Pełnomocnik Rządu do spraw Cyberbezpieczeństwa, Krzysztof Gawkowski, wydał 25 lutego 2025 r. komunikat dotyczący nasilających się ataków na przemysłowe systemy sterowania (ICS/OT) dostępne z internetu. Ataki te, często motywowane aktywistycznie lub politycznie, mają na celu zwrócenie uwagi mediów na udane działania hakerskie. Co istotne, niektóre z tych incydentów wpłynęły na rzeczywiste funkcjonowanie systemów, powodując odczuwalne skutki dla odbiorców usług.
Charakterystyka zagrożeń
Wiele urządzeń przemysłowych łączy się z internetem za pośrednictwem routerów sieci komórkowych, co sprawia, że ich adresy IP są przypisane do operatorów sieci mobilnych. W takich przypadkach trudniej jest zidentyfikować właściciela systemu, co utrudnia reakcję na potencjalne zagrożenia.
Zalecenia dla jednostek samorządu terytorialnego i podmiotów publicznych
Aby zwiększyć bezpieczeństwo przemysłowych systemów sterowania, zalecono:
-
Unikanie bezpośredniego zdalnego połączenia do instalacji przemysłowych systemów sterowania z wykorzystaniem protokołów takich jak VNC czy RDP oraz oprogramowania zdalnego wsparcia technicznego.
-
Nieudostępnianie bezpośredniego zdalnego dostępu do panelu WWW systemów sterowania i wizualizacji, nawet jeśli stosowane jest silne hasło.
-
Nieudostępnianie z otwartej sieci internet portów komunikacyjnych, na których działają protokoły przemysłowe, szczególnie umożliwiających konfigurację urządzenia.
-
W przypadku konieczności zdalnego dostępu do odczytu lub sterowania procesem, zaleca się korzystanie z VPN z wieloskładnikowym uwierzytelnianiem, co może wymagać rozbudowy infrastruktury o niezbędne urządzenia.
-
Bezzwłoczne zgłaszanie incydentów cyberbezpieczeństwa związanych z instalacją przemysłową do właściwego CSIRT-u poziomu krajowego.
Dodatkowe środki bezpieczeństwa
W celu dalszego zabezpieczenia systemów przemysłowych rekomenduje się:
-
Minimalizowanie ekspozycji sieci przemysłowej przez identyfikację i ograniczenie do koniecznych połączeń „z” i „do” tej sieci.
-
Przegląd i ograniczenie zdalnego dostępu do niezbędnego minimum, zwłaszcza w przypadku modemów komórkowych i zdalnego dostępu podwykonawców.
-
Wykorzystywanie VPN z wieloskładnikowym uwierzytelnianiem dla zdalnego dostępu oraz, tam gdzie to możliwe, ograniczanie dostępu do VPN dla określonych adresów IP lub ich zakresów, np. tylko dla polskich adresów IP.
-
Wykorzystanie prywatnych sieci APN zakontraktowanych u operatora sieci komórkowej do przesyłania danych telemetrycznych.
-
Zmianę domyślnych danych uwierzytelniających na silne hasła oraz wyłączenie niewykorzystywanych kont.
-
Regularne aktualizowanie systemów, szczególnie podczas planowanego wyłączenia instalacji.
-
Stosowanie segmentacji sieci poprzez separację fizyczną lub logiczną sieci przemysłowej od innych sieci.
-
Analizowanie widoczności urządzeń poprzez zewnętrzne skanowanie zakresu adresacji należącej do obiektu czy wykorzystanie narzędzi typu wyszukiwarka urządzeń sieciowych lub wyszukiwarka podatności.
-
Realizowanie zdalnego dostępu na żądanie, co oznacza włączanie dostępu zdalnego na czas prac serwisowych, oraz rejestrowanie wszystkich zdalnych działań w systemie w sposób pozwalający jednoznacznie zidentyfikować czas, cel i źródło prowadzonych prac.
-
Wykrywanie anomalii w ruchu sieciowym odbiegającym od połączeń realizowanych podczas normalnego trybu pracy instalacji.
Pełna treść komunikatu oraz szczegółowe zalecenia dostępne są na oficjalnej stronie rządowej.
W obliczu rosnącej liczby ataków na przemysłowe systemy sterowania, wdrożenie powyższych zaleceń jest kluczowe dla zapewnienia ciągłości działania infrastruktury krytycznej i ochrony odbiorców usług przed potencjalnymi zakłóceniami.
https://www.gov.pl/web/baza-wiedzy/komunikat-pelnomocnika-rzadu-do-spraw-cyberbezpieczenstwa-ws-atakow-na-przemyslowe-systemy-sterowania
