na podstawie bloga na stronie Yubico.