W Polsce trwa fala ataków na systemy sterowania z kartami SIM

Krzysztof Gawkowski, pełnomocnik rządu do spraw cyberbezpieczeństwa, poinformował o rosnącej liczbie ataków na przemysłowe systemy sterowania (ICS/OT) dostępne z internetu.

Zdarzenia te są często działaniami aktywistów.

Niektóre z tych ataków miały wpływ na rzeczywiste działanie systemów, a ich skutki odczuli odbiorcy usług.

Najczęściej ataki są prowadzone na urządzenia techniczne wyposażone w karty SIM.

Urządzenia przemysłowe często łączą się z internetem przez routery sieci komórkowych, a przypisane im adresy IP wskazują na operatorów sieci mobilnych, których karty SIM zostały użyte. W takim przypadku nie ma możliwości kontaktu z właścicielem systemu, można jedynie przekazać informacje do operatora telekomunikacyjnego.

Zalecenia dla Jednostek Samorządu Terytorialnego i podmiotów publicznych:

• Nieumożliwianie zdalnego połączenia do systemów sterowania przez protokoły VNC, RDP oraz oprogramowanie wsparcia technicznego.
• Nieudostępnianie bezpośredniego dostępu do panelu WWW systemów sterowania i wizualizacji, nawet przy silnym haśle.
• Nieudostępnianie portów komunikacyjnych protokołów przemysłowych z otwartej sieci Internet, szczególnie do konfiguracji urządzeń.
• Stosowanie VPN z wieloskładnikowym uwierzytelnianiem do zdalnego odczytu lub sterowania procesem, co może wymagać rozbudowy infrastruktury.
• Zgłaszanie incydentów niezwłocznie do odpowiedniego CSIRT-u krajowego.

Dodatkowe środki bezpieczeństwa:

• Minimalizowanie ekspozycji sieci przemysłowej przez ograniczenie połączeń „z” i „do” sieci do niezbędnego minimum.
• Przegląd zdalnego dostępu i ograniczenie go, zwłaszcza w przypadku modemów komórkowych i dostępu podwykonawców.
• Wykorzystanie VPN z wieloskładnikowym uwierzytelnianiem w przypadku zdalnego dostępu.
• Ograniczanie dostępu do VPN dla określonych adresów IP lub ich zakresów, np. tylko dla polskich adresów IP.
• Wykorzystanie prywatnych sieci APN do przesyłania danych telemetrycznych przez sieć komórkową.
• Zmiana domyślnych danych uwierzytelniających na silne hasła i wyłączenie niewykorzystywanych kont.
• Regularne aktualizowanie systemów, jeśli to możliwe, szczególnie podczas planowanego wyłączenia instalacji.
• Stosowanie segmentacji sieci, z minimalną separacją fizyczną lub logiczną sieci przemysłowej.
• Analizowanie widoczności urządzeń przez zewnętrzne skanowanie zakresu adresacji i wyszukiwarki urządzeń.
• Realizowanie zdalnego dostępu na żądanie, rejestrowanie wszystkich zdalnych działań z identyfikowalnym czasem, celem i źródłem.
• Wykrywanie anomalii w ruchu sieciowym odbiegającym od normalnej pracy instalacji.
• Wzmacnianie konfiguracji urządzeń przez wyłączenie niewykorzystywanych funkcji i aktywowanie dodatkowych mechanizmów bezpieczeństwa.
• Zgłoszenie osoby kontaktowej do odpowiedniego CSIRT-u krajowego oraz systematyczna aktualizacja kontaktu.
• Zarejestrowanie się w systemie n6, aby otrzymywać powiadomienia od CERT Polska o wykrytych nieprawidłowościach.

Pełna treść komunikatu w załączonym pliku.