Przemysł energetyczny i branża usług komunalnych są częścią infrastruktury krytycznej. Brak niezawodnego dostępu do elektryczności, gazu ziemnego, energii odnawialnej, wody i innych zasobów może mieć potencjalnie katastrofalne konsekwencje dla firm, gospodarek, stabilności geopolitycznej, a nawet ludzkiego życia. Sektory te coraz częściej polegają jednak na technologiach, a to oznacza, że są też narażone na cyberataki.
Udane ataki cybernetyczne na firmy z branży energetycznej i usług komunalnych nie przechodzą bez echa. Wystarczy przypomnieć atak ransomware na Colonial Pipeline, największy w Stanach Zjednoczonych rurociąg przesyłowy paliw płynnych. W jego wyniku firma zapłacił okupu w wysokości 4,4 miliona dolarów, a rynek odczuł braki paliwa, które spowodowały panikę wśród kierowców.
To nie wszystko. W kwietniu 2022 roku trzy niemieckie firmy zajmujące się energetyką wiatrową padły ofiarą cyberataków, które wyłączyły tysiące cyfrowo zarządzanych turbin wiatrowych.
Natomiast z raportów CERT Polska wynika, że energetyka była jednym z sektorów najczęściej atakowanych przez cyberprzestępców w Polsce w ostatnich latach.
E-mail groźnym narzędziem w rękach cyberprzestępców
Poczta elektroniczna pozostaje głównym wektorem ataku używanym przez przestępców. Co więcej, przedsiębiorstwa z branży energetycznej i usług komunalnych są jednymi z najbardziej narażonych na naruszenia bezpieczeństwa poczty elektronicznej i na utratę produktywności pracowników po ataku.
Z badania Barracuda Networks wynika, że w 2022 roku 81% respondentów z sektora energii, ropy naftowej i gazu oraz usług komunalnych doświadczyło naruszenia bezpieczeństwa poczty elektronicznej. Ogólny wynik dla wszystkich branż wyniósł 75%.
- 52% ankietowanych firm odnotowało spadek produktywności po cyberataku.
- 46% firm nie jest przygotowanych do radzenia sobie z wirusami i złośliwym oprogramowaniem.
- 39% nie czuje się na siłach, by walczyć ze spamem.
- 32% nie jest gotowych na atak phishingowy.
– Te wyniki są dość niepokojące w świetle wzmożonych ataków na sektor energetyczny i usług komunalnych. Mogą częściowo wynikać z faktu, że branża ta zgłasza niższe niż średnia inwestycje w wiele technologii zabezpieczających, w tym w uwierzytelnianie poczty elektronicznej, szkolenia z zakresu świadomości bezpieczeństwa, kontrolę dostępu opartą na polityce Zero Trust, ochronę adresów URL, obronę przez przejęciami konta i atakami typu spear-phishing – tłumaczy Michał Zalewski, Solution Architect w firmie Barracuda Networks, która jest producentem rozwiązań z obszaru bezpieczeństwa IT.
Ryzyka związane z bezpieczeństwem w sektorze energetycznym
Wykrycie i zlikwidowanie incydentu związanego z bezpieczeństwem poczty elektronicznej zajmuje w tej branży około 4 dni. Badania pokazują, że przedsiębiorstwa energetyczne i zajmujące się usługami komunalnymi potrzebują nieco więcej czasu niż firmy z innych sektorów, aby zauważyć incydent związany z bezpieczeństwem poczty elektronicznej — średnio 51 godzin (43 godziny w innych sektorach). Szybciej jednak reagują na incydent i usuwają go — średnio w czasie 42 godzin (średnia w innych branżach to 56 godzin).
- Największymi przeszkodami w szybkiej reakcji i łagodzeniu skutków były brak automatyzacji (46%) oraz brak widoczności (40%).
- 50% respondentów wspomniało o szkodliwym wpływie naruszeń bezpieczeństwa poczty elektronicznej na reputację marki.
- Średni koszt najdroższego ataku w tej branży w 2022 roku wyniósł 1 316 190 dolarów.
- 73% firm padło ofiarą udanego ataku typu spear-phishing w 2022 roku.
Ataki ransomware – zagrożenie dla branży energetycznej
85% ankietowanych firm z tej branży padło ofiarą ataku ransomware. Średnia dla innych sektorów wyniosła 75%. 56% firm dotkniętych takim atakiem zgłosiło dwa lub więcej skutecznych incydentów ransomware.
Są jednak i dobre wiadomości. Niemal dwie trzecie (62%) firm było w stanie przywrócić zaszyfrowane dane za pomocą kopii zapasowych, chociaż 31% zapłaciło okup, aby odzyskać swoje dane.
Sektor infrastruktury krytycznej jest regulowany, konkurencyjny i ma kluczowe znaczenie dla szerokiego grona użytkowników. To dlatego incydent bezpieczeństwa dotyka wielu osób, narusza relacje z klientami i prowadzi do konieczności opłacenia kar. To nie jest korzystne dla żadnej marki.
– Z drugiej strony specyfika sektora sprawia, że technologie cyfrowe i innowacje są rozwijane i wdrażane w szybkim tempie, a następnie włączane do starzejących się, nieodpowiednio zabezpieczonych systemów. Nic więc dziwnego, że brak widoczności w całej infrastrukturze IT i niedostateczna automatyzacja stają się istotnymi barierami na drodze do budowy zintegrowanego środowiska ochrony – dodaje Michał Zalewski z Barracuda Networks. – Rozwiązaniem jest wybieranie narzędzi, które są łatwe we wdrożeniu, obsłudze i zarządzaniu. Kluczowe są również regularne przeglądy, audyty i kontrole stanu bezpieczeństwa organizacji. To one pozwalają zidentyfikować te systemy i narzędzia, które są już w użyciu, ale nie funkcjonują poprawnie.