Synchronizacja czasu w wodociągach a NIS2, KSC i rekomendacje ENISA

NIS2 i KSC obejmują dziś wodociągi jako sektor kluczowy

Zgodnie z założeniami nowelizacji ustawy o KSC wdrażającej NIS2 sektor zaopatrzenia w wodę pitną oraz odprowadzania ścieków został wskazany jako sektor kluczowy infrastruktury państwa.

W praktyce oznacza to, że operatorzy wodociągów będą podlegali coraz bardziej szczegółowej ocenie w zakresie:

• odporności systemów OT,
• zdolności raportowania incydentów,
• zarządzania ryzykiem,
• oraz stosowanych środków cyberbezpieczeństwa.

To właśnie w tym kontekście coraz częściej pojawia się temat synchronizacji czasu.

Dopóki wszystko działa poprawnie, problem wydaje się praktycznie niewidoczny. Jednak w momencie incydentu brak spójnej synchronizacji potrafi bardzo szybko stać się realnym problemem operacyjnym i regulacyjnym.

Alarmy zaczynają pojawiać się w niewłaściwej kolejności. Systemy SCADA pracują z różnymi znacznikami czasu. Logi tracą spójność. Po incydencie nie da się jednoznacznie odtworzyć przebiegu zdarzeń.

I właśnie dlatego regulatorzy coraz częściej oceniają nie tylko to, czy organizacja spełniła literalny wymóg przepisu, ale również czy wdrożyła środki bezpieczeństwa uznawane za aktualną dobrą praktykę.

Co ENISA mówi o synchronizacji czasu w wodociągach?

ENISA, czyli Agencja Unii Europejskiej ds. Cyberbezpieczeństwa, nie jest zwykłą organizacją doradczą. To właśnie ENISA przygotowuje techniczne interpretacje i praktyczne wytyczne dotyczące wdrażania wymagań NIS2. W praktyce oznacza to, że dokumenty ENISA pokazują, jak regulatorzy i audytorzy będą interpretować bezpieczeństwo organizacji objętych NIS2.

I właśnie dlatego ich znaczenie jest dziś ogromne.

ENISA Technical Implementation Guidance 1.0 zawiera bardzo konkretne rekomendacje dotyczące integralności logów oraz synchronizacji czasu w organizacjach objętych NIS2. Wśród rekomendowanych praktyk pojawiają się między innymi:

• wykorzystanie centralnych systemów czasu,
• stosowanie wielu niezależnych źródeł synchronizacji,
• redundancja źródeł czasu,
• monitorowanie integralności synchronizacji,
• oraz utrzymywanie spójnej chronologii logów.

W dokumencie pojawiają się między innymi rekomendacje:

„Use multiple time sources” oraz „Configure a central time server”.

To bardzo ważny sygnał dla operatorów wodociągów.

ENISA nie narzuca konkretnej technologii. Pokazuje jednak bardzo wyraźnie, jak regulatorzy i audytorzy zaczynają rozumieć pojęcie cyberodporności infrastruktury krytycznej – również w kontekście czasu i integralności danych.

Synchronizacja czasu w wodociagach a „należyta staranność”

Jednym z najważniejszych trendów związanych z NIS2 i KSC jest rosnące znaczenie odpowiedzialności organizacji oraz osób zarządzających.

Jak wskazuje analiza Prawo.pl dotycząca odpowiedzialności kierowników podmiotów po wdrożeniu NIS2, zakres oczekiwań wobec organizacji odpowiedzialnych za infrastrukturę krytyczną będzie systematycznie rósł.

W praktyce oznacza to, że podczas audytu, analizy incydentu lub kontroli regulatora coraz częściej mogą pojawiać się pytania nie tylko o same procedury bezpieczeństwa, ale również o to, czy organizacja jest w stanie:

• wiarygodnie raportować incydenty,
• zachować integralność logów,
• oraz jednoznacznie odtworzyć przebieg zdarzeń.

A bez spójnej synchronizacji czasu może okazać się to znacznie trudniejsze, niż wielu operatorom wydaje się dzisiaj.

„Fałszywy alarm”, którego nikt nie potrafił wyjaśnić

Wyobraźmy sobie nowoczesny zakład wodociągowy wykorzystujący system SCADA, telemetrykę, monitoring jakości wody oraz zdalny dostęp serwisowy. Część infrastruktury synchronizuje czas z publicznych źródeł GPS/GNSS. Dochodzi do zakłócenia sygnału GNSS – na przykład spoofingu lub jammingu. System formalnie nadal działa. Nie dochodzi do zatrzymania infrastruktury. Operatorzy nie widzą jeszcze poważnej awarii.

Kilka godzin później zaczynają jednak obserwować alarmy pojawiające się w niewłaściwej kolejności, niespójne dane telemetryczne oraz problemy z ustaleniem chronologii zdarzeń.

Po incydencie organizacja musi przygotować raport dla CSIRT, regulatora lub audytorów. I właśnie wtedy okazuje się, że logi nie są spójne, a przebieg zdarzeń nie może zostać jednoznacznie odtworzony. Technicznie infrastruktura nadal działała. Ale organizacja traci możliwość wiarygodnego raportowania incydentu wymaganego przez NIS2.

To właśnie dlatego ENISA tak mocno podkreśla znaczenie integralności logów, monitorowania synchronizacji czasu oraz redundancji źródeł czasu.

Wodociągi coraz bardziej zależą od czasu

Podczas webinaru „Wodociągi pod ostrzałem” eksperci zwracali uwagę, że współczesne systemy wodociągowe są dziś znacznie bardziej cyfrowe i wzajemnie zależne niż jeszcze kilka lat temu. Granica pomiędzy automatyką, telemetryką, systemami IT, cyberbezpieczeństwem i raportowaniem praktycznie zanika. Jak padło podczas webinaru:

„Systemy układają się jak klocki domino, które delikatne przewrócenie może uruchomić reakcję lawinową bardzo poważnych awarii.”

To bardzo trafny opis współczesnych środowisk OT. Bo problem synchronizacji czasu przestaje być wyłącznie tematem działu IT. Coraz częściej staje się elementem bezpieczeństwa operacyjnego całej infrastruktury.

Spoofing GPS i jamming jako nowe ryzyko dla systemów OT wodociągów

Jeszcze kilka lat temu większość organizacji traktowała utratę synchronizacji czasu jako problem eksploatacyjny. Dziś coraz częściej mówi się o niej jako o nowym wektorze cyberataków. W publikacji „Desynchronizacja IT/OT infrastruktury krytycznej – jak monitorować i zapobiegać” autorstwa Tomasza Widomskiego pojawia się stwierdzenie:

„Desynchronizacja to cyberbroń przyszłości.”

Powód jest prosty. Współczesne wodociągi są coraz bardziej zależne od:

• cyfrowych systemów sterowania,
• SCADA,
• automatyki przemysłowej,
• telemetryki,
• oraz synchronizacji GNSS/GPS.

To sprawia, że spoofing GPS lub jamming mogą wpływać nie tylko na samą synchronizację czasu, ale również na:

• integralność logów,
• analizę incydentów,
• reakcję systemów alarmowych,
• oraz bezpieczeństwo operacyjne infrastruktury OT.

I właśnie dlatego temat zaczyna coraz częściej pojawiać się w kontekście cyberodporności oraz wymagań regulacyjnych.

Kiedy problemem staje się nie sama awaria, ale brak możliwości jej udowodnienia

Wyobraźmy sobie sytuację, w której wodociągi wykrywają podejrzaną aktywność w systemie OT. Operatorzy widzą anomalie w pracy infrastruktury i uruchamiają procedury bezpieczeństwa. Problem pojawia się później – podczas analizy incydentu. Część systemów działała z przesuniętym czasem. Logi z różnych urządzeń nie zgadzają się ze sobą. Alarmy zapisane są w innej kolejności niż rzeczywisty przebieg zdarzeń. Organizacja nie jest w stanie jednoznacznie odpowiedzieć:

• kiedy rozpoczął się incydent,
• które systemy zostały dotknięte jako pierwsze,
• oraz czy działania operatorów zostały podjęte we właściwym momencie.

W praktyce oznacza to problemy nie tylko techniczne, ale również regulacyjne.

W środowisku objętym NIS2 i KSC integralność logów oraz możliwość odtworzenia przebiegu incydentu zaczynają mieć coraz większe znaczenie podczas:

• raportowania do CSIRT,
• audytów,
• analiz regulatorów,
• oraz oceny „należytej staranności” organizacji.

I właśnie dlatego rekomendacje ENISA dotyczące synchronizacji czasu zaczynają mieć dziś bardzo praktyczny wymiar.

eCzasPL i synchronizacja czasu w wodociągach bez GPS

Rosnąca liczba zakłóceń GNSS w Europie sprawia, że coraz więcej operatorów infrastruktury krytycznej zaczyna zadawać pytanie:

Co stanie się z naszą synchronizacją czasu, jeśli GPS przestanie być dostępny?

Właśnie dlatego coraz większe znaczenie zyskuje system eCzasPL realizowany przez Główny Urząd Miar. To naziemny system dystrybucji czasu UTC(PL), który nie zależy od GNSS i pozwala budować większą odporność infrastruktury na utratę synchronizacji czasu. Dla wodociągów może to oznaczać większą odporność na:

• spoofing,
• jamming,
• utratę GPS,
• oraz problemy z integralnością logów i raportowaniem incydentów.

Synchronizacja czasu przestaje być „technicznym detalem”

Największym błędem może być dziś założenie, że synchronizacja czasu nadal pozostaje wyłącznie technicznym szczegółem infrastruktury. Wszystko wskazuje na to, że w najbliższych latach temat będzie coraz mocniej oceniany przez regulatorów, audytorów, CSIRT oraz zespoły compliance.

I właśnie dlatego rekomendacje ENISA, standardy odporności synchronizacji oraz krajowe inicjatywy takie jak eCzasPL zaczynają pełnić rolę praktycznych wytycznych wdrożeniowych dla operatorów wodociągów. Nie są jeszcze jednym obowiązkowym paragrafem. Ale coraz częściej stają się odpowiedzią na pytanie:

„Czy organizacja zrobiła wszystko, czego można było od niej racjonalnie oczekiwać?”