W ostatnich latach infrastruktura energetyczna przechodzi duże zmiany związane z wykorzystywaniem odnawialnych źródeł energii. Zarządzanie sieciami w celu zapewnienia trwałego bilansowania energii powoduje wzrost znaczenia cyfryzacji w tym obszarze. System cyberbezpieczeństwa jest złożony. To, co może działać w Internecie, niekoniecznie będzie odpowiednie w sektorze energetycznym. Na przykład istnieją komponenty energetyczne, takie jak wyłączniki, które muszą reagować tak szybko, że nie mają czasu na standardowe względy bezpieczeństwa, takie jak uwierzytelnianie polecenia lub szyfrowanie połączenia. To sprawia, że nowa, zdigitalizowana sieć energetyczna jest podatna na ataki. Dodatkowo, wiele elementów systemu energetycznego zostało zaprojektowanych i zbudowanych na długo przed dostrzeżeniem znaczenia bezpieczeństwa cybernetycznego. Infrastruktura ta musi teraz współdziałać z najnowocześniejszym sprzętem do automatyzacji i kontroli, takim jak na przykład inteligentne liczniki.
Ze względu na wyzwania, jakim musi sprostać sektor energetyczny, cyberbezpieczeństwo nabrało pierwszorzędnego znaczenia, a Komisja Europejska przyjęła zalecenie w tej sprawie.
1)Przed państwami członkowskimi zostały postawione wymagania dotyczące podjęcia określonych działań w celu zapewnienia bezpieczeństwa energetycznego w przypadku elementów systemu energetycznego, które pracują „w czasie rzeczywistym” – reagują na polecenia w ciągu kilku milisekund. W szczególności, operatorzy sieci energetycznych powinni:
- wdrożyć najnowsze standardy bezpieczeństwa dla nowych instalacji i rozważyć uzupełniające środki bezpieczeństwa fizycznego tam, gdzie starsze instalacje nie mogą być wystarczająco chronione przez mechanizmy cyberbezpieczeństwa,
- zastosować międzynarodowe standardy w zakresie cyberbezpieczeństwa i adekwatne standardy techniczne dla bezpiecznej komunikacji w czasie rzeczywistym, gdy tylko odpowiednie produkty staną się dostępne na rynku,
- podzielić cały system na strefy oraz w każdej z nich zdefiniować czas i ograniczenia procesowe w celu umożliwienia zastosowania odpowiednich środków dla zapewnienia cyberbezpieczeństwa lub rozważyć alternatywne metody ochrony.
Dodatkowo, jeśli to możliwe, operatorzy powinni także: wybrać bezpieczny protokół komunikacyjny na przykład między instalacją a jej systemami zarządzania oraz wprowadzić odpowiedni mechanizm uwierzytelniania dla komunikacji między urządzeniami.
2) Odpowiednie działania zostały zaproponowane też w odniesieniu do tzw. efektów kaskadowych. Sieci elektroenergetyczne i gazowe w całej Europie są ze sobą silnie połączone, dlatego też atak cybernetyczny w jednej części systemu może wywołać zakłócenia w innym obszarze. W zakresie tym operatorzy powinni:
- upewnić się, że nowe urządzenia, w tym w obszarze Internetu rzeczy osiągną i będą utrzymywały odpowiedni poziom cyberbezpieczeństwa,
- ustalić kryteria projektowe i architekturę elastycznej sieci, co może być osiągnięte poprzez: – identyfikację węzłów krytycznych, zarówno pod względem mocy produkcyjnych, jak i wpływu na konsumenta, – współpracę z innymi operatorami i dostawcami technologii i podjęcie działań w celu zapobieżenia efektom kaskadowym, – projektowanie oraz budowanie sieci komunikacyjnych i kontrolnych tak, żeby możliwie ograniczyć ryzyko zaistnienia zakłóceń oraz zapewnić sprawne łagodzenie negatywnych skutków, jeśli wystąpią.
3) W systemie energetycznym istnieją dwa rodzaje technologii – starsza, która osiąga żywotność od 30 do 60 lat oraz nowoczesna, korzystająca z najnowszych rozwiązań i inteligentnych urządzeń. Kluczowe jest rozwijanie systemu w kierunku zastosowania coraz bardziej zaawansowanych mechanizmów. Przed operatorami sieci energetycznych postawiono zadania:
- przeanalizowania ryzyk i luk w zabezpieczeniach, w szczególności tych, które mogą wystąpić przy łączeniu starszych technologii z nowymi;
- podjęcia odpowiednich środków chroniących przed złośliwymi atakami na dużą skalę;
- wprowadzenia zautomatyzowanych funkcji monitorowania sytuacji stanowiących potencjalne zagrożenie, takich jak nieudane próby logowania czy odbezpieczenia alarmów,
- zaktualizowania oprogramowania do najnowszej wersji; operatorzy sieci energetycznych powinni rozważyć zastosowanie środków uzupełniających, takich jak segregacja lub dodanie zewnętrznych barier bezpieczeństwa wszędzie tam, gdzie oprogramowanie powinno zostać zaktualizowane, ale jest to niemożliwe ze względu na przykład na nieobsługiwanie danych produktów;
- organizowania przetargów z myślą o zapewnieniu cyberbezpieczeństwa poprzez np. stawianie wymagań dotyczących spełniania określonych standardów dot. cyberbezpieczeństwa.
Państwa członkowskie powinny w ciągu 12 miesięcy od dnia przyjęcia Zalecenia, czyli od 3 kwietnia 2019 roku, przekazać Komisji Europejskiej szczegółowe informacje o stanie jego implementacji. Później obowiązek ten musi być realizowany co dwa lata.
Pełna treść zalecenia w sprawie bezpieczeństwa cybernetycznego w sektorze energetycznym: recommendation_on_cybersecurity_in_the_energy_sector (pdf)
Autor: Agata Szafrańska, Wawrzynowicz &Wspólnicy sp. k.