Spis treści
Departament w wydanym wspólnie z FBI ostrzeżeniu zwraca uwagę, że skutkami ataków podczas których prowadzony jest rekonesans i są zbierane informacje, może być sabotaż lub przerwy w działaniu firm, co w przypadku energetyki w skrajnej sytuacji może oznaczać wyłączenie elektrowni.
Cyberatak to nie fikcja
DHS twierdzi, że Rosjanie atakują od marca 2016 r. Informuje, że w wyniku analiz prowadzonych wspólnie z FBI wykryto różne „wskaźniki i zachowania związane z tą działalnością”. Podkreśla, że wyrafinowane cyberataki skierowane na europejski sektor energetyczny we wrześniu 2017 r. opisała zajmująca się cyberbezpieczeństwem firma Symantec. Symentec w raporcie twierdził, że hakerzy wydają się być zainteresowani zarówno nauczeniem się, jak funkcjonują urządzenia energetyczne, jak i uzyskaniem dostępu do systemów operacyjnych, co potencjalnie umożliwia im sabotaż lub przejęcie kontroli.
Z analiz DHS wynika, że początkowymi ofiarami cyberataku są organizacje peryferyjne, takie jak zaufani dostawcy zewnętrzni, których systemy informatyczne są słabiej zabezpieczone niż sieci firm, które są rzeczywistym celem ataku. Za pośrednictwem systemów organizacji peryferyjnych – np. z wykorzystaniem przejętych kont poczty elektronicznej, czy też internetowych stron odwiedzanych przez pracowników – prowadzone są próby ataku na docelowe ofiary.
Zobacz także: Czas zająć się cyberbezpieczeństwem
W pierwszych komentarzach, które pojawiły się po wstępnej analizie informacji zawartych w opublikowanym w czwartek przez DHS ostrzeżeniu pojawia się teza, że ataki sygnalizują, że w przypadku potencjalnego konfliktu Rosja jest w stanie sparaliżować Zachodnią infrastrukturę krytyczną.
Czwartkowe ostrzeżenie nie jest pierwsze. Podobne upublicznione zostało w czerwcu 2017 r. Wynikało z niego, że hakerzy (nie określono wówczas z jakiego kraju) usiłują penetrować sieci komputerowe elektrowni atomowych i firm energetycznych w USA i innych państwach. Przykładem, który podawano w mediach był przeprowadzony w maju ub.r. atak na Wolf Creek Nuclear Operating Corporation, operatora elektrowni atomowej zlokalizowanej obok w Burlington w stanie Kansas. z dostępnych wówczas informacji wynikało, że atakujący nie uzyskali dostępu do sterowni elektrowni jądrowej.
W lecie ub.r. irlandzkie media informowały o przeprowadzonym w kwietniu 2017 r. udanym cyberataku na EirGrid, operatora irlandzkich sieci energetycznych.
Zobacz także: (Nie)bezpieczne systemy energetyczne
Należy zauważyć, że za dwa ubiegłoroczne masowe globalne ataki typu ransomware – twarde dyski zainfekowanych szkodliwym oprogramowaniem komputerów były szyfrowane; sprawcy żądali okupu w zamian za odszyfrowanie treści – amerykański, a także brytyjski wywiad winą obarczał Koreę Północną (majowy atak WannaCry) i Rosję (czerwcowy atak NotPetya).
WannaCry sparaliżował m.in. infrastrukturę informatyczna brytyjskiej ochrony zdrowia, zaś NotPetya dosięgnął m.in. komputerów w Ukraińskich firmach energetycznych, ale nie doprowadził do zakłóceń w pracy elektrowni i systemu energetycznego. Nastąpiła jednak przerwa w pracy systemu monitorowania promieniowania w elektrowni atomowej w Czarnobylu.
Przykłady blisko nas
Skuteczny za to był przeprowadzony w grudniu 2016 r. atak na Ukrenergo, w wyniku którego prądu przez dwa dni pozbawiona była część Kijowa. Inny – przeprowadzony w grudniu 2015 r. – cyberatak na ukraińską energetykę pozbawił prądu ok. 225 tys. osób w zachodniej części Ukrainy. Był to pierwszy w historii udany atak na infrastrukturę energetyczna, który doprowadził do przerw w dostawie prądu. Ówczesna amerykańska administracja ostrzegła, że podobne ataki mogą mieć miejsce w innych krajach.
Cztery lata temu Symantec informował o przeprowadzonym od lutego do lipca 2013 r. cyberatakach na ok. 1000 firm w ponad 80 krajach. W Polsce na celowniku były firmy energetyczne i surowcowe. Celem tego ataku było wykradzenie informacji, ale – jak twierdzili przedstawiciele Symantec – zainfekowane oprogramowanie przygotowane było także do przejmowania kontroli nad infrastrukturą zarządzającą produkcją i do sabotażu.