Sektor Elektroenergetyczny 2018
141
Cyberbezpieczeństwo sektora elektroenergetycznego
Raport roczny Zespołu Reagowania na Incydenty Komputerowe
w obszarze Przemysłowych Systemów Sterowania (ICS CERT)
z 2015 r. informuje, że systemy energetyczne Stanów Zjednoczo-
nych stanowią drugi co do popularności cel ataków komputerowych.
Z kolei według Symantec
1
aż 16% wszystkich cyberataków skierowa-
nych jest na branżę energetyczną. Zagrożenia dla infrastruktury kry-
tycznej płynące z cyberprzestrzeni to jedno z największych wyzwań
współczesnych państw. Polska znajduje się w szczególnym położeniu
z uwagi na geograficzną bliskość konfliktu na Ukrainie i zaostrzenie
rosyjskich działań o charakterze wojny hybrydowej na terenie całej
Europy Środkowo-Wschodniej. Z tego względu nasz kraj jest wyjąt-
kowo narażony na politycznie motywowane ataki na obiekty infra-
struktury krytycznej. Tego typu działania mogą mieć katastrofalne
skutki dla zdrowia i życia ludzi, środowiska, całej gospodarki czy też
bezpieczeństwa państwa, łącznie z funkcjonowaniem administracji
i potencjału obronnego. Doświadczenia ostatnich lat – cyberataki na
ukraińską sieć elektroenergetyczną, niemiecką hutę stali czy rurociąg
BTC – pokazują, że nawet najlepiej chroniona, odizolowana od inter-
netu infrastruktura krytyczna nie jest bezpieczna.
x x x
Kluczowe znaczenie sektora elektroenergetycznego
dla gospodarki
Przypadek ataku na ukraińską sieć elektroenergetyczną z 2015 r.
świadczy o tym, że unieruchomienie takiej infrastruktury wyłącznie
za pomocą środków cybernetycznych jest możliwe (dwa inne ataki
o podobnych skutkach opisane są w ramkach – NotPetya i Stuxnet).
Uderzenie to dotknęło ponad 200 000 ludzi, którzy na kilka godzin
stracili dostęp do elektryczności. Wszelkie zaburzenie pracy sektora
elektroenergetycznego jest szczególnie niebezpieczne, gdyż wpływa
paraliżująco na pracę innych branż i funkcjonowanie kluczowych
usług. Jak wykazało badanie niemieckiego Biura Analiz Technolo-
gicznych przy niemieckim Bundestagu
2
, nawet krótka, ograniczona
obszarowo przerwa w dostawach elektryczności może mieć kata-
strofalne skutki dla telekomunikacji, transportu, systemu kanalizacyj-
nego i wodociągowego, systemu opieki zdrowotnej i innych, prowa-
dząc do wzrostu całkowitych strat.
Zagrożenia płynące z cyberprzestrzeni dla sektora elektroenergetycz-
nego mogą przyjmować kilka wariantów i być inicjowane z różnych
źródeł. Ze względu na kluczowe znaczenie i specyfikę działania tej
branży można wyszczególnić kilka typów podmiotów atakujących:
• politycznie motywowany aktor, którego celem jest sabotaż infra-
struktury poprzez przerwy w funkcjonowaniu czy zniszczenie lub
upokorzenie ofiary i wywołanie strat wizerunkowych,
• haktywista (z ang.
Hacktivist
) – aktor motywowany pobudkami
moralnymi/ideologicznymi, nastawiony na nagłośnienie ataku i kom-
promitację ofiary,
• ekonomicznie motywowany aktor kierowany chęcią zysku, celem
uzyskania korzyści finansowych (np. z okupu).
Same ataki również można podzielić na kilka typów:
• ransomware – polegający na zaszyfrowaniu dysku twardego
w celu wyłudzenia pieniędzy w zamian za klucz deszyfrujący, np.
NotPetya (patrz ramka),
• BEC (z ang.
Business Email Compromise
) – wymierzony najczęściej
w członków zarządu i osoby decyzyjne w zakresie finansowym oraz ich
sekretariaty; uderzający, podszywając się najczęściej pod zwierzchnika
atakowanej osoby, próbuje nakłonić ją do realizacji pilnego przelewu
bankowego (np. Historia jednego e-maila – patrz ramka),
• DDoS (z ang.
Distributed Denial of Service
) – rozproszona
odmowa usługi; polega na przeciążeniu serwera ofiary i wyłączeniu
dostępu do usług świadczonych przez strony www,
• atak na ICS lub systemy SCADA – wymierzony w elementy automa-
tyki przemysłowej w celu spowodowania fizycznych szkód i zniszczeń;
tego typu atak wymaga dużych zasobów i wiedzy, lecz może wywołać
bardzo poważne szkody, szczególnie wśród operatorów usług kluczo-
wych; przykładem takiego działania jest np. Stuxnet (patrz ramka),
• APT (z ang.
Advanced Persistent Threat
) – skierowany i skupiony
wyłącznie na konkretnym celu (w przeciwieństwie do metod opor-
tunistycznych, realizowanych na szeroką skalę); atakujący wykorzy-
stuje szereg metod, aby uzyskać kontrolę nad systemami ofiary.
Cyberbezpieczeństwo sektora
elektroenergetycznego
mgr inż. Dominik Skokowski
ekspert Instytutu Kościuszki
NotPetya
– wirus, który w 2017 r. wywołał duże szkody na ca-
łym świecie. Szyfrował dyski twarde i żądał opłacenia okupu
w celu uzyskania klucza deszyfrującego (atak typu ransomware).
Śledztwo wykazało jednak, że pozornie ekonomicznie motywo-
wany atak nie miał w istocie celu zarobkowego (mechanizm
ściągania opłat był zaprojektowany dość prymitywnie i nie funk-
cjonował prawidłowo praktycznie od samego początku ataku),
a najprawdopodobniej był inspirowany politycznie i obliczony na
maksymalizację szkód. Epicentrum ataku była Ukraina, a jedną
z ofiar padł operator sieci energetycznej Ukrenergo. Jak wykazali
eksperci podczas III Europejskiego Forum Cyberbezpieczeństwa,
NotPetya była testem cybernetycznych elementów wojny hybry-
dowej, toczonej na Ukrainie od 2014 r., a prawdziwym powodem
ataku była realizacja celów politycznych
3
.
Stuxnet
– wirus odkryty w 2010 r., wykorzystany w historycz-
nym ataku na irańskie zakłady wzbogacania uranu, przeprowa-
dzonym najprawdopodobniej przez Stany Zjednoczone i Izrael,
wskutek którego fizyczna infrastruktura została zniszczona
wyłącznie za pomocą infekcji oprogramowania obsługującego
systemy SCADA. Stuxnet był bardzo zaawansowanym narzę-
dziem (wykorzystywał m.in. cztery różne podatności typu zero-
-days i zaprojektowany był z myślą o konkretnych sterownikach
przemysłowych o oprogramowaniu sterowników przemysłowych
Siemens Step7. Wirus dostał się do systemu najprawdopodob-
niej za pomocą zainfekowanego nośnika USB i w ten sposób
przekroczył tzw. air gap (patrz ramka). Skutecznie zaatakował
ponad 200 000 komputerów i doprowadził do fizycznego
zniszczenia 1000 wirówek do gazowego wzbogacania uranu
poprzez zmianę parametrów pracy urządzeń i wprowadzenie
ich w rezonans.
