Cyberataki nie wybierają. Nowe zalecenia rządu dla energetyki

Pełnomocnik rządu do spraw cyberbezpieczeństwa przygotował zalecenia dla podmiotów KSC, w tym operatorów infrastruktury krytycznej. W realiach dyrektywy NIS2 należy je traktować jako praktyczny standard bezpieczeństwa dla sektora energetycznego, który pozostaje jednym z głównych celów cyberataków.

„W ostatnim czasie obserwowana jest wroga działalność grup hakerskich, szczególnie ukierunkowana na podmioty z sektora ochrony zdrowia. Cyberataki te cechują się podobnymi taktykami, technikami i procedurami (TTPs)” – wskazuje pełnomocnik rządu ds. cyberbezpieczeństwa we wstępie do opublikowanych zaleceń. I podkreśla, że w dzisiejszych czasach ataki hakerskie obejmują nie jedno, lecz wiele zintegrowanych ze sobą działań.

Wśród nich w komunikacie wymieniono m.in. wykorzystanie konkretnych adresów IP do zestawiania połączeń VPN, a także użycie narzędzi rozpoznawczych, takich jak nmap czy Advanced IP Scanner, oraz aplikacji służących do transferu i eksfiltracji danych, w tym rclone. Wskazano również konkretne sygnatury złośliwego oprogramowania, co potwierdza wysoki poziom organizacji i powtarzalności operacji.

REKLAMA

W kontekście energetyki – gdzie systemy operacyjne i przemysłowe są coraz silniej powiązane z infrastrukturą IT – oznacza to realne ryzyko nie tylko naruszenia danych, lecz także zakłócenia procesów technologicznych i ciągłości dostaw.

IoC – wykryć intruza, zanim zaszyfruje system

W komunikacie wiele miejsca poświęcono wskaźnikom kompromitacji (IoC), które – jak podkreślono – mogą stanowić pierwszy sygnał obecności napastnika w infrastrukturze organizacji.

„Dokonanie przeglądu zasobów teleinformatycznych pod kątem IoCs może pozwolić na wykrycie obecności cyberprzestępców […] i ustrzec się przed zaszyfrowaniem i kradzieżą danych” – zaznacza pełnomocnik w komunikacie.

W praktyce oznacza to konieczność systematycznego przeglądu logów, analizy ruchu sieciowego oraz identyfikacji nietypowych połączeń, w szczególności wychodzących do zewnętrznych zasobów chmurowych. Dla przedsiębiorstw energetycznych takie działania powinny stanowić element ciągłego monitoringu bezpieczeństwa, a nie jednorazową reakcję na incydent.

Operacyjny standard bezpieczeństwa

Zawarte w komunikacie rekomendacje tworzą spójny model zabezpieczeń, który można traktować jako minimalny standard dla organizacji zarządzających infrastrukturą krytyczną. W obszarze dostępu zdalnego szczególny nacisk położono na eliminację bezpośrednio wystawionych usług RDP oraz pełne wymuszenie uwierzytelniania wieloskładnikowego dla wszystkich połączeń VPN i zdalnych sesji administracyjnych.

„RDP dostępne bezpośrednio z sieci publicznej nie powinny istnieć” – podkreśla pełnomocnik rządu ds. cyberbezpieczeńtwa.

Istotnym elementem jest również ścisłe zarządzanie uprawnieniami. Komunikat jednoznacznie wskazuje na konieczność ograniczenia użycia kont uprzywilejowanych oraz wdrożenia narzędzi klasy PAM i SIEM, które umożliwiają bieżącą kontrolę aktywności oraz automatyczne wykrywanie anomalii.

Równolegle podkreślono znaczenie ciągłego monitorowania zdarzeń bezpieczeństwa oraz reagowania na alerty generowane przez systemy ochrony punktów końcowych.

REKLAMA

„Ignorowanie tych alertów jest najczęstszą przyczyną udanych ataków ransomware” – zaznaczono w komunikacie.

Nie mniej istotnym elementem jest strategia backupu. Zalecenia wskazują na konieczność pełnej izolacji systemów kopii zapasowych, stosowania odrębnych poświadczeń oraz wykorzystywania mechanizmów typu WORM.

„Kopie w trybie WORM uniemożliwiają ich usunięcie lub zaszyfrowanie przez atakującego” – czytamy w zaleceniach.

Dla kogo są zalecenia?

Choć komunikat został przygotowany ze szczególnym uwzględnieniem sektora ochrony zdrowia, jego zakres nie ogranicza się wyłącznie do tej branży. Wprost wskazano, że rekomendacje powinny być stosowane szerzej – przez wszystkie organizacje objęte ustawą o krajowym systemie cyberbezpieczeństwa (KSC).

Oznacza to, że adresatami zaleceń są wszystkie podmioty KSC, w szczególności operatorzy usług kluczowych, do których zalicza się sektor energetyczny. Wynika to z faktu, że identyfikowane kampanie cyberataków nie są ograniczone do jednego sektora, a stosowane przez napastników techniki mają charakter uniwersalny i mogą być skutecznie wykorzystywane przeciwko różnym typom organizacji.

Dla sektora energetycznego przedstawione zalecenia mają wymiar strategiczny. W środowisku, w którym systemy sterowania, telemetria i infrastruktura IT są ze sobą ściśle powiązane, skuteczny cyberatak może prowadzić nie tylko do strat finansowych, lecz także do zakłóceń w funkcjonowaniu całego systemu elektroenergetycznego.

Komunikat należy więc traktować nie jako reakcję na pojedyncze incydenty, lecz jako element szerszej zmiany podejścia do bezpieczeństwa – od działań reaktywnych do modelu ciągłej odporności operacyjnej. W warunkach obowiązywania NIS2 oznacza to konieczność traktowania cyberbezpieczeństwa jako integralnej części zarządzania ciągłością działania i bezpieczeństwem państwa.

Pełna treść zaleceń rzecznika rządu ds. cyberbezpieczeństwa dostępna jest pod tym linkiem.