Firmy z sektora energetycznego, w szczególności z branży naftowo-gazowej, powinny zdefiniować swoje krytyczne systemy oraz poddać je analizom i testom w celu wykrycia podatności na potencjalne cyberataki. Autorzy raportu firmy doradczej Deloitte „An integrated approach to combat cyber risk. Securing industrial operations in oil and gas” ostrzegają, że do ataku na wewnętrzne systemy informatyczne firm energetycznych w niektórych przypadkach nie jest potrzebna zaawansowana technologia czy wiedza.

W Polsce szczególnie narażonym na cyberatak jest sektor naftowo-gazowy. To wynik aktualnej sytuacji geopolitycznej, w tym rywalizacji wielu grup wpływów. Operatorzy, z uwagi na to, że posiadają systemy automatyki przemysłowej i systemy IT są grupą podwyższonego ryzyka – mówi Piotr Borkowski, ekspert w obszarze cyberbezpieczeństwa w Zespole ds. Energii i Zasobów Naturalnych Deloitte. 

Straty finansowe i wizerunkowe, choć ogromne, mogą być najmniej dotkliwymi z możliwych skutków ataku na przedsiębiorstwo z sektora energetycznego. Efekty działania cyberprzestępców mogą w skrajnych przypadkach zagrażać ludzkiemu życiu.

Tym bardziej może dziwić niedostateczna dbałość o zabezpieczenie przed nimi (a nawet jej zupełny brak). W wielu przypadkach twórcy systemów automatyki przemysłowej skupili się na ich niezawodności, a nie na potencjalnym zagrożeniu, związanym z ich przejęcie przez np. terrorystów. Systemy IT oraz OT, administrowane przez operatorów usług kluczowych, mogą zostać zaatakowane zarówno przez grupy wynajęte przez firmy konkurencyjne, grupy działające na rzecz obcych państw, jak również „zwykłych” przestępców poszukujących zysku.

Nieznajomość wroga powinna być dużą zachętą do jak najlepszego zabezpieczenia systemów IT i OT. Dodatkowy akcelerator działań to wejście w życie w sierpniu tego roku ustawy o Krajowym Systemie Cyberbezpieczeństwa, która w odniesieniu do systemów IT i ich bezpieczeństwa narzuca na operatorów usług kluczowych dodatkowe wymagania – mówi Piotr Borkowski.

Deloitte przypomina o wypadkach na Ukrainie. W 2016 r. atak na ukraińską energetykę pozbawił prądu część Kijowa na dwa dni. Rok wcześniej podobny atak pozbawił prądu 225 tys. mieszkańców zachodniej Ukrainy. Przed cyberprzestępcami z Rosji na początku roku ostrzegał Departament Bezpieczeństwa Wewnętrznego (DHS) Stanów Zjednoczonych. Z jego analiz wynika, że scenariusz jest zazwyczaj podobny: hakerzy atakują najpierw organizacje zewnętrzne, współpracujące z faktycznym celem ich ataku. Wirus rozprzestrzenia się poprzez zainfekowane konta pocztowe czy strony internetowe odwiedzane przez pracowników.

Eksperci Deloitte zwracają uwagę, że skuteczność działań zwiększających bezpieczeństwo zależy od połączenia wiedzy o IT i inżynierii oraz pogodzenia ich niekiedy rozbieżnych punktów widzenia. Specjaliści przemysłowych systemów sterowania nie zawsze bowiem w pełni rozumieją współczesne zagrożenia bezpieczeństwa informatycznego, podobnie jak specjaliści od bezpieczeństwa IT często nie rozumieją procesów przemysłowych. Bez wsparcia IT systemy sterowania produkcją niezwykle trudno jest zabezpieczyć. Wynika to między innymi z tego, że choć nie zostały zaprojektowane do połączenia, dziś funkcjonują razem w sieci. Rozwój technologiczny sprzyja wydajności i obniżeniu kosztów, ale także otwiera przedsiębiorstwa na całą gamę cybernetycznych zagrożeń. Dlatego znalezienie podatności i ewentualnych błędów konfiguracyjnych w posiadanych systemach to priorytet dla firm z sektora energetycznego. Eksperci Deloitte zaznaczają, że pracę nad nimi powinien na bieżąco wykonać zespół specjalistów z obszarów biznesu, inżynierii i bezpieczeństwa IT.

Raport do pobrania dostępny jest tutaj.