Życie bez czystej wody, Internetu czy zasięgu w telefonie byłoby trudne. Trwające konflikty zbrojne na świecie i transmitowane z nich relacje w mediach społecznościowych pokazują dobitnie, że chociaż trudno wyobrazić sobie życie bez pewnych podstawowych usług lub przedmiotów, to jednak w każdym momencie istnieje ogromne ryzyko, że zostaniemy ich pozbawieni. I niekoniecznie chodzi o wybuch wojny – wystarczy dobrze ukierunkowany atak hakerski na obiekty wchodzące w skład infrastruktury krytycznej.
Infrastruktura krytyczna to, najprościej ujmując, cyfrowe i fizyczne aktywa, systemy oraz sieci, które są podstawą funkcjonowania współczesnego społeczeństwa i jego gospodarki – od placówek opieki zdrowotnej, przez cyfrowe platformy administracji publicznej, a kończąc na sieciach elektroenergetycznych. W 2022 roku w Polsce ataki na przedsiębiorstwa użyteczności publicznej (m.in. wodociągi, kanalizacja, komunikacja miejska) zwiększyły się aż o blisko 500% do średnio 3,4 tys. tygodniowo. Polski sektor rządowy i militarny doświadczają przeciętnie 1,1 tys. ataków tygodniowo. Prawie 1,2 tys. naruszeń odnotowują banki. Coraz więcej tych ataków jest przeprowadzanych przez grupy powiązane z Rosją[1].
Oczywiście, to tylko niektóre przykłady. W rzeczywistości katalog aktywów, których zniszczenie lub naruszenie miałoby katastrofalne skutki dla bezpieczeństwa narodowego, gospodarki czy społeczeństwa, jest znacznie szerszy. I nie zawsze są to oczywiste obiekty.
Własność prywatna nie jest krytyczna? Niekoniecznie
Przykładowo, w czerwcu 2021 roku rosyjscy hakerzy zaatakowali JBS, jednego z największych na świecie producentów mięsa. Atak typu ransomware spowodował tymczasowe przestoje w produkcji w Ameryce Północnej oraz Australii. I chociaż to firma prywatna, to okazało się, że wstrzymanie działania zakładów znacząco naruszyło łańcuchy dostaw na całym świecie z uwagi na skalę działania firmy. Konsumenci na całym świecie mogli doświadczyć wzrostów cen mięsa. W efekcie JBS zapłaciło przestępcom 11 milionów dolarów okupu, aby jak najszybciej rozwiązać problem[2].
Innym przykładem dużej firmy, której przestój wywołany atakiem przekłada się bezpośrednio na tysiące innych podmiotów, jest Microsoft. W marcu 2021 roku oprogramowanie Exchange Server zostało zhakowane przez chińską grupę przestępczą, która uzyskała dostęp do wielu kont e-mailowych i zainstalowała na nich nieautoryzowane oprogramowanie. Ten incydent wpłynął na tysiące organizacji na całym świecie, m.in. urzędy państwowe i dostawców infrastruktury krytycznej[3].
Postęp technologiczny sprawia, że rośnie liczba aktywów, które można zaliczyć do infrastruktury krytycznej. W badaniu Statisty z 2023 roku ponad 40% respondentów stwierdziło, że najważniejszymi elementami infrastruktury IT w tym roku będą sieci, chmura obliczeniowa i pamięć masowa. Kolejna jedna trzecia uznała kod za równie ważny element architektury IT[4]. I chociaż nie każda infrastruktura informatyczna jest krytyczna, to pewien kolejowy przykład z naszego rodzimego podwórka pokazuje, że ingerencja w kod aplikacji może skutkować implikacjami o zasięgu ogólnokrajowym. Nawet jeśli w tym konkretnym przypadku ingerencja była autoryzowana przez producenta oprogramowania…
Ile może kosztować brak ochrony przed atakami hakerskimi?
Brak dbałości o cyberbezpieczeństwo może skutkować poważnymi konsekwencjami. I nie zawsze chodzi tylko o straty finansowe czy uszczerbki na wizerunku. Czasami może to być stawka życia albo śmierci. Na początku 2021 roku na Florydzie w mieście Oldsmar nastąpiło nieautoryzowane uzyskanie dostępu do systemów komputerowych. Haker próbował zwiększyć poziom wodorotlenku sodu w wodzie, tym samym zatruwając miejskie zasoby. Na szczęście atak został wykryty i udaremniony zanim doszło do wyrządzenia jakichkolwiek szkód[5].
W Stanach Zjednoczonych w 2023 roku cyberataki na sektor ochrony zdrowia doprowadziły do zwiększenia śmiertelności w więcej niż co piątej dotkniętej placówce, co jest konsekwencją spowodowanych atakami opóźnień w leczeniu czy badaniach, przekładającymi się na gorsze wyniki u pacjentów oraz zwiększone ryzyko komplikacji przy każdej procedurze medycznej. A aż 9 na 10 organizacji doświadczyło przynajmniej jednego takiego ataku w tym roku[6]. W Polsce liczba zgłoszonych cyberataków na placówki ochrony zdrowia wzrosła w ciągu roku aż trzykrotnie[7]. Phishing, ransomware, Internet Rzeczy, inżynieria socjotechniczna – wektory i taktyki wykorzystywane przez przestępców były różnorodne.
Martin Lutz z Axians zwraca również uwagę na ataki na sektor edukacji. Szkoły czy uczelnie ze względu na specyfikę funkcjonowania i ograniczony budżet często zaniedbują bezpieczeństwo swojej sieci, chociaż są w posiadaniu licznej ilości danych krytycznych takich jak dane o uczniach, finansach czy związane z różnego rodzaju badaniami. Lutz przytacza przykład departamentu edukacji w szwajcarskim kantonie Basel-Stadt, który padł ofiarą ataku cybernetycznego ukierunkowanego na zdobycie dostępu do informacji o uczniach czy finansach oraz dokumentów administracyjnych. Jednocześnie, jak wskazuje Lutz, szkoły często korzystają z przestarzałego oprogramowania, coraz częściej używają platform dostępnych w sieci i nie dbają o stosowanie silnych haseł, a także nie myślą o tworzeniu kopii zapasowych danych. Wszystko to prowadzi to zwiększonego ryzyka związanego z konsekwencjami naruszeniem bezpieczeństwa placówki edukacyjnej.
Jak można zadbać o infrastrukturę krytyczną?
Najpowszechniejsze sposoby atakowania infrastruktury krytycznej obejmują: malware, phishing, ransomware, DDoS oraz – najbardziej problematyczne – ataki z wewnątrz (insiderskie)[8]. Aby zaadresować wszystkie te możliwe wektory, konieczne jest skorzystanie z kompleksowych usług oferowanych przez wiodące na rynku oprogramowanie, które umożliwiają utrzymanie kontroli nad wieloma aspektami infrastruktury jednocześnie. Na przykładzie jednego z renomowanych producentów, SolarWinds, przyjrzyjmy się temu, na co warto zwrócić uwagę, zarządzając siecią informatyczną w obiekcie zaliczanym do infrastruktury krytycznej. Narzędzia SolarWinds są stosowane zarówno w sektorze publicznym, jak i prywatnym – nie bez powodu.
- Monitorowanie i zarządzanie wydajnością sieci. Zapewnienie wydajnego działania sieci bez wąskich gardeł przy jednoczesnej wysokiej skuteczności wykrywania niepożądanych działań jest kluczowe, aby utrzymać kontrolę nad ruchem w obrębie monitorowanej infrastruktury. SolarWinds Network Performance Monitor (NPM) zapewnia kompleksowy wgląd w wydajność sieci i wzorce ruchu, pomagając szybko identyfikować i rozwiązywać problemy.
- Wykrywanie zagrożeń i reagowanie na nie. Identyfikacja potencjalnych zagrożeń w czasie rzeczywistym i szybkość reakcji jest absolutną podstawą w sektorze cyberbezpieczeństwa. SolarWinds Security Event Manager (SEM) wspiera firmy w szybkim i sprawnym działaniu, oferując zaawansowane funkcje wykrywania zagrożeń, korelacji zdarzeń i automatycznego reagowania.
- Kontrola dostępu i monitorowanie aktywności użytkowników. Chociaż wiele firm przeprowadza szkolenia dla pracowników z zakresu cyberbezpieczeństwa, to nie powinna to być jedyna metoda ochrony przed atakami. Równie istotne jest odpowiednie zarządzanie dostępem do różnych części sieci i monitorowanie aktywności użytkowników w celu zapobiegania zagrożeniom związanym z niefrasobliwością pracowników. Dzięki temu haker, który uzyska dostęp do konta pracownika, będzie mógł skorzystać tylko z części funkcjonalności, co ograniczy negatywne konsekwencje ataku. SolarWinds Access Rights Manager (ARM) pomaga w automatyzacji zarządzania dostępem użytkowników i śledzeniu ich aktywności w systemach.
- Zarządzanie podatnościami i poprawkami. Nie ma dobrej ochrony bez regularnego aktualizowania systemów. Hakerzy na bieżąco wynajdują luki w oprogramowaniu, a codziennie powstaje wiele nowych taktyk i metod ataków oraz wirusów, które mają wspierać strategie cyberprzestępców. SolarWinds Patch Manager upraszcza proces patchowania systemów, dzięki czemu możesz mieć pewność, że oprogramowanie jest na bieżąco aktualizowane, a wszelkie podatności są szybko niwelowane.
- Raportowanie i zarządzanie zgodnością. Przestrzeganie standardów regulacyjnych i zapewnienie zgodności z nimi jest obowiązkowe szczególnie w przypadku obiektów infrastruktury krytycznej. SolarWinds Network Configuration Manager (NCM) pomaga w zarządzaniu zmianami konfiguracji, raportowaniu zgodności i audytowaniu, pomagając organizacjom w dostosowywaniu się do obowiązujących przepisów oraz standardów branżowych.
Jak widać, aspektów, które wymagają dbałości, jest sporo. Warto przyjrzeć się każdemu z nich i usprawnić sobie pracę dzięki narzędziom, które zostały opracowane przez doświadczonych ekspertów. Jeśli zastanawiasz się nad tym, w jaki sposób możesz zapewnić większy poziom ochrony Twojej organizacji, skontaktuj się z nami już dzisiaj. Jako integrator IT mamy ponad pięć dekad doświadczenia w dopasowywaniu rozwiązań do podmiotów sektora publicznego i prywatnego, oraz ich wdrażaniu.
Źródła: https://crn.pl/ https://www.bbc.com/ https://www.csoonline.com/ https://www.statista.com/ https://www.wired.com/ https://www.proofpoint.com/ https://techmonitor.ai/