Systemy ICS (Industrial Control Systems) oraz OT (Operational Technology) są kluczowymi elementami infrastruktury krytycznej – od sieci energetycznych po wodociągi. Coraz większa integracja z technologiami IT, zdalny dostęp i postępująca automatyzacja procesów powodują, że środowiska te stają się coraz bardziej podatne na ataki cybernetyczne.
Dzisiejsze zagrożenia są wyjątkowo złożone. Cyberprzestępcy łączą wiedzę inżynierską z technologiami opartymi na sztucznej inteligencji, co pozwala im nie tylko kraść dane, ale też sabotować procesy przemysłowe lub żądać okupu za ich odblokowanie.
Najczęstsze techniki ataków na sieci OT
Phishing 2.0 – precyzyjne wejście do sieci
Wykorzystując dane z portali społecznościowych i modele AI, napastnicy tworzą bardzo realistyczne wiadomości e‑mail, które udają wewnętrzną korespondencję firmową.
Przykład: Inżynier SCADA otrzymuje e‑mail od „dyrektora technicznego” z prośbą o logowanie do systemu, co skutkuje przekazaniem poświadczeń hakerom.
Efekt: Uzyskanie dostępu do infrastruktury OT bez potrzeby wykorzystania exploitów.
Deepfake – manipulacja wspierana AI
Technologia deepfake umożliwia generowanie realistycznych wideo i głosów, które w środowiskach przemysłowych służą do oszukiwania pracowników.
Przykład: Operator otrzymuje wideo od „serwisanta” nakazującego zmianę ustawień pomp — a całość okazuje się cyfrową imitacją.
Efekt: Nielegalna zmiana konfiguracji lub umożliwienie nieautoryzowanego dostępu.
Ransomware‑as‑a‑Service – zautomatyzowane wymuszenia
Usługi RaaS oferują gotowe zestawy narzędzi do szyfrowania danych, udostępniane w formie subskrypcji.
Przykład: Fałszywa aktualizacja oprogramowania blokuje systemy SCADA i HMI w wodociągach.
Efekt: Paraliż infrastruktury i żądanie okupu w zamian za przywrócenie działania.
Zero‑day – wykorzystanie nieznanych luk
Nieujawnione błędy w oprogramowaniu PLC lub HMI to jedne z najgroźniejszych zagrożeń.
Przykład: Nowy exploit pozwala hakerowi uruchomić zdalny kod w sterowniku PLC.
Efekt: Przejęcie kontroli nad logiką sterowania bez wykrycia.
Strategie ukrywania obecności w systemach OT
Living off the Land (LOLBins)
Atakujący korzystają z wbudowanych narzędzi Windows, takich jak PowerShell czy certutil, by ominąć ochronę i wyprowadzać dane.
Efekt: Działania są trudne do wykrycia przez standardowe oprogramowanie antywirusowe.
Ataki na protokoły przemysłowe
Protokoły typu Modbus, DNP3 czy OPC DA często nie posiadają szyfrowania ani uwierzytelniania.
Efekt: Możliwość przechwycenia i modyfikacji komunikacji między urządzeniami, co prowadzi do sabotażu procesów.
Man‑in‑the‑Middle (MITM)
Polega na przejęciu danych przesyłanych między systemami OT i ich manipulacji.
Przykład: Fałszywe informacje o poziomie wody wyświetlane operatorowi SCADA powodują błędne reakcje.
Efekt: Możliwe awarie lub zniszczenia infrastruktury fizycznej.
Urządzenia IIoT jako punkty wejścia
Kamery, czujniki i inne urządzenia Industrial IoT często działają bez wystarczających zabezpieczeń.
Efekt: Hakerzy mogą wykorzystać je do penetracji sieci OT i dalszego rozwoju ataku.
Przykładowy przebieg ataku – model cyber kill chain
- Rekonesans: analiza sieci, personelu, dostawców sprzętu (OSINT, Shodan, LinkedIn)
- Uzbrojenie: przygotowanie złośliwego kodu lub dokumentów z makrami
- Dostarczenie: phishing, pendrive, fałszywa aktualizacja
- Eksploatacja: wykorzystanie luk i słabego uwierzytelnienia
- Instalacja: umieszczenie backdoora w systemie
- Komunikacja C2: ustanowienie zdalnego kanału sterowania
- Realizacja celu: sabotaż, szyfrowanie lub zakłócenie procesów
Cyberbezpieczeństwo w sektorze wodnym
Ochrona systemów wodociągowych wymaga kompleksowego podejścia: segmentacji sieci, kontroli dostępu, analiz ruchu oraz stałego podnoszenia kompetencji zespołów technicznych.
Bezpieczeństwo OT to dziś istotny element ciągłości działania i kluczowy czynnik w zapewnieniu bezpieczeństwa dostaw wody.
Zapraszamy do skorzystania z usług firmy JSW IT Systems w zakresie audytów cyberbezpieczeństwa w związku z wprowadzaną dyrektywą NIS2.
