NIS2 – o czym trzeba pamiętać, by chronić systemy sterowania

5 godzin temu

Sektor wod-kan – jako infrastruktura o wysokiej krytyczności – podlega szczególnie rygorystycznym wymogom w zakresie monitorowania, raportowania i nadzoru nad systemami sterowania (OT/SCADA/PLC). Niniejszy artykuł wyjaśnia, co dokładnie ustawa nakazuje, kto ponosi odpowiedzialność i jak w praktyce wyglądają obowiązki operacyjne przedsiębiorstwa wodociągowego.

Przedsiębiorstwo wod-kan – podmiot kluczowy

Niemal każde przedsiębiorstwo wodociągowo-kanalizacyjne zostało zakwalifikowane jako podmiot najważniejszy w rozumieniu nowej ustawy. Wynika to z faktu, iż dostawa wody pitnej oraz odprowadzanie ścieków są klasyfikowane jako usługi o znaczeniu strategicznym dla społeczeństwa i państwa. Konsekwencją tego podejścia jest nałożenie na przedsiębiorstwa wod-kan pełnego zakresu obowiązków ustawy, a są to m.in.:

  • konieczność wdrożenia systemu zarządzania ryzykiem cyberbezpieczeństwa,
  • obowiązek raportowania incydentów do krajowych zespołów CSIRT,
  • konieczność umożliwienia urzędnikowi monitorującemu przeprowadzenia kontroli,
  • obowiązek dokonania audytu zewnętrznego co 2 lata,
  • konieczność przeszkolenia kadry zarządzającej w zakresie cyberbezpieczeństwa.

Obowiązki zarządzania ryzykiem – co to znaczy dla sterowników PLC i kontrolerów PAC?

Artykuły 8 i następne nowelizacji nakładają obowiązek wdrożenia środków technicznych i organizacyjnych, które muszą obejmować infrastrukturę OT – a więc sterowniki PLC, kontrolery PAC, systemy SCADA oraz sieci przemysłowe w stacjach uzdatniania wody, pompowniach i oczyszczalniach ścieków.

Monitorowanie i wykrywanie incydentów

Przedsiębiorstwo musi posiadać systemy pozwalające na bieżące śledzenie pracy infrastruktury pod kątem anomalii. W praktyce oznacza to instalację sond OT lub systemów klasy SIEM, które słuchają ruchu sieciowego sterowników i automatycznie generują alerty.

Bezpieczeństwo łańcucha dostaw

Ustawa nakłada obowiązek weryfikacji bezpieczeństwa produktów i usług ICT – a więc również sterowników PLC, kontrolerów PAC, systemów SCADA i systemu inżynierskiego. Szczególne znaczenie ma tu przepis dotyczący Dostawców wysokiego ryzyka (HRV). jeżeli urządzenia sterujące w stacji uzdatniania wody lub przepompowni pochodzą od dostawcy uznanego za Dostawcę wysokiego ryzyka, podmiot ma obowiązek wycofać je z użytkowania – zwykle w terminie do 7 lat od wydania decyzji.

Co musi być monitorowane – najważniejsze dane z systemów OT

Z punktu widzenia wymagań KSC/NIS2, monitoring urządzeń sterujących w infrastrukturze wod-kan powinien obejmować następujące kategorie danych:

Zdarzenia dotyczące logiki i kodu sterownika

  • Zmiana trybu pracy PLC (Run/Stop/Term) – każde przełączenie, zdalne lub fizyczne.
  • Upload/Download programu – kto i kiedy wgrał lub pobrał kod ze sterownika.
  • Force (wymuszenia na I/O) – zamrożenie czujnika (np. poziomu wody w zbiorniku) jest typową taktyką ataku, maskującą rzeczywisty stan systemu.

Dane o dostępie i autoryzacji

  • Nieudane próby logowania do panelu administracyjnego PLC lub serwera WWW sterownika.
  • Sesje komunikacyjne – z jakiego adresu IP i jakim protokołem nawiązano połączenie.
  • Połączenia z adresów spoza zaufanej strefy inżynierskiej – każda taka sesja jest potencjalnym incydentem.

Status zdrowia i integralności sprzętu

  • Wersja firmware – kluczowa do oceny podatności CVE (Common Vulnerabilities and Exposures to międzynarodowy, ustandaryzowany system identyfikacji i katalogowania znanych podatności i luk bezpieczeństwa) w oprogramowaniu oraz sprzęcie IT i możliwości wdrożenia poprawek.
  • Suma kontrolna projektu (Checksum) – niezgodność sumy kontrolnej sygnalizuje nieautoryzowaną zmianę w pamięci sterownika.
  • Błędy modułów I/O – odłączenie fizycznych modułów lub awaria magistrali mogą świadczyć o sabotażu.
  • Użycie procesora i pamięci – nagły skok obciążenia może oznaczać atak typu DoS (Denial of Service).

Anomalie w ruchu sieciowym

  • Nietypowe komendy – np. komenda Zmień adres IP lub Formatuj kartę pamięci pojawiająca się podczas normalnej pracy.
  • Jakakolwiek komunikacja PLC z adresami zewnętrznymi (Internet) – jest to incydent krytyczny wymagający natychmiastowej reakcji.

Raportowanie incydentów – obowiązkowe terminy

Ustawa nie pozostawia swobody w kwestii czasu reakcji. W przypadku zakłócenia pracy systemu sterowania wodociągów (np. próby przejęcia PLC, zatrzymania pomp przez nieautoryzowaną komendę) obowiązuje ścisły harmonogram:

  • 24 godziny – Wczesne ostrzeżenie do CSIRT przez system S46 – krótka informacja, iż status systemu jest nienormalny i może to być incydent zagrażający bezpieczeństwu.
  • 72 godziny – Pełne zgłoszenie incydentu – szczegółowe dane techniczne: co się stało, jakie są skutki dla ciągłości dostaw wody, jakie działania podjęto (np. izolacja segmentu sieci, przejście na sterowanie manualne).
  • 1 miesiąc – Raport końcowy (Post-Mortem) – analiza przyczyn incydentu, wnioski i zastosowane środki zaradcze zapobiegające nawrotowi.

Obowiązek raportowania dotyczy każdego zdarzenia, które ma lub może mieć istotny wpływ na ciągłość usługi, a więc m.in. nagłe zatrzymanie pomp, niewyjaśnione zmiany parametrów procesowych (np.: chlorowania) czy utrata komunikacji ze stacją terenową.

Harmonogram raportowania – przegląd wszystkich trybów

Typ raportuCzęstotliwośćCel i zakres
Wczesne ostrzeżenie (incydent)24 godzinyPierwsze zgłoszenie do CSIRT przez S46 – informacja o zakłóceniu pracy urządzenia sterującego PLC/SCADA.
Pełne zgłoszenie incydentu72 godzinySzczegółowy raport z danymi technicznymi: co się stało, jakie skutki czy sytuacja jest opanowana.
Raport końcowy (Post-Mortem)Do 1 miesiącaAnaliza przyczyn incydentu, podjęte środki zaradcze, wnioski.
Przegląd logów (SOC/OT)Codziennie (auto)Wykrywanie prób włamań na sterowniki PLC w czasie rzeczywistym.
Raport podatności (Vulnerability)Raz w miesiącuSprawdzenie nowych poprawek firmware dla sterowników.
Inwentaryzacja zasobówRaz na kwartałPotwierdzenie, iż w sieci OT nie pojawiły się nieautoryzowane urządzenia.
Audyt bezpieczeństwa zewnętrznyCo 2 lataPełna ocena stanu sterowników PLC, konfiguracji i luk – wymóg ustawowy.

Uprawnienia organów kontrolnych

Urzędnik monitorujący

Nowelizacja wprowadza instytucję urzędnika monitorującego, który ma prawo:

  • uzyskać dostęp do informacji o funkcjonowaniu systemów sterowania w zakładzie wodociągowym,
  • monitorować na miejscu, czy podmiot wywiązuje się z obowiązków bezpieczeństwa,
  • nakazać przeprowadzenie skanowań i testów bezpieczeństwa urządzeń pracujących w sieci OT,
  • zażądać raportu ze statusu urządzeń sterujących w odpowiedzi na pojawienie się nowej groźnej luki CVE u konkretnego producenta (np. Emerson, Siemens, Schneider Electric).

Polecenia zabezpieczające (Art. 72a)

W przypadku wystąpienia incydentu krytycznego, Minister Cyfryzacji może wydać polecenie zabezpieczające, które może nakazać m.in. odłączenie konkretnych sterowników od sieci, zmianę konfiguracji systemów SCADA lub wdrożenie określonego mechanizmu monitorującego.

Rekomendacje Pełnomocnika Rządu

Pełnomocnik Rządu ds. Cyberbezpieczeństwa może wydawać wiążące rekomendacje dotyczące stosowania konkretnych urządzeń lub konfiguracji systemów sterujących w infrastrukturze krytycznej, w tym wodociągowej.

Kto odpowiada? – struktura odpowiedzialności w wod-kan

Odpowiedzialność za wypełnienie obowiązków wynikających z nowelizacji KSC spoczywa na kierownictwie przedsiębiorstwa. Zakres tej odpowiedzialności zależy od formy prawno-organizacyjnej podmiotu:

Forma organizacyjnaZarządca (odpowiedzialny)Zakres odpowiedzialności
Spółka z o.o. / S.A.Zarząd Spółki (Prezes)Odpowiedzialność finansowa osobista – kara do 300% miesięcznego wynagrodzenia.
Samorządowy Zakład BudżetowyDyrektor ZakładuOperacyjna odpowiedzialność za zgodność z KSC, nadzór: Wójt/Burmistrz/Prezydent.
Jednostka Budżetowa (Urząd)Wójt / Burmistrz / PrezydentBezpośrednia odpowiedzialność jako kierownik jednostki.

Zarządca – niezależnie od formy organizacyjnej – nie musi osobiście znać się na programowaniu sterowników, ale musi: zatwierdzić dokumenty zarządzania ryzykiem, zapewnić budżet na monitoring OT, przejść obowiązkowe szkolenie z cyberbezpieczeństwa oraz ponosić odpowiedzialność za terminowe raportowanie incydentów. Brak raportowania incydentu w wymaganym terminie lub niedopełnienie obowiązków bezpieczeństwa może skutkować karą finansową dla zarządcy w wysokości do 300% jego miesięcznego wynagrodzenia.

Architektura monitorowania – jak to wdrożyć w praktyce?

Spełnienie wymagań ustawy nie polega na ręcznym sporządzaniu raportów, ale na wdrożeniu automatycznej infrastruktury monitorowania sieci OT. Typowy, rekomendowany stos techniczny dla zakładu wod-kan obejmuje:

Sondy OT / systemy detekcji anomalii

Pasywne czujniki podłączane do sieci przemysłowej, które bez ingerencji w pracę sterowników analizują ruch sieciowy i generują alerty przy wykryciu anomalii.

System SIEM

Centralne repozytorium logów, które agreguje dane ze sond OT, systemów IT oraz firewalli i umożliwia automatyczne tworzenie raportów wymaganych przez urzędnika monitorującego.

Raportowanie do systemu S46

System S46 to platforma elektroniczna wskazana przez ustawę do przekazywania oficjalnych zgłoszeń incydentów do CSIRT. Dostęp do systemu musi być skonfigurowany z wyprzedzeniem – nie w chwili incydentu.

Przykładowe pola raportu incydentu (system S46)

PolePrzykładowa treść (zakład wodociągowy)
Typ zasobuUrządzenie sterujące (PLC) / Infrastruktura OT – stacja uzdatniania wody
Rodzaj incydentuNieautoryzowana próba zmiany systemu sterującego dawkowaniem chloru
Skala wpływuWysoka – możliwe zagrożenie dla jakości wody pitnej lub ciągłości dostaw
Podjęte działaniaIzolacja segmentu sieci OT, przejście na sterowanie manualne, powiadomienie służb
Status urządzeniaZablokowane do czasu przeprowadzenia analizy powłamaniowej (forensics)

System automatycznego raportowana pracy PLC

Wykorzystanie narzędzi pozwalających w sposób automatyczny na generowanie i pobieranie raportu pracy urządzenia. W przypadku systemów sterowania Emerson takim rozwiązaniem jest PACDiagnostic.

Lista kontrolna dla zarządu – pierwsze kroki

Dla przedsiębiorstw wodociągowo-kanalizacyjnych rozpoczynających dostosowanie do wymagań nowelizacji KSC, rekomenduje się następującą kolejność działań:

  • Zidentyfikuj wszystkie urządzenia OT (PLC, SCADA, RTU) w sieci zakładu – stwórz inwentarz zasobów.
  • Oceń wersje firmware sterowników i sprawdź je pod kątem znanych podatności (CVE).
  • Wdróż pasywne monitorowanie sieci OT – zainstaluj sondę lub skonfiguruj SIEM.
  • Utwórz i wdróż procedury reagowania na incydenty – w tym schemat 24h/72h/1 miesiąc.
  • Skonfiguruj dostęp do systemu S46 i przetestuj proces zgłaszania incydentu.
  • Przeprowadź szkolenie dla zarządu z zakresu cyberbezpieczeństwa OT (wymóg ustawowy).
  • Powołaj Pełnomocnika ds. Cyberbezpieczeństwa lub nawiąż współpracę z zewnętrznym doradcą.
  • Zaplanuj audyt zewnętrzny – wymóg co 2 lata, warto przeprowadzić audyt pilotażowy wcześniej.
  • Przeanalizuj łańcuch dostaw urządzeń OT pod kątem potencjalnych Dostawców Wysokiego Ryzyka.

Podsumowanie

Nowelizacja KSC wdrażająca NIS2 to dla sektora wod-kan nie tylko formalny obowiązek prawny, ale przede wszystkim impuls do realnego wzmocnienia odporności infrastruktury krytycznej. Sterowniki PLC i systemy SCADA zarządzające dostawą wody pitnej i odprowadzaniem ścieków stają się częstym celem ataków cybernetycznych na infrastrukturę krytyczną. Ustawa poprzez mechanizm raportowania incydentów, uprawnienia urzędnika monitorującego i obowiązkowe audyty tworzy ramy prawne wymuszające pełną widoczność tego, co dzieje się w sieci OT.

Zarządcy przedsiębiorstw wod-kan muszą pamiętać, iż odpowiedzialność za cyberbezpieczeństwo zakładu nie spoczywa na dziale IT, ale na nich osobiście. Zgodnie z nowymi przepisami: raportowanie ma następować natychmiastowo, gdy dzieje się coś złego (24h) lub gdy wypada termin audytu (2 lata). Wdrożone systemy monitorujące powinny działać w trybie 24/7/365 – tak, aby w razie kontroli lub ataku mieć gotowe dane do przekazania służbom państwowym.

Idź do oryginalnego materiału
  1. Strona główna
  2. Przemysł ciężki
  3. NIS2 – o czym trzeba pamiętać, by chronić systemy sterowania

Powiązane

Meble ogrodowe to dziś podstawowe wyposażenie nie tylko przydomowych ogrodów, ale też stref relaksu przy firmach, halach produkcyjnych czy magazynach.

Meble ogrodowe to dziś podstawowe wyposażenie nie tylko przy...

8 godzin temu
Intralogistyka: Od peryferii do centrum strategii biznesowej

Intralogistyka: Od peryferii do centrum strategii biznesowej...

4 dni temu
Nowelizacja ustawy OZE – czy zmiany wyjdą na lepsze?

Nowelizacja ustawy OZE – czy zmiany wyjdą na lepsze?

4 dni temu
Zastosowanie stopów stali w mechatronice

Zastosowanie stopów stali w mechatronice

6 dni temu
Tłocznia gazu Lwówek wzmocni bezpieczeństwo Polski

Tłocznia gazu Lwówek wzmocni bezpieczeństwo Polski

1 tydzień temu
Jak przeprowadzić migrację systemu automatyki – 7 kroków, 4 pułapki

Jak przeprowadzić migrację systemu automatyki – 7 kroków, 4 ...

1 tydzień temu
Kiedy robotyzacja się opłaca? Jak uniknąć błędów?

Kiedy robotyzacja się opłaca? Jak uniknąć błędów?

1 tydzień temu
Automatyzacja i robotyzacja – miesiąc tematyczny w serwisie dlaprodukcji.pl

Automatyzacja i robotyzacja – miesiąc tematyczny w serwisie ...

2 tygodni temu