Cyfryzacja branży wodociągowej – automatyzacja procesów, rozwój systemów zdalnego monitoringu oraz integracja rozwiązań IT ze środowiskami technik operacyjnych – przyniosła sektorowi wiele korzyści. Ale jednocześnie naraziła przedsiębiorstwa na nowe zagrożenia i otworzyła furtki do cyberataków, które coraz częściej uderzają w infrastrukturę krytyczną. Przeprowadzone przez Fortinet badanie[1] wykazało, że świadomość tego problemu wśród przedsiębiorstw z branży wodociągowej wzrosła na przestrzeni ostatnich lat, chociaż wyzwań przybywa szybciej niż rozwiązań. Klasyczne mechanizmy ochrony nie wystarczają, dlatego kluczowe staje się inteligentne wykrywanie anomalii, szybsze reagowanie na nie i możliwość uczenia się na podstawie obserwacji działań podejmowanych przez atakujących.
W 2024 roku niemal połowa przedsiębiorstw z branży wodociągowej (47%) zgodziła się ze stwierdzeniem, że ich zarządy rozumieją korzyści z posiadania bazujących na solidnych podstawach programów cyfrowej ochrony. Z jednej strony rośnie więc świadomość na poziomie zarządczym, z drugiej jednak odczuwalne są wyzwania związane z niewystarczającymi środkami finansowymi, koniecznością skupienia się na bieżącej działalności operacyjnej (36% wskazań) czy brakiem zdefiniowanej strategii cyberbezpieczeństwa (27%).
Zgodność z regulacjami i ryzyko dla zdrowia publicznego
Przeprowadzone na zlecenie Fortinet wśród amerykańskich firm z branży wodociągowej badanie pokazało, że operatorzy są świadomi rosnącego zagrożenia ze strony cyberprzestępców. Najczęściej wymieniane obawy związane z ich działalnością dotyczą wpływu incydentów na zdrowie publiczne, przerw w dostawach usług oraz coraz bardziej złożonych wymagań regulacyjnych. Ponad 80% respondentów wskazało, że największe ryzyko stanowi zagrożenie dla ludności, a niewiele mniejszy odsetek podkreślał problemy związane z przerwami w usługach i narastającą presją ze strony organów regulacyjnych. Cyberataki w przypadku tej branży mogą mieć wyjątkowo poważne konsekwencje. Dostęp do wody pitnej i infrastruktury wodno-kanalizacyjnej są fundamentem bezpieczeństwa publicznego, a każdy incydent może prowadzić nie tylko do strat finansowych, lecz także do zagrożenia zdrowia i życia mieszkańców.
Co istotne, połowa badanych spodziewa się, że w perspektywie 2-5 lat nastąpi znaczący wzrost wymagań prawnych wobec branży wodociągowej. Już obecnie trzy czwarte przedsiębiorstw uważa, że posiadane rozwiązania techniczne wspierają je w spełnianiu wymogów regulacyjnych. Jednocześnie 36% przyznaje, że stosowane przez nie systemy nie nadążają za potrzebami związanymi z rozwojem chmury obliczeniowej i nowoczesnymi metodami zarządzania danymi. To oznacza, że firmy te muszą inwestować w narzędzia, które pozwolą im sprostać zarówno bieżącym wyzwaniom, jak i przyszłym wymogom prawnym.
Ransomware i socjotechnika wciąż na szczycie zagrożeń
Najczęściej spotykane zagrożenia pozostają niezmienne. Ransomware i phishing wciąż są na szczycie listy obaw – odpowiednio 65% i 63% respondentów wskazało te kategorie jako stanowiące największe powody do niepokoju. Nie są to jednak jedyne problemy. Wzrasta liczba ataków ukierunkowanych na systemy przemysłowe, protokoły komunikacyjne oraz podatności wynikające z braku aktualizacji krytycznych urządzeń.
W tej sytuacji tradycyjne podejście bazujące na sygnaturach i znanych wzorcach zagrożeń staje się niewystarczające. Klasyczne systemy ochrony potrafią skutecznie blokować popularne kampanie ransomware, ale zawodzą, gdy napastnicy korzystają z nieznanych wcześniej luk czy tworzą własne narzędzia ataku. Rozwiązanie stanowią mechanizmy wykrywania anomalii w sieci, czyli analiza zachowania i identyfikowanie odchyleń od normy.
Systemy wykrywania anomalii polegają na tworzeniu dynamicznego „obrazu normalności” dla danej infrastruktury. Każde odstępstwo od wzorców, np. nietypowe natężenie ruchu sieciowego, próby komunikacji z nieznanymi adresami IP czy nielogiczne sekwencje działań w systemach przemysłowych, może zostać natychmiast wyłapane. Jeśli urządzenie nagle zaczyna komunikować się z nietypowym serwerem, a sterownik PLC wysyła polecenia w godzinach, w których zwykle jest nieaktywny, system potrafiący wykrywać anomalie zareaguje natychmiast – nawet, jeśli nie istnieje jeszcze żadna sygnatura opisująca dane zagrożenie w systemie ochronnym. Takie podejście ma ogromne znaczenie w branży wodociągowej, ponieważ systemy OT zazwyczaj pracują w trybie ciągłym, a zakłócenie nawet niewielkiego procesu może prowadzić do poważnych konsekwencji.
Co więcej, mechanizmy wykrywania anomalii pełnią funkcję nie tylko „strażnika”, ale i „nauczyciela”. Analiza incydentów w czasie rzeczywistym, oprócz blokowania ataków, pozwala także na wyciąganie wniosków i wprowadzanie ulepszeń. Dodatkową zaletą podejścia bazującego na wykrywaniu anomalii jest zdolność do adaptacji. Im dłużej narzędzie zabezpieczające działa w środowisku produkcyjnym, tym lepiej „rozumie” specyfikę poszczególnych urządzeń, sieci czy harmonogramów pracy. Dzięki temu możliwe jest ograniczenie liczby fałszywych alarmów, które w klasycznych systemach ochrony często stanowią duże obciążenie dla zespołów bezpieczeństwa. W praktyce oznacza to, że operatorzy wodociągów otrzymują mniej sygnałów nieistotnych, a szybciej mogą skoncentrować się na realnych zagrożeniach.
Podwójna linia obrony: detekcja i pułapki na cyberprzestępców
Rola narzędzi umożliwiających wykrywanie anomalii staje się kluczowa. Na fundamencie strategii szybkiej detekcji i wczesnego ostrzegania przed zagrożeniami zbudowane zostały rozwiązania Fortinet, w tym FortiNDR i FortiDeceptor, które obecnie należą do najważniejszych narzędzi w arsenale ochrony przedsiębiorstw, w tym z branży wodno-kanalizacyjnej. FortiNDR – oprogramowanie z kategorii Network Detection and Response – to zaawansowany system analizujący ruch sieciowy, zarówno jawny, jak i zaszyfrowany. Wykorzystuje sztuczną inteligencję, uczenie maszynowe oraz mechanizmy analizy behawioralnej do wykrywania nieznanych wcześniej zagrożeń. Jego działanie nie wymaga instalowania agentów na stacjach roboczych, co jest szczególnie istotne w środowiskach przemysłowych, w których zazwyczaj nie można ingerować w pracę urządzeń. FortiNDR obsługuje ponad 65 protokołów OT i trzy tysiące sygnatur aplikacji, co sprawia, że potrafi monitorować nawet najbardziej specjalistyczne systemy wykorzystywane w branży wodnej. Wersja on-premise została zaprojektowana specjalnie dla środowisk odizolowanych, w których dane nie mogą opuszczać infrastruktury.
FortiDeceptor to z kolei rozwiązanie bazujące na koncepcji deception, czyli podejmowania prób zmylenia przeciwnika. System ten tworzy środowisko pułapek – fałszywych serwerów, urządzeń i usług, które wyglądają jak prawdziwe, ale w rzeczywistości służą do wykrywania intruzów. Cyberprzestępca, który próbuje poruszać się po sieci, trafia do takiej pułapki, gdzie jego działania są monitorowane i analizowane, a zespół bezpieczeństwa zyskuje czas na reakcję oraz możliwość szczegółowego poznania metod ataku. Dzięki temu łatwiej jest odróżnić rzeczywiste zagrożenia od fałszywych alarmów, a także gromadzić dane niezbędne do doskonalenia mechanizmów obronnych i lepiej przygotować się do audytów oraz kontroli regulacyjnych.
Narzędzia typu deception oraz wykrywanie anomalii wzajemnie się uzupełniają. Podczas gdy systemy bazujące na analizie zachowania potrafią szybko wyłapać odstępstwa od normy, mechanizmy deception pozwalają sprawdzić, jakie dokładnie techniki stosuje napastnik, gdy zostanie „zwabiony” do pułapki. Operatorzy wodociągów zyskują nie tylko szybkie ostrzeżenie o ataku, ale też cenne informacje o jego naturze, które można wykorzystać do lepszego przygotowania obrony. Zespoły bezpieczeństwa mogą działać proaktywnie: eliminować słabe punkty jeszcze zanim zostaną realnie wykorzystane oraz wzmacniać procedury reagowania na incydenty.
Oba rozwiązania są częścią platformy Fortinet OT Security, która integruje wszystkie kluczowe elementy ochrony. Ujednolicony system operacyjny FortiOS oraz mechanizmy centralnego zarządzania nim pozwalają operatorom wodociągów lepiej widzieć, rozumieć i kontrolować swoją infrastrukturę. Możliwość segmentacji sieci OT i IT, wirtualne łatki chroniące urządzenia niepoddające się aktualizacjom, zaawansowane mechanizmy analizy tożsamości i automatyzacji reagowania – wszystko to sprawia, że przedsiębiorstwa zyskują realną cyberodporność. Skuteczne zarządzanie incydentami nie zaczyna się bowiem od reagowania na zagrożenia, a od dobrej widzialności swojego środowiska.
Realne wsparcie w ramach konkursu Cyberbezpieczny Wodociąg”
W Polsce dodatkowym impulsem dla wdrażania rozwiązań ochronnych jest konkurs „Cyberbezpieczne Wodociągi”, którego celem jest budowa świadomości i wdrażanie praktycznych narzędzi poprawiających poziom ochrony infrastruktury krytycznej. Na jego realizację przeznaczono około 300 milionów złotych, a pojedynczy operator usług kluczowych będzie mógł otrzymać bezzwrotny grant sięgający nawet 300 tys. euro (ok. 1,3 mln zł, w zależności od limitów pomocy de minimis). Wydatki muszą być poniesione w okresie od 1 stycznia 2025 r. do 30 czerwca 2026 r.Nabór wniosków ruszył 1 września i potrwa do 2 października 2025.
Granty pozyskane w ramach konkursu będzie można przeznaczyć na działania wzmacniające odporność przedsiębiorstw wodociągowych na cyberzagrożenia, m.in. na opracowanie i wdrożenie procedur bezpieczeństwa, przeprowadzenie audytów, zakup oraz konfigurację nowoczesnych rozwiązań IT i OT – w tym systemów wykrywania zagrożeń i reagowania na nie (SIEM, NDR, EDR, XDR, SOC/MDR), platform do zarządzania podatnościami, a także na szkolenia dla personelu oraz warsztaty polegające na symulowaniu ataków. Konkurs zapewnia realną szansę, by w krótkim czasie i przy wsparciu finansowym podnieść poziom bezpieczeństwa cyfrowego kluczowych systemów wodociągowych.
Dzięki bogatemu portfolio i doświadczeniu w ochronie infrastruktury krytycznej, Fortinet oferuje rozwiązania, które spełniają wymagania konkursu i pozwalają skutecznie wdrożyć nowoczesną architekturę cyberbezpieczeństwa. Więcej informacji o tym, jak zwiększyć poziom bezpieczeństwa systemów OT oraz dobrać konkretne rozwiązania pod swoje potrzeby dostępnych jest na stronie cyberwodkan.pl.
Autorzy:
Maciej Gospodarek, Principal Systems Engineer w firmie Fortinet
Maciej Iwanicki, Business Development Manager w firmie Fortinet
Źródło danych: Raport Fortinet Cyber Security & Water Utilities Custom Research, 2024
[1] Fortinet Cyber Security & Water Utilities Custom Research, 2024
