Atak hakerów na Colonial Pipeline pokazuje, czym grożą cyberataki na infrastrukturę krytyczną. Aby przywrócić rurociągowy transport paliw na wschód USA, zdecydowano się zapłacić okup. Jednak nie zawsze o to chodzi, czasami ważniejszy jest paraliż infrastruktury albo zdobycie cennych informacji.

Dla gospodarki USA działający od 57 lat rurociąg zarządzany przez Colonial Pipeline jest niezwykle ważną arterią przesyłową. Codziennie płynie nim z Teksasu do 3 mln baryłek produktów naftowych, zaspakajając blisko połowę energetycznych potrzeb Wschodniego Wybrzeża.

Kilkudniowa, spowodowana atakiem hakerskim, przerwa w majowym transporcie paliw nie była pierwsza w historii. Wcześniej przesył ustawał lub był ograniczany głównie z powodu huraganów, które – jak Katrina w 2005 r. – niszczyły sieć energetyczną zasilającą stacje pomp, albo – jak Ike w 2008 r. i Harvey w 2017 r. – wstrzymywały pracę rafinerii w Teksasie. Były też przerwy związane bezpośrednio z rurociągiem, np. duży wyciek benzyny w 2016 r. czy eksplozja w Alabamie spowodowane uszkodzeniem instalacji koparką.

Uderzenie hakerów w Colonial Pipeline, w wyniku którego szkodliwe oprogramowanie blokujące system w celu wymuszenia okupu – ang. ransomware – zostało wprowadzone do systemu informatycznego firmy i zaszyfrowało dane, a stojący za atakiem cyberprzestępcy zażądali okrągłej sumy, pokazuje, że dążenie do cyfryzacji infrastruktury krytycznej stworzyło hakerom lukratywne możliwości działania.

– Infrastruktura jest dziś tak podatna na ataki, że po prostu każdy, kto chce, może się do niej dostać – mówił dziennikowi „New York Times” Dan Schiappa, dyrektor ds. produktów w Sophos brytyjskiej firmie zajmującej się bezpieczeństwem teleinformatycznym.

Atak na Colonial Pipeline z wykorzystaniem ransomware nie był pierwszy, infrastruktura krytyczna była już pod cyfrowym obstrzałem. Celem były (są) firmy wodociągowe, systemy informatyczne służby zdrowia, gazociągi i sieci energetyczne w różnych częściach świata. W maju 2021 r. cyberprzestępcy uderzyli w sieć informatyczną systemu ochrony zdrowia w Irlandii i sparaliżowali pracę szpitali, diagnostyki, ośrodków zdrowia i punktów szczepień. Arne Schoenbohm, szef niemieckiego Federalnego Urzędu Bezpieczeństwa Teleinformatycznego (BSI), w wywiadzie dla dziennika „Die Zeit” przyznał, że w ostatnich pięciu latach także niemieckie kliniki były celem ataków.

Tylko w USA w 2020 roku ujawniono blisko 400 ataków ransomware na infrastrukturę krytyczną. Rok wcześniej było ich niemal o połowę mniej, a w latach 2016–2018 po kilkadziesiąt rocznie. Ile ataków było w rzeczywistości? Pozostają szacunki, które mówią, że tylko w USA ofiarami ransomware w 2019 r. było ponad 200 tys. firm.

Szacunki mówią, że tylko w USA ofiarami ransomware w 2019 r. było ponad 200 tys. firm.

Wiele z takich zdarzeń nie wychodzi na światło dzienne albo jest ujawniane po długim czasie. Firmy po cichu – i wbrew zaleceniom ekspertów od bezpieczeństwa – płacą okup i liczą, że cyberprzestępcy umożliwią im odszyfrowanie twardych dysków oraz że nie ujawnią wykradzionych przy okazji – i dla wzmocnienia żądań okupu – newralgicznych danych.

Colonial Pipeline początkowo – zgodnie z zaleceniami FBI – odmawiał zapłacenia okupu. Ostatecznie się na to zdecydował i na bitcoinowe konta hakerów z DarkSide wpłynęła równowartość 4,4 mln dolarów. Prezes Colonial Joseph Blount, komentując tę decyzję dla „The Wall Street Journal”, powiedział, że „zrobiono właściwą rzecz dla kraju”. Część ekspertów przyznaje mu rację, tym bardziej, że kwota nie była wysoka w stosunku do potencjalnych kosztów usuwania skutków ataku oraz strat i ryzyka paliwowego paraliżu Wschodniego Wybrzeża.

Colonial nie był jedyny, który zapłacił. DarkSide, z którym – w ocenie ekspertów – powiązani są hakerzy z Rosji i kilku krajów byłego ZSRR, przyznaje się do co najmniej 80 ataków w Europie i USA, które przyniosły w sumie kilkadziesiąt mln dolarów. Zajmująca się cyberbezpieczeństwem firma Emsisoft szacuje, że tylko w USA w 2019 r. ataki ransomware potencjalnie mogły kosztować firmy 7,5 mld dolarów.

– Myślę, że to, co się wydarzyło [w przypadku Colonial Pipeline – przyp. red.] pokazuje najbardziej prawdopodobny model tego, co nas czeka – mówił „Financial Times” Chris Williams, architekt rozwiązań cybernetycznych w Capgemini North America, amerykańskim oddziale francuskiej firmy zajmującej się doradztwem, usługami technologicznymi i transformacją cyfrową.

Innymi słowy należy się spodziewać tego, przed czym przestrzegają eksperci: sukces ataku zachęci do kolejnych prób wymuszenia okupu w innych firmach. Na dodatek płacący mogą mieć mniej szczęścia niż Colonial, bo cyberprzestępcy mogą mimo otrzymania pieniędzy nie podać kodu do odszyfrowania systemów albo kod nie zadziała.

W ocenie Johna LaForge, szefa globalnej strategii aktywów w Wells Fargo Investment Institute, w najbliższej dekadzie wzrośnie podatność na cyberataki firm z sektora paliw kopalnych. Powody będą finansowe: odchodzenie od tradycyjnych produktów energii na rzecz energii odnawialnej sprawi, że wytwórcy tych pierwszych będą mogli przeznaczać mniej środków na poprawę cyberbezpieczeństwa.

Arne Schoenbohm z BSI dodaje, że podatność firm na ataki zwiększyło związane z lockdownem i pandemią COVID-19 przejście na pracę zdalną. – Firmy musiały zrobić to szybko, a ich systemy IT nie były na to gotowe – mówi szef niemieckiej agencji i dodaje, że firmy i ich działy IT często zbyt wolno reagują na znane luki w zabezpieczeniach.

Według ekspertów jedynie co czwarta firma działająca w obszarze infrastruktury krytycznej, w tym branży naftowej i gazowej, przedsiębiorstw użyteczności publicznej i ochrony zdrowia, jest odpowiednio przygotowana na cyberataki. Nawet i one nie są jednak bezpieczne. Metody ataku się zmieniają, a firmy przyzwyczajone od lat do funkcjonowania we własnym rytmie albo żyją w ułudzie bezpieczeństwa, albo – jak zauważa szef BSI – zbyt późno reagują na znane sobie luki.

Eksperci zwracają uwagę, że w przypadku wielu firmy działających w obszarze infrastruktury krytycznej systemy cyberbezpieczeństwa to rodzaj nakładki na rozwiązania istniejące od lat, tworzonej bez uwzględniania cyberryzyka. Tymczasem powinny być ich integralną częścią, a to oznacza, że całe systemy powinny zostać przebudowane pod kontem bezpieczeństwa. Taka przebudowa oznacza inwestycje, czyli dodatkowe, często idące w grube miliony dolarów czy euro koszty. Koszty są czymś, czego nie lubią ani inwestorzy giełdowi, ani fundusze private equity, bo oznaczają zmniejszenie zysku. Kosztów nie lubi też właściciel, jakim jest państwo, zwłaszcza gdy pojawia się konieczność szybkiego znalezienia pieniędzy na niebudżetowane wcześniej wydatki.

Za atakami ransomware stoją zwykle cyberprzestępcy, dla których jest to źródło dużych pieniędzy. Są jednak przejęcia oprogramowania, których ślady wyraźnie prowadzą do służb obcych państw. I te ataki są zwykle groźniejsze. Przekonała się o tym np. Ukraina.

W grudniu 2015 r. przestały działać systemy komputerowe trzech ukraińskich firm energetycznych. Sparaliżowano pracę podstacji średniego i wysokiego napięcia. Zniszczona została też zawartość części komputerów zaatakowanych firm, w tym te zawierające kopie zapasowe danych i oprogramowania, a operatorom zablokowano możliwość ręcznego sterowania systemem. Na obszarze ich działania nastąpił blackout. Równolegle do przejęcia systemów energetycznych prowadzono atak na telefoniczne centra obsługi klienta, które były blokowane olbrzymią liczbą głuchych połączeń, co – jak sądzą eksperci – w zamyśle cybernetycznych piratów miało utrudnić ocenę skali ataku na podstawie zgłoszeń klientów.

Rok później nastąpił kolejny atak. Tym razem doszło do unieruchomienia znajdującej się w okolicy Kijowa stacji przesyłowej Ukrenergo, operatora krajowej sieci energetycznej. Stacja odpowiadała za dostarczanie ok. 1/5 energii zużywanej w Kijowie. Jej pracę inżynierom i technikom Ukrenergo udało się wznowić „ręcznie” po około godzinie. W ocenie Międzynarodowej Agencji Energii atak z 2015 r. były pierwszym potwierdzonym cyberatakiem skierowanym konkretnie na sieć elektroenergetyczną, który miał bezpośredni wpływ na (nie)dostępność systemu.

Według ekspertów badających incydenty na Ukrainie niemal pewne jest, że były to akcje koordynowane przez rosyjskie służby. Eksperci oceniali, że Ukraina stała się dla nich poligonem, na którym w warunkach rzeczywistych sprawdzano skuteczność złośliwego oprogramowania (ang. malware) przygotowanego na wypadek cyberwojny. Ci sami eksperci ostrzegali, że podobne, sponsorowane przez obce rządy cyberataki na infrastrukturę energetyczną grożą innym krajom, w tym USA, gdzie ok. 40 proc. energii elektrycznej jest wytwarzane w blokach gazowych. W przypadku USA oznacza to, że aby sparaliżować krajową elektroenergetykę, wystarczy przejąć cyfrowy nadzór nad gazociągami.

Ukraina stała się poligonem dla rosyjskich służb, gdzie sprawdzano skuteczność złośliwego oprogramowania przygotowanego na wypadek cyberwojny.

Użyty na Ukrainie malware BlackEnergy próbowano rok wcześniej wykorzystywać w atakach na energetykę i firmy wodociągowe w USA. Ponadto w tym samym 2014 r. zajmująca się cyberbezpieczeństwem firma FireEye ostrzegała, że hakerzy przygotowują się do wykorzystania BlackEnergy m.in. przeciwko polskim firmom energetycznym.

Ukraina nie była pierwsza. W USA w 2003 r. cyberterroryści zaatakowali jedną z elektrowni jądrowych w stanie Ohio, a używany przez nich cyfrowy robak Slammer doprowadził do zablokowania systemu chłodzenia reaktora. Ryzyka wielkiej awarii na szczęście nie było, bo elektrownia od kilku miesięcy była wyłączona z powodu wykrycia dziury w obudowie reaktora. W 2014 r. ofiarą ataku była elektrownia jądrowa w Korei Północnej. Tu celem była kradzież danych.

W marcu 2018 r. Departament Bezpieczeństwa Krajowego i FBI we wspólnym komunikacie poinformowały, że od dwóch lat hakerzy rządu Rosji próbują spenetrować sieci amerykańskiej infrastruktury krytycznej w branżach energetycznej, nuklearnej, lotniczej, wodnej i przemysłu o krytycznym znaczeniu (to być może oznacza przemysł zbrojeniowy).

W lutym 2020 r. amerykańskie służby informowały, że jakiś czas wcześniej poprzez oprogramowanie ransomware zaatakowany został jeden z działających w USA operatorów gazociągów. Nazwy firmy nie ujawniono. Poinformowano, że tuż po zdarzeniu na dwa dni wstrzymała ona pracę gazociągów.

Kilkakrotnie ofiarą rządowych hakerów padła infrastruktura saudyjskiej firmy naftowej Aramco, największego światowego producenta ropy. O atak w 2012 r., który unieruchomił 30 tys. komputerów oskarżany był Iran. Kolejne znane ataki miały miejsce w roku 2017 i 2019. Obwiniano o nie Rosję i Iran. Lista celów cyberataków jest długa. Od lat po każdym silniej nagłośnionym zdarzeniu pojawiają się opinie, że to ostatni dzwonek ostrzegawczy i że trzeba wzmocnić cyberbezpieczeństwo infrastruktury.

Nie inaczej było w przypadku Colonial Pipeline. Eksperci MEA stwierdzili, że atak pokazuje potrzebę wprowadzenia silniejszych środków bezpieczeństwa cybernetycznego w celu ochrony systemów dostaw. Ocenili, że decydenci polityczni, organy regulacyjne i przemysł muszą zająć się tymi potencjalnymi zagrożeniami, ponieważ prawdopodobieństwo ich wystąpienia będzie rosło w miarę, jak przechodzeniu na czystszą energię będzie towarzyszyła ekspansja inteligentnych sieci z podłączonymi do nich urządzeniami sterującymi zdalnie całym procesem.

Pojawiły się też bardziej konkretne wypowiedzi i działania. Jennifer Granholm, sekretarz ds. energii USA, zasygnalizowała, że mogą być wprowadzone ustawowe wymagania dotyczące cyberbezpieczeństwa rurociągów, mimo że branża od lat się przed nimi broni, twierdząc, że skuteczniejsze są dobrowolne działania. Administracja USA opublikowała 34-stronnicowe rozporządzenie wykonawcze prezydenta, w którym ogłoszono wzmocnienie cyberbezpieczeństwa kraju, m.in. poprzez obowiązek zgłaszania w ciągu trzech dni agencjom federalnym wszelkich naruszeń bezpieczeństwa, powołanie Rady ds. Przeglądu Bezpieczeństwa Cybernetycznego, która ma się zajmować znaczącymi incydentami, a także stworzenie standardów bezpieczeństwa oprogramowania dostarczanego rządowi.

Treść rozporządzenia powstawała przez kilka miesięcy. Pracę nad nim zaczęto po ataku na SolarWinds, o który administracja USA oskarżyła Służbę Wywiadu Zagranicznego Rosji. Wśród ofiar ataku były agencje rządowe, a także firmy energetyczne. Atak na Colonial przyspieszył nieco publikację tego dokumentu. W USA pojawiła się też obietnica pieniędzy na wzmocnienie cyberbezpieczeństwa. Mają pochodzić z wartego 20 mld dolarów funduszu przeznaczonego na modernizację infrastruktury energetycznej.

Tomasz Świderek