Rosyjscy hakerzy tylko w ciągu ostatnich miesięcy zaatakowali stronę polskiego prezydenta i Giełdy Papierów Wartościowych, wykradli tajne dokumenty NATO i włamali się do największych banków w Stanach Zjednoczonych. Czy ich celem mogą stać się elektrownie atomowe? Ataki na systemy zabezpieczeń atomówek już się zdarzały.
W lipcu świat zelektryzowała informacja, że członkowie grupy Energetic Bear, rosyjscy hakerzy prawdopodobnie powiązani z Kremlem i znani także jako Dragonfly, zaatakowali amerykańskie koncerny energetyczne powodując przerwy w dostawach prądu. Ich celem były także firmy z Hiszpanii, Francji, Turcji, Niemiec, czy Polski. Amerykańskie elektrownie odnotowywały zakłócenia w ich działalności także z terytorium Chin.
Eksperci nie mają wątpliwości, że podobne ataki będą miały miejsce w przyszłości i mogą być bardzo niebezpieczne. Także dla Polski. – W przypadku zmasowanego cyberataku wojskowego prawdopodobnie 50 proc. polskich instalacji energetycznych padnie od razu, kolejne 25 proc. w ciągu następnych kilku godzin – uważa prof. Konrad Świrski, ekspert ds. energetyki. – Najprawdopodobniej zostanie całkowicie sparaliżowana infrastruktura związana z wytwarzaniem, przesyłem energii oraz z magazynowaniem i przesyłem gazu. Brak zasilania spowoduje ograniczenie komunikacji i transportu - podkreśla.
Dodaje, że zapóźnienia w obronie instalacji przemysłowych są za duże i Polska nie ma szans nadrobić ostatnich 5-6 lat, podczas których nastąpił np. intensywny rozwój złośliwego oprogramowania.
Polska bezbronna
– Polska jest bezbronna w obliczu cyberataków, bo nie zdajemy sobie sprawy z postępu w tej dziedzinie, zwłaszcza ze znaczenia wprowadzania oprogramowania, jako broni w nowych konfliktach. Wciąż jeszcze w zagadnieniach bezpieczeństwa informatycznego patrzymy przez pryzmat kradzieży informacji, czy też złośliwego działania grup hakerskich. Ale w przyszłości będzie to po prostu nowy, nawet pierwszy, etap działań wojennych – uważa prof. Świrski. – W sterowaniu obiektów przemysłowych stosujemy wszystkie zabezpieczenia i procedury, ale nie są one dostosowane do obecnej, a właściwie przyszłej epoki – możliwości cyberataków na wrażliwą infrastrukturę.
Wiele zmieniło się cztery lata temu, kiedy pojawiło się oprogramowanie Stuxnet. Ten złośliwy robak komputerowy paraliżował pracę systemu sterowania instalacjami wzbogacania uranu w irańskim zakładzie jądrowym. Był produktem amerykańsko-izraelskiego programu, który miał powstrzymać irański program wzbogacania uranu.
– Stuxnet otworzył zupełnie inne horyzonty – ten robak nie tylko infekował system sterowania, ale i celowo wyłączał wybrane zabezpieczenia instalacji. W ten sposób zmieniał parametry procesu – w irańskim przypadku zwiększał prędkość wirówek tak, że dochodziło do uszkodzenia urządzeń – tłumaczy ekspert.
Stuxnet był pierwszą powszechnie używaną bronią cyberinformatyczną w sektorze przemysłowym. Produkcją tego typu oprogramowania nie mógł zajmować się nawet najbardziej uzdolniony haker, bo wymagało ono wielu testów z wykorzystaniem profesjonalnych systemów sterowania dla elektrowni (Stuxnet zaatakował sterowniki firmy Siemens, które były używane w Iranie).
Następnie pojawiła się cała generacja złośliwego oprogramowania o malowniczych nazwach Doqu, Flame, czy ostatnio Havex. Ale już wcześniej na światło dzienne przebijały się informacje sugerujące, że energetyka staje się celem hakerskich ataków.
– Istnieją podejrzenia, że niektóre blackouty (czyli przerwy w dostawach prądu – red.), np. w 2003 roku w Stanach Zjednoczonych zostały spowodowane przez złośliwe oprogramowanie. Takie informacje podał były agent CIA. Wprawdzie blackout nikogo nie zabił, to pośrednio w jego wyniku pojawiły się ofiary śmiertelne – zauważa Andrzej Kozłowski, ekspert ds. bezpieczeństwa Instytutu Kościuszki.
Złośliwy robak
Kozłowski jest zdania, że w obliczu budowy polskiego atomu, musimy przygotować wysokiej klasy zabezpieczenia. Cyberataki na elektrownie jądrowe przestają być tylko koszmarem rodem z science fiction. Ekspert podkreśla, że wymagają one dużych środków finansowych oraz grupy osób wysoce wyspecjalizowanych, zdolnych do stworzenia odpowiedniego oprogramowania. A to przekracza możliwości większości państw. Ale nie wszystkich.
– Do nielicznych zdolnych dokonać takiego ataku można zakwalifikować Stany Zjednoczone, Chiny, Rosję, Izrael i może jeszcze niewielką liczbę państw – wymienia Kozłowski. – Spośród tych krajów tylko Rosja faktycznie nam zagraża. Jednak polityczne znaczenie takiego ataku może być znaczne. Zniszczenie lub poważne uszkodzenie elektrowni jądrowej będzie miało konsekwencje porównywalne do zbrojnego ataku i powołanie się w takiej sytuacji na artykuł V (Traktatu Północnoatlantyckiego który mówi, że atak na dowolne państwo należące do NATO, równy jest z atakiem na cały Sojusz – red.) jest wielce prawdopodobne.
Ekspert Instytutu Kościuszki zwraca uwagę na inne rodzaje zagrożeń. Jest nim np. wprowadzenie programu szpiegowskiego monitorującego sytuację w elektrowni. Ale i ta operacja jest trudna do przeprowadzenia.
Gdy użycie robaka Stuxnet wyszło na jaw, wiodące kraje zareagowały natychmiast wprowadzając zaostrzone audyty i specjalne procedury dotyczące cyberbezpieczeństwa instalacji przemysłowych, np. w USA tzw. standardy NERC CIP (podlegają pod nie m.in. obiekty jądrowe).
Szpieg w elektrowni
– Jest to cały zestaw norm i procedur - od fizycznej ochrony systemów sterowania poprzez zaawansowane cyberbezpieczeństwo. Ale tak naprawdę obrona polega coraz bardziej na odcinaniu połączeń systemów sterowania ze światem zewnętrznym – wyjaśnia prof. Świrski.
Wynika to jego zdaniem ze słusznego założenia, że jeśli nie można się w jakikolwiek sposób dostać do systemu - nie ma kabla i połączenia - wówczas nie ma możliwości ataku.
– Tak więc systemy sterowania elektrowni jądrowych podlegają szczególnym uwarunkowaniom, a te kawałki, które dotyczą samego reaktora i niebezpiecznych procesów są nie tylko dublowane, ale przede wszystkim odcinane od połączeń zewnętrznych. Jako zupełnie ostatnią linię zabezpieczeń w pewnych przypadkach można nawet zastosować system sterowania bez oprogramowania. Niektóre rozwiązania amerykańskie mają ostatni system bezpieczeństwa zaprogramowany jako wypalenie kości pamięci (nie ma tam fizycznie oprogramowania, które można modyfikować), aby jeszcze bardziej się zabezpieczyć – mówi profesor. I w tym kierunku powinny zmierzać prace nad ochroną pierwszej polskiej siłowni atomowej.
– Najlepszym rozwiązaniem, ale zupełnie niemożliwym do zrealizowania, byłoby odłączenie elektrowni od sieci globalnej. Rząd powinien przede wszystkim rozwijać współpracę z sektorem prywatnym, w szczególności w zakresie wymiany informacji o zagrożeniach – uważa Andrzej Kozłowski.
Cyberbrygada
Amerykanie ogłosili kilka dni temu, że ich wojska lądowe sformowały Cyber Protection Brigade – pierwszą w historii brygadę, przeznaczoną do prowadzenia działań w przestrzeni informatycznej. A jak do cyberwojny przygotowuje się Polska?
Rząd nie pracuje nad odrębną ustawą, która dawałaby lepsze narzędzia w walce cyberprzestępczością i szpiegostwem w sieci. Uczestniczy za to w pracach UE nad dyrektywą w sprawie środków mających zapewnić wspólny wysoki poziomu bezpieczeństwa sieci i informacji w obrębie Unii w sektorach krytycznych, m.in. takich jak zaopatrzenie w energię, surowce energetyczne i paliwa, finanse i transport oraz administracja publiczna.
Dziś jedynie przedsiębiorstwa telekomunikacyjne są zobowiązane do przyjmowania środków przeciwdziałających zagrożeniom i zgłaszania poważnych incydentów w zakresie bezpieczeństwa sieci i informacji.
– Wdrożenie dyrektywy będzie prawdopodobnie wiązać się z przyjęciem ustawy na temat bezpieczeństwa sieci i informacji jawnych systemów teleinformatycznych oraz wprowadzeniem licznych zmian w ustawach dotyczących funkcjonowania regulatorów rynku, w tym m.in. w Prawie energetycznym – informuje Artur Koziołek, rzecznik prasowy Ministerstwa Administracji i Cyfryzacji. – A zatem podjęcie działań legislacyjnych dotyczących wyłącznie sektora energetycznego byłoby przedwczesne.
Resort gospodarki zapewnia, że bezpieczeństwo przyszłej polskiej elektrowni jądrowej jest warunkiem jej budowy. Polskie przepisy dotyczące jej zabezpieczenia przed atakami terrorystycznymi, w tym cyberprzestępczością są spójne z zaleceniami Międzynarodowej Agencji Energii Atomowej (MAEA), a projektowana nowelizacja ustawy – Prawo atomowe – ma uwzględniać najlepsze praktyki innych państw, takich jak USA czy Holandia.
Resort informuje też, że „w związku z tym, że w ostatnich latach zagrożenie cyberprzestępczością na świecie stale narasta, szereg wiodących państw rozważa rozbudowę swoich przepisów dotyczących DBT, czyli podstawowych zagrożeń projektowych – są one uwzględniane przy realizacji przedsięwzięć związanych z obiektami jądrowymi”. W nowelizacji ustawy Prawo atomowe ma zostać wprowadzona definicja DBT, w której wśród potencjalnych zagrożeń wyeksponowane są cyberataki.
Firma PGE EJ 1, która jest odpowiedzialna za inwestycję w elektrownię atomową, m.in. wybór lokalizacji i przygotowanie tzw. postępowania zintegrowanego łączącego kluczowe dostawy i usługi dla projektu jądrowego, nie ujawnia jak konkretnie zamierza rozwiązać problem cyberbezpieczeństwa.
– W ramach postępowania zintegrowanego potencjalni oferenci zostaną poproszeni o uwzględnienie w swoich ofertach m.in. dostawy technologii elektrowni jądrowej generacji III/III+, spełniającego wszelkie normy bezpieczeństwa także w zakresie cyberbezpieczeństwa. Bezpieczeństwo to także jeden z obszarów, w którym spółkę wspierać będzie wybrany w ostatnim czasie inżynier kontraktu – mówi Joanna Zając, główna specjalistka ds. komunikacji w PGE EJ 1.
Autor: Katarzyna Hejna-Modi / Źródło: TVN24 BiS
Źródło zdjęcia głównego: Felix König / Wikipedia, Shutterstock