Kybernetické hrozby ve vodním hospodářství
Subjekty oboru vodního hospodářství byly začleněny dle zákona č. 181/2014Sb., o kybernetické bezpečnosti (ZKB), jako tzv. povinné osoby dle § 3 odstavců c), f) a g). Během roku 2021 byly Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB) osloveny „určené subjekty“, a to dle § 22a ZKB. Tyto subjekty musí plnit následující 4 základní požadavky:
- Zavádění bezpečnostních opatření (§ 4 a § 5 ZKB, VKB) – risk-based approach
- Hlášení kontaktních údajů (§ 16 ZKB)
- Hlášení incidentů (§ 8 ZKB)
- Provádění opatření NÚKIB (§ 13 a násl. ZKB)
S ohledem na tyto nové povinnosti uspořádalo Sdružení oboru vodovodů a kanalizací ČR, z.s., (SOVAK ČR) v září 2021 první webinář ke kybernetické bezpečnosti a druhý následoval v únoru 2022. Kybernetická bezpečnost je velmi důležitá! Velké společnosti z oboru využívají informační systémy ve svých provozech běžně již delší dobu a řada procesů pak přešla v důsledku pandemie covid-19 do virtuálního prostředí v posledních dvou letech. S ohledem na to je nutno se dobrému zabezpečení v oboru věnovat s vysokou prioritou.
Vodohospodářský obor je ve smyslu kybernetické bezpečnosti velmi zranitelný, a to z řady důvodů shrnutých ve strategické analýze NÚKIB z roku 2021[1]:
- Vodohospodářský sektor čelí ve světě řadě kybernetických hrozeb, které by mohly vést k ohrožení lidských životů, zdraví, majetku, narušení důvěrnosti osobních údajů, přerušení dodávek pitné vody či elektrické energie, povodním, ekologickým škodám nebo finančním ztrátám napadeného subjektu.
- Ve vodohospodářství existuje vysoký počet potenciálně zneužitelných zranitelných bodů, které plynou především z nadměrného využívání vzdáleného přístupu a nesprávné nebo neexistující segmentace sítě. Významný problém představují také tzv. insideři a rizika plynoucí z nedostatečného zabezpečení dodavatelského řetězce.
- Navzdory řadě kybernetických útoků (téměř výhradně v zahraničí) doposud nedošlo k takovému, který by negativně ovlivnil zdraví lidí. Vodohospodářské subjekty využívají komplexní systémy disponující řadou bezpečnostních mechanismů. Cílený útok provedený sofistikovaným aktérem by nicméně mohl tyto bezpečnostní mechanismy obejít a způsobit tak významné škody. Provedení takového útoku v České republice však není vysoce pravděpodobné (15–20 %).
- Významné dopady by mohl mít nejen útok cílící na operační technologie (OT), ale také na informační technologie (IT), přičemž k takovým útokům by mohlo pravděpodobně dojít (55–70 %) v horizontu následujících tří let. Vznik havárie, přírodní katastrofy či jiných extrémních podmínek by mohlo dopady kybernetického útoku ještě umocnit.
Je nutno si uvědomit, že bezpečnostní situace se za poslední měsíc výrazně změnila v souvislosti s válkou na Ukrajině a NÚKIB vydal v této souvislosti již 25. 2. 2022 Varování (č.j. 2384/2022-NÚKIB-E/350) před hrozbou v oblasti kybernetické bezpečnosti, spočívající v realizaci kybernetických útoků na informační a komunikační systémy v České republice, zejména pak na systémy veřejné správy, ale i dalších strategických organizací. Tyto útoky mohou mít dopady na dostupnost, důvěrnost či integritu informací u důležitých informačních a komunikačních systémů.
Zranitelností jednotlivých hospodářských odvětví se zabývá i americká organizace ICS-CERT, dle srovnání z roku 2019 se obor vodního hospodářství nachází na třetí pozici (Zranitelnost srovnání odvětví 2019), viz obrázek.
[1] Hrozby ve vodohospodářství, Strategická analýza, Č . j . 8 8 9 5 / 2 0 2 1 - N Ú K I B - E / 310
Úspěšný útok na některou z úpraven nebo čistíren vody, vodní elektrárnu či nádrž by mohl vést k ohrožení lidských životů, zdraví, majetku či důvěrnosti osobních údajů, přerušení dodávek pitné vody nebo elektrické energie, povodním, ekologickým škodám i finančním ztrátám napadeného subjektu. V závislosti na tom, zda útočníci usilují o sabotáž, rozvrat, destrukci, špionáž nebo finanční zisk, by mohlo dojít k:
- dočasnému či trvalému zastavení provozu,
- destrukci komponentů,
- manipulaci s průmyslovými řídicími systémy,
- manipulaci s ventily a průtoky,
- manipulaci s hodnotami chemikálií v pitné vodě,
- manipulaci s informacemi posílanými operátorům z monitorovacích sond či senzorů,
- ztrátě osobních citlivých dat klientů či zaměstnanců,
- zašifrování dat a získání výkupného,
- kompromitaci dodavatelského řetězce.
Známé kybernetické útoky v oboru vodního hospodářství od roku 2000 do současnosti jsou shrnuty v tabulce č. 1. Na území České republiky je dosud znám pouze jeden případ, a to z roku 2020 provedený na Povodí Vltavy, s. p., viz tabulka.