Cyberatak na NCBJ bez wpływu na reaktor MARIA. Incydent pokazuje rosnące ryzyko dla infrastruktury krytycznej - Security Bez Tabu

Cyberatak na NCBJ bez wpływu na reaktor MARIA. Incydent pokazuje rosnące ryzyko dla infrastruktury krytycznej

Cybersecurity news

Wprowadzenie do problemu / definicja

Cyberataki wymierzone w podmioty związane z infrastrukturą krytyczną należą do najpoważniejszych incydentów bezpieczeństwa teleinformatycznego. Szczególne znaczenie mają zdarzenia dotyczące sektora jądrowego, gdzie nawet ograniczone naruszenie systemów informatycznych może wywołać skutki operacyjne, reputacyjne i polityczne. W ostatnim incydencie celem ataku stało się Narodowe Centrum Badań Jądrowych, jedna z kluczowych polskich instytucji badawczych wspierających krajowy program energetyki jądrowej.

W skrócie

Narodowe Centrum Badań Jądrowych poinformowało o próbie cyberataku na swoją infrastrukturę IT. Według przekazanych informacji incydent został wykryty odpowiednio wcześnie i zablokowany, zanim doprowadził do naruszenia integralności systemów lub zakłócenia działalności instytucji. NCBJ podkreśliło również, że zdarzenie nie miało wpływu na pracę reaktora badawczego MARIA, który funkcjonował bezpiecznie i bez przerw.

  • atak był wymierzony w infrastrukturę IT ośrodka,
  • nie odnotowano wpływu na reaktor MARIA,
  • incydent został wykryty i zablokowany na wczesnym etapie,
  • sprawę zgłoszono właściwym organom i rozpoczęto działania wyjaśniające.

Kontekst / historia

Narodowe Centrum Badań Jądrowych pełni strategiczną rolę w polskim systemie badawczo-rozwojowym. Ośrodek prowadzi prace z zakresu fizyki jądrowej, technologii reaktorowych, fizyki cząstek i zastosowań promieniowania, a także wspiera rozwój krajowego programu energetyki jądrowej. Instytucja eksploatuje również reaktor MARIA, jedyny działający w Polsce reaktor badawczy, wykorzystywany między innymi do badań naukowych i produkcji izotopów medycznych.

Z perspektywy cyberbezpieczeństwa incydent wpisuje się w szerszy trend wzmożonej aktywności przeciwko podmiotom związanym z energetyką oraz infrastrukturą krytyczną w Europie Środkowo-Wschodniej. Polska od dłuższego czasu pozostaje atrakcyjnym celem zarówno dla grup cyberprzestępczych, jak i aktorów sponsorowanych przez państwa, którzy mogą być zainteresowani sabotażem, szpiegostwem lub rozpoznaniem środowisk strategicznych.

Analiza techniczna

Na obecnym etapie publicznie dostępne informacje są ograniczone, jednak z komunikatów wynika, że atak dotyczył infrastruktury IT, a nie systemów odpowiedzialnych bezpośrednio za sterowanie reaktorem. To rozróżnienie ma kluczowe znaczenie, ponieważ nowoczesne modele bezpieczeństwa infrastruktury krytycznej opierają się na separacji środowisk administracyjnych i biurowych od systemów operacyjnych, przemysłowych oraz laboratoryjnych.

Najbardziej prawdopodobny scenariusz obejmuje próbę uzyskania dostępu do sieci korporacyjnej, usług wewnętrznych lub zasobów użytkowników końcowych. Taki atak mógł przybrać formę kampanii phishingowej, wykorzystania podatności w usługach brzegowych, nadużycia legalnych poświadczeń albo próby ruchu lateralnego po uzyskaniu wstępnego dostępu. Fakt, że incydent został wykryty i powstrzymany bez naruszenia integralności systemów, może wskazywać na skuteczne mechanizmy detekcji, segmentację sieci oraz sprawne procedury reagowania.

Komunikat o szybkim zabezpieczeniu zaatakowanych systemów sugeruje wdrożenie standardowych działań obronnych, takich jak izolacja hostów, analiza artefaktów, blokowanie wskaźników kompromitacji, przegląd logów oraz reset poświadczeń uprzywilejowanych. Brak wpływu na reaktor MARIA może świadczyć o skutecznym odseparowaniu środowisk krytycznych od sieci objętej incydentem.

W przestrzeni publicznej pojawiły się spekulacje dotyczące możliwego sprawcy, jednak na tym etapie atrybucję należy traktować ostrożnie. Bez twardych danych forensic, korelacji infrastruktury dowodzenia i kontroli oraz porównania technik, taktyk i procedur nie można formułować definitywnych wniosków o odpowiedzialności konkretnego aktora.

Konsekwencje / ryzyko

Najważniejszą informacją z punktu widzenia bezpieczeństwa operacyjnego pozostaje brak wpływu na pracę reaktora badawczego. Nie oznacza to jednak, że incydent był nieistotny. Sam fakt skierowania działań przeciwko ośrodkowi jądrowemu ma znaczenie strategiczne i może oznaczać próbę rozpoznania systemów, pozyskania informacji badawczych lub testowania odporności procedur bezpieczeństwa.

Ryzyko związane z takimi zdarzeniami obejmuje kilka warstw. Zagrożone mogą być dane badawcze, dokumentacja techniczna, informacje kadrowe i administracyjne, a także dane partnerów współpracujących z instytucją. Nawet nieskuteczny atak generuje koszty związane z dochodzeniem, wzmożonym monitoringiem, audytami oraz odbudową zaufania. W przypadku sektora jądrowego dochodzi jeszcze wymiar psychologiczny i informacyjny, ponieważ podobne incydenty mogą zostać wykorzystane do wzmacniania niepokoju społecznego lub presji politycznej.

Rekomendacje

Organizacje działające w sektorach wrażliwych powinny rozwijać model obrony warstwowej obejmujący zarówno środowiska IT, jak i OT. W praktyce oznacza to ścisłą segmentację sieci, kontrolę dostępu zgodną z zasadą najmniejszych uprawnień oraz konsekwentne rozdzielenie systemów administracyjnych od środowisk operacyjnych i laboratoryjnych.

  • wdrożenie wieloskładnikowego uwierzytelniania dla dostępu zdalnego i kont uprzywilejowanych,
  • stosowanie rozwiązań EDR lub XDR oraz centralizacji logów w systemach SIEM,
  • regularne ćwiczenia reagowania na incydenty i scenariusze tabletop,
  • szybkie łatanie systemów brzegowych i bieżące monitorowanie podatności,
  • ograniczanie ekspozycji usług do internetu,
  • okresowy przegląd kont, uprawnień i ścieżek dostępu,
  • klasyfikacja i odrębna ochrona danych naukowych, technicznych oraz projektowych,
  • ścisła współpraca z krajowymi zespołami reagowania i partnerami sektorowymi.

Podsumowanie

Incydent wymierzony w Narodowe Centrum Badań Jądrowych pokazuje, że instytucje związane z technologiami strategicznymi pozostają stałym celem działań cybernetycznych. Kluczowe jest jednak to, że atak został wykryty i zatrzymany, a reaktor MARIA nie został dotknięty skutkami zdarzenia. Przypadek ten stanowi jednocześnie przypomnienie, że wysoka dojrzałość w obszarze detekcji, segmentacji i reagowania na incydenty pozostaje podstawą ochrony infrastruktury krytycznej.

Źródła

  1. BleepingComputer — Poland’s nuclear research centre targeted by cyberattack — https://www.bleepingcomputer.com/news/security/polands-nuclear-research-centre-targeted-by-cyberattack/
  2. Narodowe Centrum Badań Jądrowych — komunikat dotyczący incydentu cyberbezpieczeństwa — https://www.ncbj.gov.pl/
  3. Reuters — informacje o możliwych tropach śledczych związanych z incydentem — https://www.reuters.com/
  4. ICCT — raport o aktywności rosyjskich aktorów cyberzagrożeń wobec Polski — https://www.icct.nl/