Hakerzy atakują brytyjskich dostawców wody pitnej. Co ujawniają raporty do DWI i co zmieni nowe prawo? - Security Bez Tabu

Hakerzy atakują brytyjskich dostawców wody pitnej. Co ujawniają raporty do DWI i co zmieni nowe prawo?

Wprowadzenie do problemu / definicja luki

Brytyjskie przedsiębiorstwa wodociągowe zgłosiły do Drinking Water Inspectorate (DWI) łącznie 15 incydentów w okresie 1.01.2024–20.10.2025, z czego pięć dotyczyło cyberataków – ujawnia analiza wniosków FOI opisana przez Recorded Future News. Ataki nie zakłóciły dostaw ani jakości wody, ale uderzały w systemy organizacji wspierające ciągłość usług. Sprawa odsłania lukę w przepisach NIS: obowiązkowe jest raportowanie tylko tych zdarzeń, które rzeczywiście przerwały świadczenie usługi – co w praktyce może zaniżać obraz ryzyka prepozycjonowania i działań APT.

W skrócie

  • 5 cyberincydentów zgłoszonych „poza zakresem NIS” (dobrowolnie), łącznie 15 raportów do DWI od 2024 r.
  • Obecne Regulacje NIS wymagają zgłoszenia tylko wtedy, gdy dojdzie do realnej niedostępności usługi kluczowej.
  • Rząd zapowiada Cyber Security and Resilience Bill, który ma obniżyć próg raportowania i wzmocnić obowiązki dla infrastruktury krytycznej.
  • Wektor OT pozostaje wrażliwy (np. Unitronics PLC); w 2023–2024 r. ostrzegały o tym wspólne alerty CISA/NCSC.
  • Trwałe prepozycjonowanie (np. Volt Typhoon) podbija ryzyko, które regulacje „reaktywne” mogą przeoczyć.

Kontekst / historia / powiązania

W sektorze wodnym historycznie dominowały incydenty w IT/biurze (np. ransomware), rzadziej bezpośrednio w OT/ICS. Tendencję potwierdzają przypadki w Europie (m.in. brytyjski South Staffs Water czy hiszpańskie Aigües de Mataró), przy czym sam proces uzdatniania i dystrybucji zwykle nie został naruszony. Raport DWI pokazuje jednak, że dostawcy mimo braku formalnego obowiązku zaczynają dzielić się informacjami o cyberzdarzeniach wpływających na „odporność dostaw” – to krok w stronę kultury wymiany danych o zagrożeniach.

Analiza techniczna / szczegóły luki

Dlaczego obecny próg NIS jest problematyczny? Regulacje w wersji obowiązującej w Wielkiej Brytanii koncentrują się na incydentach, które doprowadziły do przerwy w usłudze (ang. essential service). W efekcie:

  • Ciche naruszenia (np. rekonesans, uzyskanie trwałego dostępu, zmiana konfiguracji bez skutku operacyjnego) mogą nie być zgłaszane.
  • Z perspektywy OT/ICS jest to krytyczne: prepozycjonowanie APT w sieci zakładu, segmentacji lub w kontrolerach PLC może trwać miesiącami bez widocznej awarii.

Przykład wektora: w 2023 r. CISA ostrzegła przed aktywną eksploatacją PLC Unitronics w zakładach wod-kan; NCSC równolegle wskazało na ryzyko w sektorze wodnym i potrzebę twardszej separacji IT/OT oraz twardej konfiguracji urządzeń. To typowe punkty zaczepienia dla aktorów państwowych i przestępczych.

Praktyczne konsekwencje / ryzyko

  • Ryzyko systemowe: brak pełnej widoczności zdarzeń poniżej progu NIS utrudnia świadomość sytuacyjną – zarówno u operatorów, jak i organów państwowych.
  • Ryzyko dla OT: nawet jeśli wody „nie zabrakło”, ataki na „out-of-NIS-scope systems” (systemy pomocnicze, zaplecze IT, telemetria) mogą degradować zdolność reagowania, utrzymania i bezpieczeństwo pracy.
  • Ryzyko geopolityczne: kampanie pokroju Volt Typhoon celują w infrastrukturę krytyczną, gdzie utrzymanie dostępu jest ważniejsze niż szybki efekt – co wymaga innej strategii detekcji i raportowania.

Rekomendacje operacyjne / co zrobić teraz

  1. Raportowanie „poniżej progu” jako standard – podążaj za dobrym przykładem branży i zgłaszaj do DWI/NCSC także incydenty niewywołujące przerwy, zwłaszcza w warstwie OT/telemetrii.
  2. Twarda segmentacja IT/OT i zasada najmniejszych uprawnień – mikrosegmentacja, odrębne domeny, kontrola przepływów (firewall L7, allow-list) między strefami. Rekomendacja spójna z wytycznymi NCSC.
  3. Higiena PLC/RTU – odłącz nieużywane interfejsy, zmień domyślne hasła, włącz MFA i VPN dla zdalnego dostępu, monitoruj anomalie protokołów przemysłowych; zastosuj zalecenia z alertu CISA ws. Unitronics.
  4. Łowy na zagrożenia (threat hunting) pod kątem prepozycjonowania – identyfikuj techniki mapowane do MITRE ATT&CK for ICS (np. Tactics: Initial Access/Discovery/Lateral Movement) wskazywane w doradztwach nt. Volt Typhoon/NCSC.
  5. Ćwiczenia scenariuszowe – tabletop’y obejmujące varianty „no-impact yet”, np. znajdowanie web-shelli w DMZ SCADA, nietypowe polecenia na HMI, podejrzane zmiany w konfiguracji PLC.
  6. Zarządzanie dostawcami – inwentaryzacja zewnętrznych serwisów (telemetria, łączność, ICS managed services), umowy z obowiązkami notyfikacji i testami 3rd-party.

Różnice / porównania z innymi przypadkami

  • IT vs OT: większość europejskich incydentów wodnych w ostatnich latach dotyczyła IT, co ograniczało wpływ na fizyczny proces (np. przypadki opisywane przez media branżowe). Ryzyko OT materializuje się rzadziej, ale gdy do niego dochodzi, skutki są natychmiast odczuwalne – co potwierdzają międzynarodowe ostrzeżenia dotyczące PLC i ICS.
  • NIS (UK) vs podejście „proaktywne”: podejście oparte wyłącznie na skutku operacyjnym różni się od praktyk, które zachęcają do reportowania faz wczesnych (rekonesans, dostęp wstępny). Zapowiadany Cyber Security and Resilience Bill ma zbliżyć regulacje do modelu proaktywnego (szybsze zgłaszanie, szerszy zakres).

Podsumowanie / kluczowe wnioski

  • Sektor wodny w Wielkiej Brytanii jest aktywnie atakowany, ale obecnie nie obserwuje się powszechnych przerw w dostawach – co nie znaczy, że ryzyko jest niskie.
  • Próg raportowania w NIS wymaga aktualizacji do realiów prepozycjonowania i ataków na łańcuch dostaw OT/ICS.
  • Nowe prawo (Cyber Security and Resilience Bill) ma potencjał, by zamknąć luki regulacyjne i zwiększyć odporność CNI – kluczowe będzie wdrożenie i egzekwowanie.
  • Operacyjnie należy traktować incydenty „poniżej progu” jak czerwone flagi i budować detekcję pod wczesne fazy ataku w OT.

Źródła / bibliografia

  1. Recorded Future News – raport o zgłoszeniach do DWI (FOI) i atakach na brytyjskich dostawców wody (03.11.2025). (The Record from Recorded Future)
  2. DWI – „The Network and Information Systems (NIS) Regulations 2018” (wymogi i zgłaszanie). (Drinking Water Inspectorate)
  3. GOV.UK – „Cyber Security and Resilience Bill” (kolekcja materiałów dot. projektu ustawy). (GOV.UK)
  4. CISA – „Exploitation of Unitronics PLCs used in Water and Wastewater Systems” (28.11.2023). (cisa.gov)
  5. NCSC – ostrzeżenia dot. PRC/Volt Typhoon i prepozycjonowania w CNI (07.02.2024; 30.11.2023). (ncsc.gov.uk)