KSC w zakładzie wodno-kanalizacyjnym – na co zwrócić uwagę?

By Wrzesień 11, 2020 Bezpieczeństwo OT/IoT, Usługi
krajowy system cyberbezpieczeństwa wod kan

Ustawa o krajowym systemie cyberbezpieczeństwa obowiązuje już od dwóch lat. Wypełnienie obowiązków i utrzymanie wymagań ustawowych jest żmudnym i pracochłonnym procesem, pełnym powtarzalnych zadań i angażującym wiele osób. Wśród podmiotów, których dotyczy ustawa, są także przedsiębiorstwa wodno-kanalizacyjne. Co w ich przypadku jest ważne w kontekście KSC? Podpowiadamy, na które obszary warto zwrócić uwagę i jak można usprawnić te procesy.

Załącznik do Rozporządzenia Rady Ministrów z dnia 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych wymienia następujące usługi związane z branżą wodociągowo-kanalizacyjną:

  • ujmowanie wody, uzdatnianie i dostarczanie wody;
  • odprowadzanie ścieków i oczyszczanie ścieków.

Im większa aglomeracja dla jakiej dany zakład świadczy usługi, i im więcej jest usług kluczowych dostarczanych przez zakład, tym więcej pojawia się wyzwań związanych z zapewnieniem odpowiedniego poziomu bezpieczeństwa dla tych usług.

Zapewnienie bezpieczeństwa bez systemów automatyzujących działania reagowanie na anomalie ich wykrywania, diagnozowania oraz przedstawiania wstępnej analizy jest zadaniem trudnym, często wręcz niewykonalnym przy rozproszonej architekturze OT. Kolejnym wyzwaniem jest stałe aktualizowanie wiedzy na temat bieżącego stanu naszej sieci OT – wersji oprogramowania na sterownikach PLC, RTU, stanu komunikacji procesów przemysłowych oraz obciążenia sieci. Bez wprowadzenia systemów nadzorujących te elementy i wspomagających pracę zespołów OT jest to niezwykle skomplikowane. Na co warto zwrócić uwagę?

1. Audyt bezpieczeństwa
2. Inwentaryzacja aktualnej topologii sieci OT
3. Identyfikacja istniejących i potencjalnych zagrożeń
4. Szybkie powiadamianie o incydentach – komunikacja z CSIRT

Audyt bezpieczeństwa w rozumieniu art. 15 ust. 1 Ustawy o KSC

Audyt bezpieczeństwa umożliwia m.in. kontrolę stopnia realizacji obowiązków określonych dla operatora usługi kluczowej. Pozwala na sprawdzenie stanu zgodności posiadanej dokumentacji, polityk bezpieczeństwa, wymaganych procedur i ich zastosowania w praktyce zgodnie z wymogami Ustawy o KSC.

Dzięki poprawnie wykonanemu audytowi można rozpoznać niezgodności oraz ocenić ryzyko i związane z nim zagrożenia. Jego wyniki dają możliwość poprawienia tych obszarów bezpieczeństwa, a w rezultacie podniesienie poziomu bezpieczeństwa organizacji.

Inwentaryzacja aktualnej topologii sieci OT

Znajomość aktualnego stanu sieci OT/IoT i jej budowy to ważny element w zapewnieniu bezpieczeństwa i ciągłości procesu zarządzania przedsiębiorstwem wodociągowym. Bez poprawnego, najlepiej automatycznego zinwentaryzowania elementów infrastruktury sieci wodno-kanalizacyjnej nie jesteśmy w stanie określić istotnych, krytycznych elementów, dokonać oceny i szacunków ryzyka, ani zaplanować wdrożenia wymaganych zmian i wprowadzić odpowiednich środków zaradczych.

Wyzwaniem jest też zapewnienie dostępu do aktualnej informacji o infrastrukturze sieci. Problemem może okazać się przechowywanie, archiwizacja oraz zarządzanie dostępem do dokumentacji takiej sieci, zwłaszcza jeśli chcemy to zrobić w sposób umożliwiający łatwe i szybkie analizowanie posiadanych danych z różnych perspektyw, np. warstwy sprzętowej, typów protokołów komunikacyjnych, komponentów oprogramowania. Jak poradzić sobie z tymi trudnościami?

Z pomocą przychodzą rozwiązania, które automatycznie i na bieżąco zbierają informacje o ruchu sieciowym pomiędzy urządzeniami OT, IoT oraz ich połączeniach. Zebrane dane służą do automatycznego tworzenia list urządzeń, węzłów sieciowych oraz zestawienia powiązań między nimi. Bardzo pomocne przy analizie mogą być wizualizacje wzajemnych połączeń urządzeń OT/IoT (np. w postaci grafów).

Ze względu na specyfikę sieci przemysłowych – ich wrażliwość na opóźnienia oraz ograniczenia w przepustowości – stosowane rozwiązanie nie powinno wprowadzać dodatkowych obciążeń sieciowych.

Identyfikacja istniejących i potencjalnych zagrożeń

Zwiększone obciążenia połączeń, wykorzystanie niezabezpieczonych protokołów, dostęp urządzeń do Internetu to przykłady zagrożeń, które mogą się pojawić. Jak sprawdzić, gdzie występują anomalie? Dzięki narzędziom do wizualizacji sieci, wspartych zaawansowanymi możliwościami sztucznej inteligencji i uczenia maszynowego, możemy to szybko określić. W ten sposób zyskujemy dokładne informacje, które miejsce w sieci i jej element są zagrożone. W przypadku powstania zagrożenia automatycznie wysyłane są odpowiednie alarmy i powiadomienia.

Cyklicznie aktualizowana baza zagrożeń, korzystająca z własnych definicji reguł bezpieczeństwa opracowywanych przez laboratorium Nozomi Networks Labs, takch jak YARA i STIX, pozwala na kompleksową, ciągłą i szybką identyfikację ryzyka oraz zagrożeń bezpieczeństwa cybernetycznego. Możliwe jest ujawnianie zarówno trwających ataków, jak i zagrożeń na wczesnym etapie, dzięki czemu można zareagować i podjąć właściwe działania.

Powiadamianie o incydentach – komunikacja z CSIRT

Sytuacja zagrożenia może dotknąć każdego, a ataki przybierają coraz bardziej wyrafinowane formy. Każdy operator usług kluczowych ma obowiązek zgłoszenia indydentu cyberbezpieczeństwa do CSIRT (Computer Security Incident Response Team), czyli Zespołu Reagowania na Indydenty Bezpieczeństwa Komputerowego. W Polsce taką rolę pełnią:

  • Agencja Bezpieczeństwa Wewnętrznego (CSIRT GOV),
  • Naukowa i Akademicka Sieć Komputerowa – Państwowy Instytut Badawczy (CSIRT NASK),
  • Resort obrony narodowej (CSIRT MON).

Wsparciem może się okazać narzędzie do raportowania o powstałym incydencie zagrożenia cyberbezpieczeństwa. Kompletny zestaw informacji o powstałym zdarzeniu, jego dokładny przebieg, jak i szczegółowa informacja o rodzaju zagrożenia może być w bardzo prosty sposób przygotowana, a następnie przekazana odpowiedniej jednostce. Ma to oczywiście wpływ na szybkie tempo podjęcia skutecznych działań,  a w przypadku zagrożeń cybernetycznych to sprawa kluczowa.

Wsparcie potrzebne od zaraz

Przedsiębiorstwa wodno-kanalizacyjne dostarczają usługi dla ludności i zakładów użyteczności publicznej takich jak szpitale, szkoły, przedszkola. Ze względu na konieczność zapewnienia dostępności, bezpieczeństwa i odpowiedniej jakości są to są usługi o charakterze krytycznym, a zapewnienie cyberbezpieczeństwa systemów informacyjnych jest kluczowe.

Rozumiemy jednak, że liczba wymagań, które trzeba spełniać, nowe procedury czy obowiązki mogą się okazać wyzwaniem, a konsekwencje ewentualnych incydentów mogą być bardzo poważne. Wymienione tutaj punkty to tylko wybrane obszary, na które warto zwrócić szczególną uwagę przy dbaniu o cyberbezpieczeństwo w zakładzie wodno-kanalizacyjnym.

Nasz zespół doświadczonych ekspertów oferuje pełne wsparcie w tym zakresie – od konsultacji i analizy potrzeb, aż po wsparcie techniczne i odpowiednie szkolenia. Nie jesteś pewny, jak podejść do tego tematu lub od czego zacząć? Chętnie doradzimy i podpowiemy, jakie kroki podjąć.