Print

Vodní hospodářství: Chráníme dostatečně životně důležitou infrastrukturu?

-- 14.05.19

Bez vody by nebyl život. Není potřeba nikomu vysvětlovat důležitost vodního hospodářství, ani to, proč spadá do kritické infrastruktury státu. Pokaždé když otočíte kohoutkem, nebo dnes spíš baterií, očekáváme, že nám poteče čistá, pitná voda. Nehledě na to, že i čaj nebo káva, kterou si s ní zalejete, mohly vyrůst jen díky nekontaminovanému zavlažování. 

V našich podmínkách se sice zavlažování týká spíš obilnin a zeleniny, ale stejně je do každé hadice potřeba nějak přivést nezávadnou vodu. Co víc, zastavení dodávek vody vážně narušuje činnosti řady dalších součástí infrastruktury státu – nouzových služeb, požární ochrany, ale i činnost zdravotních zařízení a výroben potravin. 

Stejně tak je potřeba vodu udržet v korytech řek, či nádržích bez ohledu na to, jestli je sucho, moc zaprší nebo roztaje nadměrné množství sněhu. Nejde jen o to, aby vám nakonec kromě vany neskončila ve sklepě či obýváku, ale o nenarušení přepravy po vodních tocích. 

Nehledě na to, že vodu používáme ke generování elektřiny. Kapacita vodních elektráren v ČR je kolem 1,09 GW (cca 5 % z celkově instalovaného výkonu) a v roce 2018 vyprodukovaly hydroelektrárny v přehradách, nádržích či mlýnech 1 627 GWh

Ze všech těchto důvodů vodohospodářství ošetřuje tzv. vodní zákon č. 254/2001 Sb. s celou řadou prováděcích vyhlášek a nařízení, ale také krizový zákon, který upravuje ochranu evropské a české kritické infrastruktury. 

Přesto, nebo možná i právě proto si hackeři našli cestu, jak tyto životné důležité systémy kompromitovat. 

Různí výrobci, stejně ohrožený hardware i software 

Architektura SCADA (Supervisory Control and Data Acquisition), kterou používá řada vodohospodářských a obecně energetických zařízení, je i přes jejich různorodost poměrně jednotná. Existuje přitom nespočet výrobců programovatelných logických automatů (PLC), z nichž někteří globální hráči mají kořeny v České republice (např. Amit Automation, Domat, Micropel, Orbit Merret, TECO či ZAT). 

Z veřejně dostupných zdrojů jsou historicky dohledatelné zranitelnosti v rozšířených PLC od General Electric, Koyo Electronics, Rockwell Automation, Schneider Electric, nebo Schweitzer Engineering Laboratories. Zopakujme, že jsou to skutečně jen ty, které byly zveřejněny. 

Asi není potřeba vysvětlovat, že odstavení počítačů, které řídí různá vodní díla a přehrady, by mohlo vést k záplavám, výpadkům proudu a dodávek pitné vody. V dlouhodobějším horizontu by to postihlo suroviny pro výrobu potravin a vedlo by to k šíření nemocí. V březnu a dubnu 2018 varovalo americké Ministerstvo vnitřní bezpečnosti a FBI, že ruská vláda se v rámci vícestupňového útoku zaměřuje specificky na vodárenský sektor a další sektory kritické infrastruktury. 

Vodárenství pod útoky malwaru 

Jednou z největších hrozeb pro vodní elektrárny je adaptabilní malware Industroyer (známý jako Crash OverRide), který může organizovat a automatizovat hromadné výpadky energie. Jeho nejnebezpečnější složkou je jeho schopnost měnit nastavení průmyslových řídicích systémů, potažmo vysokonapěťové přepínače. Crash OverRide očividně nebyl určen pro vydělávání peněz, ale pro páchání škod velkého rozsahu. 

Další malware, který ohrožuje mnoho průmyslových podniků, je červ Stuxnet. Tato hrozba byla navržena, aby se šířila prostřednictvím systémů Windows (zneužívá zranitelnost nultého dne). Vyhledává konkrétní software, na jeho základě cílí primárně na systémy SCADA a umí přeprogramovat určité PLC. 

V médiích se o incidentech zatím mnoho nedočteme, ale kupříkladu koncem roku 2018 v USA oznámily vodovody a kanalizace Onslow Water and Sewer Authority (ONWASA), že budou muset zcela obnovit řadu svých interních systémů kvůli nákaze trojským koněm Emotet a následným zašifrováním ransomwarem. Původně bankovní trojan Emotet využívá exploity ukradené NSA. 

Loni byl také v síti evropského poskytovatele vodárenských služeb nalezen první malware pro těžbu kryptoměn, který využíval průmyslové řídicí systémy a SCADA servery. Nebyl to následek cíleného útoku, ale spíše dopad toho, že operátor připojil starší HMI k internetu. 

O dva roky dříve se hackerům v nejmenované čističce povedlo manipulovat systémem, který řídil množství chemikálií míchaných do vody. Naštěstí se podařilo situaci včas zastavit díky kontrolnímu mechanizmu. 

Ne, že by SCADA systémům nehrozily cílené útoky. Návnadu, která napodobovala chování vodního čerpadla, odhalili hackeři během několika dní a brzy se stala cílem desítek útoků. 

Dalším důvodem k obavám jsou hrozby ze strany insiderů. V roce 2007 se „útočníkovi“ podařilo instaloval neautorizovaný software, který odkláněl vodu z řeky Sacramento. Zpětně se ukázalo, že jde bývalého a pravděpodobně nespokojeného zaměstnance. 

O rok starší incident se stal v zařízení na úpravu vody v Harrisburgu, kde infikovaný notebook zpřístupnil hackerům jeho počítačové systémy. Zaměstnanecký notebook byl kompromitován prostřednictvím internetu a následně použit jako vstupní brána pro instalaci viru a spywaru do počítačového systému

Návrh možných protiopatření 

Řada protiopatření, která mohou bezpečnostní týmy ve vodohospodářských zařízeních aplikovat, se řídí stejnými osvědčenými postupy v oblasti kybernetické bezpečnosti, jako používají podniky pro ochranu před narušením zabezpečení: 

 

  • Zavedení a dodržování jasných pravidel pro BYOD (Bring Your Own Device) pomáhá udržet přehled na zařízeními připojovanými do interní sítě a k interním aplikacím, ať už běží on-premise nebo v cloudu
  • Používání dostatečně dlouhých, unikátních hesel, ideálně za pomoci password manageru a bez zbytečného vynucování jejich časté obměny
  • Izolace HMI od připojení k internetu
  • Nasazení technologií pro kontrolu nejen IT, ale i OT protokolů, kterými komunikují průmyslové řídicí systémy a SCADA systémy
  • Zabezpečení a monitoring nejen PC v interní síti, ale zejména pracovních stanic a serverů, které se podílejí na řízení provozu a nejsou připojené k internetu
  • A samozřejmě pravidelné zálohování a kontrola schopnosti obnovy

Voda, energetika a průmysl obecně 

Vodohospodářská zařízení jsou si s elektrárnami v lecčems podobné. Ačkoliv voda je pro naši existenci jednoznačně důležitější než elektřina, z pohledu kybernetických hrozeb jsou na tom tyto oblasti a obecně celý průmysl a výroba v podstatě stejně. Používají totiž v infrastruktuře podobný hardware, zařízení a řídicí software. 

Jenže zatímco výpadek výroby většinou znamená „jen“ finanční ztráty a případné nepohodlí pro odběratele, v případě vody a energie může mít narušení zásadní dopady na životy obyvatel. 

Společné jmenovatele mají minimálně jednu výhodu – podobná jsou si také bezpečnostní opatření proti možným útokům a napadením. Je však zvláštní, že navzdory životní důležitosti vody a energie pro infrastrukturu státu, jsou v této oblasti rozpočty na kybernetickou bezpečnost poměrně omezené a systémy stále zastaralé. 

I proto je trochu zarážející, že i přes postupně vyplouvající incidenty na povrch, tyto podniky stále nevěnují kybernetické bezpečnosti dostatečnou pozornost. Existují přitom bezpečnostní technologie určené a certifikované přímo pro průmyslové nasazení.

Autor: Autor: Jan Mazal, CCO, VPGC


Sponzorované odkazy

 
Aktuální vydání
Reklama

Navštivte rovněž

  •   Události  
  •   Katalog  

Události

Technical Computing Camp 2019
2019-09-05 - 2019-09-06
Místo: Hotel Fontána, Brněnská přehrada
Moderní technologie ve farmacii
2019-09-24 - 2019-09-24
Místo: Brno
Moderní technologie v potravinářství
2019-09-25 - 2019-09-25
Místo: Brno
Mezinárodní strojírenský veletrh 2019
2019-10-07 - 2019-10-11
Místo: Výstaviště Brno
MSV TOUR 2019
2019-10-07 - 2019-10-10
Místo: MSV, Brno

Katalog

BALLUFF CZ s.r.o.
BALLUFF CZ s.r.o.
Pelušková 1400
19800 Praha
tel. 724697790

EWWH, s. r. o.
EWWH, s. r. o.
Hornoměcholupská 68
102 00 Praha 10
tel. 734 823 339

B+R automatizace, spol. s r.o.
B+R automatizace, spol. s r.o.
Stránského 39
616 00 Brno
tel. +420 541 4203 -11

Schneider Electric CZ, s. r. o.
Schneider Electric CZ, s. r. o.
U Trezorky 921/2
158 00 Praha 5
tel. 00420737266673

COGNEX
COGNEX
Emmy-Noether-Str. 11
76131 Karlsruhe
tel. 720 981 181

všechny firmy
Reklama


Tematické newslettery




Anketa


Na internetu
V tištěných médiích
Na veletrzích a výstavách
Jinde

O nás   |   Reklama   |   Mapa stránek   |   Kontakt   |   Užitečné odkazy   |   Bezplatné zasílání   |   RSS   |   
Copyright © 2007-2019 Trade Media International s. r. o.
Navštivte naše další stránky
Trade Media International s. r. o. Trade Media International s. r. o. - Remote Marketing Továrna - vše o průmyslu Control Engineering Česko Řízení a údržba průmyslového podniku Inteligentní budovy Almanach produkce – katalog firem a produktů pro průmysl Konference TMI