Logo Ratels
 
 
 
Powrót do aktualności

07.03.2025

Newsletter wydanie 24

Fala cyberataków na systemy przemysłowe – rząd ostrzega i apeluje o zwiększenie zabezpieczeń

Polskie przedsiębiorstwa i instytucje korzystające z przemysłowych systemów sterowania (ICS/OT) znalazły się na celowniku cyberprzestępców. Pełnomocnik Rządu do spraw Cyberbezpieczeństwa, Krzysztof Gawkowski, wydał oficjalny komunikat ostrzegający przed rosnącą liczbą ataków, które mogą prowadzić do zakłóceń w funkcjonowaniu krytycznych systemów. Zidentyfikowane zagrożenia wskazują na aktywność zarówno cyberprzestępców, jak i tzw. hakerów-aktywistów, którzy próbują zwrócić uwagę opinii publicznej poprzez spektakularne włamania.

Zalecenia rządu: jak chronić systemy sterowania?

W odpowiedzi na wzrastające zagrożenie Pełnomocnik Rządu do spraw Cyberbezpieczeństwa wydał szereg zaleceń skierowanych do jednostek samorządu terytorialnego, podmiotów publicznych oraz prywatnych firm zarządzających systemami ICS/OT. Do kluczowych rekomendacji należą:

  • Blokowanie zdalnego dostępu do systemów sterowania – zdalne połączenia przy użyciu protokołów takich jak VNC, RDP czy popularne oprogramowanie wsparcia technicznego mogą stać się furtką dla cyberprzestępców.
  • Ograniczenie dostępu do paneli zarządzania przez Internet – nawet zabezpieczone hasłem strony administracyjne systemów ICS/OT nie powinny być bezpośrednio dostępne w sieci.
  • Zabezpieczenie portów komunikacyjnych – porty wykorzystywane do konfiguracji i komunikacji urządzeń przemysłowych nie powinny być otwarte na ruch z Internetu.
  • Wdrożenie VPN z uwierzytelnianiem wieloskładnikowym – dostęp do systemów sterowania powinien odbywać się wyłącznie przez szyfrowane połączenia z dodatkowymi mechanizmami autoryzacyjnymi.
  • Zgłaszanie incydentów do zespołów CSIRT – wszelkie nietypowe zdarzenia w systemach ICS/OT powinny być natychmiast raportowane do odpowiednich jednostek reagowania na incydenty cyberbezpieczeństwa.

Nowoczesne technologie w ochronie systemów przemysłowych

Choć podstawowe środki bezpieczeństwa to konieczność, w obliczu rosnących zagrożeń firmy powinny inwestować w zaawansowane systemy wykrywania i reagowania na incydenty. Narzędzia np.:

  • Forcepoint Web Security – chroni systemy przemysłowe przed zagrożeniami internetowymi, blokując niebezpieczne strony, analizując ruch sieciowy w czasie rzeczywistym i zapobiegając wyciekom danych poprzez kontrolę dostępu do zasobów online.
  • SentinelOne XDR/EDR – pozwala na analizę aktywności w czasie rzeczywistym, automatycznie wykrywając i eliminując zagrożenia na poziomie endpointów.
  • Labyrinth Deception Platform – technologia pułapek (deception), dzięki której można wykryć i monitorować ruch atakujących w infrastrukturze ICS/OT, minimalizując ryzyko sabotażu.

Szkolenia i testy penetracyjne – klucz do skutecznej obrony

Technologia to tylko jedna strona zabezpieczeń. Nie mniej ważnym elementem strategii cyberbezpieczeństwa są regularne szkolenia personelu i testy penetracyjne systemów. Firmy powinny zadbać o to, by ich zespoły IT i OT miały odpowiednią wiedzę z zakresu reagowania na incydenty oraz najlepszych praktyk ochrony ICS.

Testy penetracyjne, zwłaszcza te symulujące realne scenariusze ataków (tzw. red teaming), pozwalają na wykrycie luk w zabezpieczeniach i ich eliminację, zanim wykorzystają je cyberprzestępcy. Ważnym elementem jest również monitoring infrastruktury i analiza logów pod kątem podejrzanych aktywności.

Czy polskie firmy są gotowe na cyberwojnę?

Ataki na systemy przemysłowe nie są nowym zagrożeniem, ale ich liczba i skala stale rosną. Polska infrastruktura krytyczna oraz podmioty zarządzające systemami ICS/OT muszą zwiększyć swoje zabezpieczenia, by uniknąć poważnych konsekwencji.

W obecnej sytuacji wdrożenie kompleksowej strategii cyberbezpieczeństwa, opartej na nowoczesnych systemach wykrywania zagrożeń, testach penetracyjnych oraz stałym podnoszeniu świadomości personelu, powinno być priorytetem.

NSA podtrzymuje karę dla SGGW za naruszenie ochrony danych – jak organizacje mogą się chronić?

W dniu 7 lutego 2025 roku Naczelny Sąd Administracyjny (NSA) oddalił skargę Szkoły Głównej Gospodarstwa Wiejskiego (SGGW) w Warszawie, podtrzymując decyzję Prezesa Urzędu Ochrony Danych Osobowych (UODO) o nałożeniu na uczelnię kary w wysokości 50 tysięcy złotych za naruszenie przepisów o ochronie danych osobowych.
W listopadzie 2019 roku doszło do incydentu, w którym pracownik SGGW przeniósł dane osobowe kandydatów na studia na swój prywatny komputer (używany również do celów służbowych). Urządzenie to zostało następnie skradzione.

W wyniku tego zdarzenia Prezes UODO nałożył na uczelnię administracyjną karę pieniężną, uznając, że SGGW jako administrator danych nie zapewniła odpowiednich środków bezpieczeństwa, pozwalając na przetwarzanie danych poza kontrolowanymi systemami. SGGW odwołała się od decyzji UODO, argumentując m.in., że odpowiedzialność za naruszenie ponosi pracownik, który działał poza udzielonym mu upoważnieniem. NSA nie podzielił tego stanowiska, stwierdzając, że przeniesienie danych na prywatny laptop nie czyni pracownika administratorem danych. Sąd podkreślił, że to na administratorze, czyli SGGW, spoczywa obowiązek pełnej kontroli nad procesem przetwarzania danych oraz zapewnienia, że takie incydenty nie będą miały miejsca.

Jak organizacje mogą zapobiegać podobnym naruszeniom?

Aby uniknąć podobnych incydentów, organizacje powinny wdrożyć kompleksowe środki bezpieczeństwa danych osobowych:

  • Opracowanie i wdrożenie jasnych zasad dotyczących przetwarzania danych, w tym zakazu przenoszenia danych na prywatne urządzenia bez odpowiedniej autoryzacji.
  • Regularne edukowanie personelu w zakresie ochrony danych osobowych, aby zwiększyć ich świadomość i odpowiedzialność za przetwarzane informacje.
  • Wprowadzenie mechanizmów ograniczających dostęp do danych tylko dla upoważnionych osób oraz monitorowanie ich działań.
  • Stosowanie technologii szyfrowania, aby w przypadku nieautoryzowanego dostępu dane były nieczytelne dla osób postronnych.
  • Przeprowadzanie okresowych przeglądów i testów systemów bezpieczeństwa w celu identyfikacji i eliminacji potencjalnych luk.
  • Opracowanie planów działania na wypadek naruszeń, aby szybko i skutecznie minimalizować ich skutki oraz informować odpowiednie organy nadzorcze.

Dodatkowo, skutecznym rozwiązaniem w zapobieganiu podobnym incydentom jest Forcepoint DLP, które pozwala na pełną kontrolę nad przepływem danych i automatyczne blokowanie prób ich kopiowania na nieautoryzowane urządzenia. Wdrażając rozwiązania Forcepoint CASB, organizacje mogą również monitorować i ograniczać przesyłanie danych do chmury, zapewniając pełną zgodność z politykami bezpieczeństwa. W przypadku zainteresowania wdrożeniem tych systemów, możemy pomóc w ich implementacji i dostosowaniu do indywidualnych potrzeb organizacji.

Złośliwe pakiety w ekosystemie Go – ostrzeżenie dla programistów

Badacze cyberbezpieczeństwa wykryli kampanię ataków wymierzoną w ekosystem programistyczny Go. Hakerzy opublikowali co najmniej siedem złośliwych pakietów typu typosquatting, czyli bibliotek o nazwach łudząco podobnych do legalnych modułów Go. Ich celem jest infekowanie systemów Linux i macOS poprzez zdalne uruchamianie złośliwego kodu.

Wykryte złośliwe pakiety:

  • shallowmulti/hypert
  • shadowybulk/hypert
  • belatedplanet/hypert
  • thankfulmai/hypert
  • vainreboot/layout
  • ornatedoctrin/layout
  • utilizedsun/layout

Atakujący podszywają się pod popularne biblioteki Go, takie jak github.com/areknoster/hypert, aby skłonić programistów do ich pobrania i użycia. Po zainstalowaniu pakiety wykonują zaciemnione polecenia powłoki, pobierając skrypty z serwera alturastreet[.]icu. Dodatkowo, malware wykorzystuje opóźnienie – złośliwy kod aktywuje się dopiero po godzinie, co utrudnia jego wykrycie.

Celem ataku jest instalacja i uruchomienie złośliwego oprogramowania, które może kraść dane użytkowników lub przechwytywać ich poświadczenia. Powtarzające się schematy nazw plików oraz zastosowanie techniki opóźnionej aktywacji wskazują, że kampania jest dobrze zorganizowana i zdolna do adaptacji.

Jak zabezpieczyć się przed atakami na łańcuch dostaw?

  • Weryfikacja pakietów – przed instalacją zawsze sprawdzaj oryginalność bibliotek i ich źródło. Unikaj pakietów o nazwach podobnych do popularnych modułów.
  • Monitorowanie zależności – regularnie przeglądaj listę używanych pakietów i sprawdzaj, czy nie zostały podmienione.
  • Aktualizowanie oprogramowania – korzystaj z najnowszych wersji Go i zależności, aby uniknąć luk bezpieczeństwa.
  • Śledzenie alertów bezpieczeństwa – monitoruj ostrzeżenia dotyczące ekosystemu Go i stosuj się do rekomendacji specjalistów ds. bezpieczeństwa.

Ataki na łańcuch dostaw oprogramowania stają się coraz bardziej zaawansowane i powszechne. Zachowanie czujności oraz stosowanie dobrych praktyk bezpieczeństwa pozwala znacząco ograniczyć ryzyko infekcji i utraty danych.

Artykuły powiązane

Copyright © 2025 Ratels. All rights reserved.

Design & development

Design & development www.artnova.com.pl