Alarmujące dla energetyki wnioski płyną z badań firmy Sophos, dostarczającej narzędzia z zakresu cyberbezpieczeństwa. Wynika z nich, że globalny sektor energetyczny - w porównaniu z innymi, np. handlu detalicznego - jest bardziej skłonny do płacenia hakerom okupów. Ze 197 ankietowanych firm energetycznych aż 36 proc. podaje, że w 2020 r. zostało dotkniętych atakiem typu ransomware. Na zapłacenie okupu zdecydowało się 43 proc. zaatakowanych.
- Dla energetyki to wniosek alarmujący, ale też pewnie nieszczególnie zaskakujący – komentuje dr hab. inż. Rafał Leszczyna z Katedry Informatyki w Zarządzaniu Politechniki Gdańskiej.
Służby reagują
Politechnika Gdańska jest od zeszłego roku członkiem EE-ISAC (European Energy – Information Sharing & Analysis Centre), instytucji zrzeszającej przedstawicieli sektora energetycznego. W gronie członków jest również m.in. PSE, operator elektroenergetycznego systemu przesyłowego w Polsce.
Robert Leszczyna, uczestniczący w spotkaniach EE-ISAC, uważa, że dla energetyki potencjalne konsekwencje cyberataków są tak duże, że firmy energetyczne wolą zapłacić, niż narażać na zagrożenia kolejne elementy infrastruktury.
- Zwłaszcza, że w grę może wchodzić ryzyko przerwania dostaw prądu do firm czy obywateli. Jednocześnie trzeba jednak pamiętać, że hakerzy więcej ryzykują, atakując dużych graczy z sektora energetycznego, ponieważ w poszukiwania sprawców na pewno włączą się służby państwowe. Tak było np. w przypadku ataku na amerykańską firmę Colonial Pipeline. Okup zapłacono, ale do sprawy włączyło się FBI – tłumaczy Robert Leszczyna.
W gronie EE-ISAC analizowany był m.in. dwukrotny atak na włoski Enel przy użyciu ransomware, czyli złośliwego oprogramowania blokującego dostęp do danych w systemie komputerowym ofiary do czasu zapłacenia okupu. Hakerzy zażądali od Enela potężnego okupu w wysokości 14 mln USD.
Ataki się mnożą
Liczba ataków na energetykę rośnie z roku na rok.
- Dominują ataki prowadzone przez wyspecjalizowane grupy hakerskie, które robią to dla pieniędzy, ale zdarzają się też ataki wykazujące symptomy cyberwojny o podłożu politycznym. Za takie uznaje się np. ataki z 2015 r. przeprowadzone na Ukrainie i prowadzące do blackoutów. Z kolei w 2012 r. zaatakowane zostało Saudi Aramco, któremu wirus Shamoon zniszczył dane. Uważa się, że był to akt cyberterroryzmu – wylicza Robert Leszczyna.
W polskiej energetyce poważnych cyberincydentów nie odnotowuje się dużo. Zarówno w 2020 r., jak i w 2019 NASK zarejestrował po jednym poważnym incydencie. Poważnym, czyli takim, którego wystąpienie ma istotny skutek zakłócający świadczenie usługi kluczowej. Natomiast ogólna liczba cyberincydentów w energetyce z roku na rok rośnie. W 2019 r. zgłoszono 28 takich zdarzeń, podczas gdy w 2020 już 101.
Polskie firmy dyskretne
Polskie firmy energetyczne, do których zwróciliśmy się z pytaniami, nie zgodziły się ujawnić danych o liczbie cyberataków lub cyberincydetów, z którymi miały do czynienia w ostatnim czasie. Energa przekazała nam jedynie, że sprawami cyberbezpieczeństwa zajmuje się bardzo aktywnie - reaguje na sygnały i informuje swoich klientów o próbach oszustwa związanych z cyberprzestępczością, np. podejrzanymi wiadomościami SMS.
PGE, największa polska firma energetyczna, też pozostaje dyskretna.
„Energetyka stanowi kluczowy sektor gospodarki kraju, dlatego nie przekazujemy publicznie informacji o atakach” – odpowiedziało nam biuro prasowe PGE.
PGE i Energa powołały specjalne zespoły reagowania na incydenty komputerowe.