Home Bezpieczeństwo Czy ktoś naprawdę może „zakręcić” nam wodę przez Internet?

Czy ktoś naprawdę może „zakręcić” nam wodę przez Internet?

0
0
140

Pytanie brzmi trochę jak z taniego thrillera: haker siada do komputera, klika kilka razy i nagle w kranie sucho, grzejniki zimne, fabryka staje. Problem w tym, że to już nie jest scenariusz filmowy, tylko coś pomiędzy ponurym „jeszcze nie” a bardzo realnym „prawie”.

W ostatnich miesiącach cyberprzestępcy testowali granice naszej odporności tam, gdzie najbardziej boli – w energetyce, ciepłownictwie i wodociągach. W Rucianem-Nidzie udało im się wyłączyć jeden z dwóch pieców kotłowni. W kilku miastach – od Tolkmicka po Rzeszów – próbowali manipulować parametrami wody: stężeniem chloru, obrotami pomp, temperaturami. To nie jest już kradzież danych z jakiegoś e-sklepu. To jest zabawa z fizycznym światem.

Niewidzialna maszyneria, o której nikt nie myśli

W tle jest coś, co większość ludzi kojarzy co najwyżej z filmami o szpiegach: technologia operacyjna, w skrócie OT. Wszystko to, co steruje procesami fizycznymi – od pieca w ciepłowni, przez pompę w wodociągach, po linię produkcyjną w fabryce. Na OT jedzie energetyka, ciepłownictwo, wodociągi i cały sektor przemysłowo-produkcyjny, który odpowiada za jakieś 20 procent polskiego PKB. I to właśnie OT, od lat budowane z myślą o niezawodności, a nie o cyberbezpieczeństwie, dziś jest jednym z najbardziej wrażliwych punktów całego systemu.

Jak zauważa Piotr Zielaskiewicz z DAGMA Bezpieczeństwo IT, odsetek firm, które doświadczyły incydentu bezpieczeństwa, w wielu branżach przekracza 50 procent. Mówiąc prościej: to już nie są pytania „czy?”, tylko „kiedy?” i „z jakim skutkiem?”.

Dlaczego jeszcze nie mieliśmy blackoutu?

Grudniowy atak na polski system energetyczny mógł skończyć się masowym blackoutem. Nie skończył się – bo podmioty energetyczne odrobiły przynajmniej część lekcji. Miały procedury, monitoring, ludzi, którzy wiedzieli, co robić, kiedy coś zaczyna się dziać „nie tak”.

Ale w ciepłowni w Rucianem-Nidzie przestępcom udało się wyłączyć piec. W wodociągach w kilku miejscowościach próbowano dobrać się do paneli sterujących. Na szczęście bez skutku, ale próby były na tyle zaawansowane, że pozwalają zadać jedno uczciwe pytanie: czy to my byliśmy tak dobrze przygotowani, czy oni po prostu jeszcze nie poszli na całość?

Tykająca bomba z dokumentacją z lat dziewięćdziesiątych

Eksperci są zgodni co do jednego: polskie OT to w dużej mierze systemy projektowane kilkanaście, czasem kilkadziesiąt lat temu. Piotr Combik z CISO Poland zwraca uwagę na prosty fakt – najpierw podłączono je do sieci, a dopiero potem zaczęto myśleć, jak je sensownie zabezpieczyć. To trochę tak, jakby ktoś najpierw otworzył drzwi na oścież, a potem zaczął szukać zamka.

Zielaskiewicz idzie dalej i mówi wprost: „polskie OT jest tykającą bombą”. Brzmi mocno, ale trudno z tym dyskutować, jeśli podstawowe systemy zabezpieczeń dopiero są dofinansowywane w ramach specjalnych programów państwowych, raport CERT Polska z początku 2026 roku opisuje skuteczny atak na infrastrukturę krytyczną, a państwo dopiero teraz – poprzez programy dla wodociągów i zapowiedzi wsparcia dla energetyki – próbuje tę bombę rozbroić. Takie programy, jak słusznie zauważa Zielaskiewicz, nie powstają bez potrzeby.

Aleksander Kostuch ze Stormshield trafia w sedno jeszcze jednym spostrzeżeniem: technologia jest dostępna, problemem nie jest jej brak. Problemem jest to, że firmy wciąż nie wiedzą dokładnie, co mają w swoich sieciach, nie dzielą ich na bezpieczne segmenty i nie monitorują ich w sposób ciągły. A do tego brakuje ludzi, którzy rozumieją jednocześnie IT i automatykę przemysłową. Systemowo jesteśmy w pół drogi – świadomość już jest, przygotowanie jeszcze nie.

Co firmy mogą zrobić, zamiast czekać na kolejny raport CERT-u?

Tu zaczyna się część, która nie brzmi efektownie, ale realnie ratuje skórę.

Przede wszystkim – inwentaryzacja i jasne właścicielstwo zasobów OT. Nie „ktoś z IT”, nie „pan od automatyki”, tylko konkretna osoba odpowiedzialna za listę zasobów, dokumentację i model dostępu. Bez tego firma zarządza wycinkami, a nie ryzykiem.

Dalej – separacja i segmentacja sieci IT i OT jako standard, nie jako „fajnie by było”. Chodzi o fizyczne i logiczne oddzielenie obu światów, żeby intruz, który dostanie się do jednego, nie mógł swobodnie spacerować po drugim. W firmach produkcyjnych kluczowe jest też stosowanie narzędzi, które rozumieją protokoły przemysłowe, a nie tylko typowy ruch biurowy.

Osobna sprawa to zdalny dostęp – jeden z najbardziej newralgicznych punktów. Silna autoryzacja, pełny audyt tego, kto i kiedy się łączył, jednorazowe hasła do serwisowych połączeń z zewnątrz. Brzmi jak paranoja? Może. Ale to właśnie przez źle zabezpieczony zdalny dostęp najczęściej wchodzą ci, których nie zapraszaliśmy.

I wreszcie aktualizacje – temat niewygodny, bo OT nie lubi przestojów. Każda przerwa to ryzyko produkcyjne, więc łatwo z tego zrobić wymówkę. Tyle że brak aktualizacji to otwarte drzwi. Potrzebne są zaplanowane okna serwisowe, testy i scenariusze awaryjne. „Nie aktualizujemy, bo się boimy” nie jest strategią – to zaproszenie.

Na koniec łańcuch dostaw, bo bezpieczeństwo nie kończy się na własnym płocie. Weryfikacja dostawców, bezpieczne aktualizacje i dywersyfikacja technologii – szczególnie w obecnej sytuacji geopolitycznej, z mocnym uwzględnieniem rozwiązań europejskich.

Bomba już tyka

Czy jeden udany atak może sprawić, że w kranie nie będzie wody, zimą w grzejniku zrobi się chłodno, a zakład produkcyjny stanie na kilka dni? Może. Wiemy to z praktyki – Ukraina 2015 to nie jest case study z egzotycznego świata, tylko bardzo czytelne ostrzeżenie.

To, czy zabraknie wody i ciepła, nie zależy od tego, czy ktoś spróbuje nas zaatakować, tylko od tego, jak przygotowani będziemy wtedy my. Bomba już tyka. Od nas zależy, czy ją rozbroimy systemowo, czy będziemy dalej uspokajać się tym, że „tym razem się udało”.

Dodaj komentarz

Przeczytaj również

Nowe przepisy celne: czy logistyka przeniesie się do UE?

Z początkiem lipca weszły w życie przepisy dotyczące przesyłek spoza UE, które zmieniają z…