cybebezpieczeństwo

Komisja Europejska przyjęła zalecenie w sprawie bezpieczeństwa cybernetycznego w sektorze energetycznym

Aktualności, Energetyka, , , Możliwość komentowania Komisja Europejska przyjęła zalecenie w sprawie bezpieczeństwa cybernetycznego w sektorze energetycznym została wyłączona

W ostatnich latach infrastruktura energetyczna przechodzi duże zmiany związane z wykorzystywaniem odnawialnych źródeł energii. Zarządzanie sieciami w celu zapewnienia trwałego bilansowania energii powoduje wzrost znaczenia cyfryzacji w tym obszarze. System cyberbezpieczeństwa jest złożony. To, co może działać w Internecie, niekoniecznie będzie odpowiednie w sektorze energetycznym. Na przykład istnieją komponenty energetyczne, takie jak wyłączniki, które muszą reagować tak szybko, że nie mają czasu na standardowe względy bezpieczeństwa, takie jak uwierzytelnianie polecenia lub szyfrowanie połączenia. To sprawia, że ​​nowa, zdigitalizowana sieć energetyczna jest podatna na ataki. Dodatkowo, wiele elementów systemu energetycznego zostało zaprojektowanych i zbudowanych na długo przed dostrzeżeniem znaczenia bezpieczeństwa cybernetycznego. Infrastruktura ta musi teraz współdziałać z najnowocześniejszym sprzętem do automatyzacji i kontroli, takim jak na przykład inteligentne liczniki.

Ze względu na wyzwania, jakim musi sprostać sektor energetyczny, cyberbezpieczeństwo nabrało pierwszorzędnego znaczenia, a Komisja Europejska przyjęła zalecenie w tej sprawie.

1)Przed państwami członkowskimi zostały postawione wymagania dotyczące podjęcia określonych działań w celu zapewnienia bezpieczeństwa energetycznego w przypadku elementów systemu energetycznego, które pracują „w czasie rzeczywistym” – reagują na polecenia w ciągu kilku milisekund. W szczególności, operatorzy sieci energetycznych powinni:

  • wdrożyć najnowsze standardy bezpieczeństwa dla nowych instalacji i rozważyć uzupełniające środki bezpieczeństwa fizycznego tam, gdzie starsze instalacje nie mogą być wystarczająco chronione przez mechanizmy cyberbezpieczeństwa,
  • zastosować międzynarodowe standardy w zakresie cyberbezpieczeństwa i adekwatne standardy techniczne dla bezpiecznej komunikacji w czasie rzeczywistym, gdy tylko odpowiednie produkty staną się dostępne na rynku,
  • podzielić cały system na strefy oraz w każdej z nich zdefiniować czas i ograniczenia procesowe w celu umożliwienia zastosowania odpowiednich środków dla zapewnienia cyberbezpieczeństwa lub rozważyć alternatywne metody ochrony.

Dodatkowo, jeśli to możliwe, operatorzy powinni także: wybrać bezpieczny protokół komunikacyjny na przykład między instalacją a jej systemami zarządzania oraz wprowadzić odpowiedni mechanizm uwierzytelniania dla komunikacji między urządzeniami.

2) Odpowiednie działania zostały zaproponowane też w odniesieniu do tzw. efektów kaskadowych. Sieci elektroenergetyczne i gazowe w całej Europie są ze sobą silnie połączone, dlatego też atak cybernetyczny w jednej części systemu może wywołać zakłócenia w innym obszarze. W zakresie tym operatorzy powinni:

  • upewnić się, że nowe urządzenia, w tym w obszarze Internetu rzeczy osiągną i będą utrzymywały odpowiedni poziom cyberbezpieczeństwa,
  • ustalić kryteria projektowe i architekturę elastycznej sieci, co może być osiągnięte poprzez: – identyfikację węzłów krytycznych, zarówno pod względem mocy produkcyjnych, jak i wpływu na konsumenta, – współpracę z innymi operatorami i dostawcami technologii i podjęcie działań w celu zapobieżenia efektom kaskadowym, – projektowanie oraz budowanie sieci komunikacyjnych i kontrolnych tak, żeby możliwie ograniczyć ryzyko zaistnienia zakłóceń oraz zapewnić sprawne łagodzenie negatywnych skutków, jeśli wystąpią.

3) W systemie energetycznym istnieją dwa rodzaje technologii – starsza, która osiąga żywotność od 30 do 60 lat oraz nowoczesna, korzystająca z najnowszych rozwiązań i inteligentnych urządzeń. Kluczowe jest rozwijanie systemu w kierunku zastosowania coraz bardziej zaawansowanych mechanizmów. Przed operatorami sieci energetycznych postawiono zadania:

  • przeanalizowania ryzyk i luk w zabezpieczeniach, w szczególności tych, które mogą wystąpić przy łączeniu starszych technologii z nowymi;
  • podjęcia odpowiednich środków chroniących przed złośliwymi atakami na dużą skalę;
  • wprowadzenia zautomatyzowanych funkcji monitorowania sytuacji stanowiących potencjalne zagrożenie, takich jak nieudane próby logowania czy odbezpieczenia alarmów,
  • zaktualizowania oprogramowania do najnowszej wersji; operatorzy sieci energetycznych powinni rozważyć zastosowanie środków uzupełniających, takich jak segregacja lub dodanie zewnętrznych barier bezpieczeństwa wszędzie tam, gdzie oprogramowanie powinno zostać zaktualizowane, ale jest to niemożliwe ze względu na przykład na nieobsługiwanie danych produktów;
  • organizowania przetargów z myślą o zapewnieniu cyberbezpieczeństwa poprzez np. stawianie wymagań dotyczących spełniania określonych standardów dot. cyberbezpieczeństwa.

Państwa członkowskie powinny w ciągu 12 miesięcy od dnia przyjęcia Zalecenia, czyli od 3 kwietnia 2019 roku, przekazać Komisji Europejskiej szczegółowe informacje o stanie jego implementacji. Później obowiązek ten musi być realizowany co dwa lata.

Pełna treść zalecenia w sprawie bezpieczeństwa cybernetycznego w sektorze energetycznym: recommendation_on_cybersecurity_in_the_energy_sector (pdf)

Autor: Agata Szafrańska, Wawrzynowicz &Wspólnicy sp. k.

Przedsiębiorstwa energetyczne częścią krajowego systemu cyberbezpieczeństwa

Aktualności, Elektroenergetyka, Energetyka, Gaz, , , Możliwość komentowania Przedsiębiorstwa energetyczne częścią krajowego systemu cyberbezpieczeństwa została wyłączona

Zaledwie po 14 dniach od dnia ogłoszenia, czyli 28 sierpnia 2018 r., weszła w życie Ustawa o krajowym systemie cyberbezpieczeństwa. Celem regulacji jest zapewnienie niezakłóconego świadczenia usług kluczowych i usług cyfrowych przez osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych. Konsultacje publiczne projektu ustawy trwały około miesiąc, a swoje uwagi złożyło prawie 30 podmiotów. Szereg spostrzeżeń przedstawiły też w ramach opiniowania organy i instytucje państwowe.

Zakres podmiotowy

Krajowy system cyberbezpieczeństwa obejmuje między innymi operatorów usług kluczowych. Zgodnie z art. 5 ustawy są nimi podmioty wymienione w załączniku nr 1 do ustawy, posiadające jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej, wobec których organ właściwy do spraw cyberbezpieczeństwa wydał decyzję o uznaniu za operatora usługi kluczowej. Dla wydania takiej decyzji muszą zostać spełnione następujące przesłanki:

  • podmiot świadczy usługę kluczową;
  • świadczenie tej usługi zależy od systemów informacyjnych;
  • incydent miałby istotny skutek zakłócający dla świadczenia usługi kluczowej przez tego operatora.

To, czy skutek jest „istotny” będzie się oceniać na podstawie odpowiednich progów określonych w rozporządzeniu Rady Ministrów.

W załączniku do ustawy w ramach sektora „Energia” wymienia się następujące podsektory: wydobywanie kopalin, energia elektryczna, ciepło, ropa naftowa, gaz, dostawy i usługi dla sektora energii oraz jednostki nadzorowane i podległe (jednostki organizacyjne podległe ministrowi właściwemu do spraw energii lub przez niego nadzorowane oraz jednostki organizacyjne podległe ministrowi właściwemu do spraw gospodarki złożami kopalin lub przez niego nadzorowane). Dokładniej, wśród rodzajów podmiotów mogących zostać uznanymi za operatora usługi kluczowej znajdują się między innymi:

  • przedsiębiorstwa energetyczne posiadające koncesję na wykonywanie działalności gospodarczej w zakresie wytwarzania, przesyłania, dystrybucji, przetwarzania albo magazynowania energii elektrycznej, a także obrotu energią elektryczną;
  • przedsiębiorstwa energetyczne posiadające koncesję na wykonywanie działalności gospodarczej w zakresie wytwarzania, przesyłania, dystrybucji ciepła, a także obrotu ciepłem;
  • przedsiębiorstwa energetyczne prowadzące działalność w zakresie wytwarzania paliw gazowych, posiadające koncesję na wykonywanie działalności gospodarczej w zakresie przesyłania paliw gazowych, na wykonywanie działalności gospodarczej w zakresie obrotu gazem ziemnym z zagranicą lub na wykonywanie działalności gospodarczej w zakresie obrotu paliwami gazowymi;
  • przedsiębiorstwa energetyczne będące wyznaczonym przez Prezesa Urzędu Regulacji Energetyki operatorem systemu przesyłowego gazowego, operatorem systemu dystrybucyjnego gazowego, operatorem systemu magazynowania paliw gazowych albo operatorem systemu skraplania gazu ziemnego;
  • przedsiębiorstwa energetyczne posiadające koncesję na wykonywanie działalności gospodarczej w zakresie wytwarzania, przesyłania, przeładunku czy magazynowania paliw ciekłych, a także w zakresie obrotu paliwami ciekłymi lub w zakresie obrotu paliwami ciekłymi z zagranicą;
  • podmioty prowadzące działalność gospodarczą w zakresie magazynowania, przesyłania, przeładunku ropy naftowej czy wytwarzania paliw syntetycznych.

Obowiązki dla przedsiębiorstw z sektora energetycznego

Wśród obowiązków operatora usługi kluczowej należy wskazać:

  • wdrożenie systemu zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej,
  • wyznaczenie osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa,
  • zapewnienie użytkownikowi usługi kluczowej dostęp do wiedzy w zakresie zagrożeń cyberbezpieczeństwa,
  • opracowanie, wdrożenie i aktualizację dokumentacji cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej,
  • obsługę incydentów, zgłaszanie incydentów poważnych i współdziałanie przy obsłudze incydentu poważnego i incydentu krytycznego,
  • powołanie wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo lub zawarcie umowy z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa,
  • zapewnienie przeprowadzenia, co najmniej raz na 2 lata, audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, zwanego dalej „audytem”.

Dodatkowe koszty

Zgodnie z Oceną Skutków Regulacji w przypadku konieczności zatrudnienia osoby odpowiedzialnej za kwestie bezpieczeństwa teleinformatycznego, przedsiębiorcy będą musieli się liczyć z kosztem od 5.000 zł do 10.000 zł brutto. Wartość ta jest zależna od kwalifikacji i obowiązków pracownika oraz od wielkości przedsiębiorcy. Koszt został policzony dla zatrudnienia 6 pracowników. Do tego należy doliczyć wydatki związane z utworzeniem operacyjnego centrum bezpieczeństwa (SOC) – szacunkowo 1 mln zł oraz jego utrzymaniem – szacunkowo 2 mln zł, przy czym kwota ta może się zmienić w przypadku utworzenia sektorowego SOC albo skorzystania z komercyjnych usług podmiotu działającego na rynku.

Dodatkowe koszty wiążą się też z przeprowadzeniem audytu zewnętrznego. Szacuje się, że koszt jednostkowy jego wykonania wyniesie 50 tys. zł. Audyt po raz pierwszy będzie przeprowadzony w roku 2019, a następnie co 2 lata.

Cyberbezpieczeństwo w pozostałych krajach UE

Ustawa o krajowym systemie cyberbezpieczeństwa wpisuje się w cel 5 Krajowych Ram Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017-2022 – Osiągnięcie zdolności do skoordynowanych w skali kraju działań służących zapobieganiu, wykrywaniu, zwalczaniu oraz minimalizacji skutków incydentów naruszających bezpieczeństwo systemów informacyjnych istotnych dla funkcjonowania państwa. Implementuje także Dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dz. Urz. UE L 194 z 19.07.2016, str. 1). Dyrektywa 2016/1148 jest w trakcie transpozycji w innych państwach członkowskich UE, jednak w wielu z nich wprowadzono już różnorodne rozwiązania w zakresie zapewnienia cyberbezpieczeństwa. Jednym z pierwszych krajów, które podjęły tego typu działania jest Francja. Polityka w zakresie ochrony systemów teleinformatycznych jest prowadzona przez premiera za pośrednictwem Agencji Bezpieczeństwa Systemów Informacyjnych (Agence nationale de la sécurité des systèmes d’information „ANSSI”). W Niemczech zalecenia Dyrektywy zaimplementowano już w 2015 roku. Funkcję federalnego urzędu ds. bezpieczeństwa pełni tam BSI (Bundesamt für Sicherheit in der Informationstechnik). Do jego zadań należy bieżąca analiza zagrożeń, przygotowywanie środków do ich zwalczania oraz zabezpieczanie przed nimi gospodarki. W ramach BSI funkcjonuje Cyber-Abwehrzentrum (Cyber-AZ), którego zadaniem jest koordynacja ochrony cyberprzestrzeni w Niemczech poprzez wczesne ostrzeganie, informację i prewencję. W Finlandii ochronę cyberprzestrzeni mają zapewnić poszczególne jednostki administracji w oparciu o przygotowane plany działania, które powstają na podstawie sporządzanych analiz ryzyka. Może je przeprowadzić narodowy regulator telekomunikacyjny (FICORA) albo akredytowane przez niego jednostki. W Holandii od 2012 roku funkcjonuje Narodowe Centrum Cyberbezpieczeństwa (NCSC), a w Wielkiej Brytanii organizacja o tej samej nazwie, ale od 2017 roku. NCSC, organizacyjnie, jest częścią brytyjskiej agencji wywiadu i bezpieczeństwa (Government Communications Headquarters – GCHQ).

Znaczenie

Cyberprzestrzeń stanowi niezmiernie istotny obszar nowoczesnej gospodarki i wpływa bezpośrednio na bezpieczeństwo obywateli oraz przedsiębiorców. Dlatego też konieczność stanowiło przyjęcie regulacji prawnych pozwalających na budowanie oraz rozwój polityki ochrony cyberprzestrzeni. Z pewnością jednak utrudnienie dla wdrożenia przepisów Ustawy stanowi fakt, że weszła ona w życie zaledwie po 14 dniach od dnia publikacji.

Autor: Agata Szafrańska, Kancelaria Wawrzynowicz & Wspólnicy Sp.k.