W dniu 9.10.2023 roku, w restauracji Flaming & Co odbyło się spotkanie prasowe, na którym została poruszona tematyka cyberbezpieczeństwa sieci energetycznych w kontekście masowej wymiany liczników inteligentnych.
Eksperci i dziennikarze
Organizatorem spotkania była firma Apator, która zaprosiła dziennikarzy i redaktorów, a także przedstawicieli oraz ekspertów z branży cyberbezpieczeństwa energetycznego. W wydarzeniu wzięli udział m.in. Maciej Wyczesany, Prezes Zarządu Apator, Artut Bratkowski, Dyrektor ds. Aparatury i Systemów Pomiarowych czy Łukasz Zaworski, Dyrektor ds. Rozwoju Aparatury i Systemów Pomiarowych. Gościem specjalnym był specjalista w dziedzinie cyberbezpieczeństwa Krzysztof Dyki, Prezes Zarządu ComCERT.
Ekspertyza
Głównym tematem wydarzenia była kwestia cyberbezpieczeństwa sieci energetycznych w kontekście masowej wymiany liczników inteligentnych. Wspomniane zagadnienie zostało wcześniej wnikliwie przeanalizowane przez grono ekspertów, czego efektem było stworzenie materiału eksperckiego zatytułowanego „Zagrożenia dla cyberbezpieczeństwa inteligentnych sieci w Polsce w związku z rolloutem liczników smart”.
Ekspertyza zawiera analizę głównych czynników ryzyka oraz potencjalnych skutków ataków dla infrastruktury o bezpieczeństwa sieci wraz z rekomendacjami rozwiązań regulacyjnych i technicznych mających na celu poprawę cyberbezpieczeństwa w sektorze energetycznym. Celem dokumentu są diagnoza zjawiska suwerenności technologicznej w kontekście bezpieczeństwa energetycznego Polski, a w szczególności analiza, jak technologiczna suwerenność manifestuje się w sektorze energetycznym na przykładzie inteligentnych liczników energii, jakie wynikają z tego zagrożenia i ryzyko dla Krajowego Systemu Elektroenergetycznego, a także przedstawienie propozycji minimalizacji tego ryzyka.
Wypowiedzi ekspertów i przedstawicieli
Zgromadzeni na spotkaniu goście mogli zapoznać się z treścią wspomnianego dokumentu oraz jego kluczowymi elementami. Co ważne, zarówno przedstawiciele firmy Apator, jak i ekspert Krzysztof Dyki podkreślali, że ekspertyza nie jest skierowana przeciwko jakiejkolwiek firmie. Przedstawia jedynie obiektywnie rosnące ryzyko dla łańcucha dostaw bez względu na kraj pochodzenia dostawcy lub jego powiązania biznesowe.
Inteligentne liczniki – korzyści i zagrożenia
Rozwój polskiej energetyki oraz postępujący proces jej informatyzacji, skutkuje większą podatnością świadczonych usług na zagrożenia cyberbezpieczeństwa. Zmiany Prawa energetycznego wprowadzone w 2021 r. określają nie tylko kierunek rozwoju polskiego systemu energetycznego, ale także umożliwią dalszą bezpieczną integrację odnawialnych źródeł energii w systemie oraz wykorzystanie synergii w sektorze. Jednak, co kluczowe z punktu widzenia cyberbezpieczeństwa, przygotowane rozwiązania są niezbędnym punktem wyjścia do transformacji sektora energetycznego, opartej m.in. o jego cyfryzację, inteligentne sieci i liczniki zdalnego odczytu, a także tworzą ramy prawne dla funkcjonowania systemu inteligentnego opomiarowania w elektroenergetyce.
Inwestycje w rozwój inteligentnych sieci, w tym liczniki zdalnego odczytu, stanowią ogólny kierunek przyjęty w Unii Europejskiej, skutkujący powstaniem obowiązku instalacji przez operatorów systemów dystrybucyjnych do końca 2028 roku liczników inteligentnych u co najmniej 80% odbiorców końcowych.
Inteligentne liczniki oferują niezaprzeczalne korzyści, w postaci efektywniejszego zarządzania, bieżącego monitorowania zużycia oraz zrównoważonego jej wykorzystania. Istnieje jednak zagrożenie w postaci nieodpowiedniego zabezpieczenia tych liczników lub ich części składowych przez ich producentów lub dostawców z krajów wysokiego ryzyka. Przykładowo, dzięki wbudowanemu stycznikowi, inteligentne liczniki umożliwiają zdalne odłączenie konsumenta od dostaw energii elektrycznej, co wiąże się z ryzykiem ataku wykorzystującego oscylacje obciążenia przy masowym odłączeniu odbiorców i w efekcie destabilizację krajowej sieci energetycznej. Dodatkowo urządzenia tego typu mogą dostarczyć informacji służących do profilowania odbiorców, co z kolei niesie ze sobą ryzyko naruszenia prywatności konsumenta.
Rekomendacje
Mając to na uwadze powyższe, twórcy ekspertyzy wskazują, że nie można zagwarantować cyberbezpieczeństwa bez właściwie i instytucjonalnie zapewnionego bezpieczeństwa łańcucha dostaw. Konieczne jest posiadanie przez państwo stosownych, skutecznych instrumentów prawnych i technicznych i to nie tylko w sektorze energii elektrycznej, ale w całym obszarze gospodarki czy życia obywateli, jednak ze szczególnie wzmocnioną odpornością w sektorze publicznym oraz infrastrukturze krytycznej. Dlatego ekspertyza jest formą apelu o wprowadzenie nieodzownych a oczekiwanych, odpowiedzialnych i efektywnych działań, aby zapewnić przyszłość, która ma być zarówno nowoczesna,
bezpieczna, jak i zrównoważona.
Propozycje minimalizacji ryzyka związanego z łańcuchem dostaw:
- wprowadzenie schematów certyfikacyjnych dla komponentów AMI, w tym w szczególności liczników inteligentnych,
- wdrożenie przepisów regulujących lub wykluczających dostawców wysokiego ryzyka z rynku liczników inteligentnych,
- wspólne porozumienia OSD w zakresie bezpieczeństwa komponentów AMI,
- wprowadzenie zasady obligatoryjnego podziału dostarczanych w ramach przetargu urządzeń,
- opracowanie metodyki i narzędzi testowania wymagań bezpieczeństwa,
- wprowadzenie ścisłych regulacji prawnych określających odpowiedzialność dostawców za zabezpieczenie łańcucha dostaw,
- nowelizacja Prawa Zamówień Publicznych,
- rekomendacje Pełnomocnika ds. Cyberbezpieczeństwa dotyczące dostawców wysokiego ryzyka w obszarze inteligentnych liczników energii.
Rekomendowane działania w zakresie minimalizacji ryzyka związanego z łańcuchem dostaw:
- w trybie pilnym – zmiana Ustawy o krajowym systemie cyberbezpieczeństwa (UKSC), obejmująca m.in.:
- wymaganie wdrożenia przez dostawców rozwiązań pomiarowych dla energetyki Systemu Zarządzania Bezpieczeństwem Informacji (SZBI),
- realizacja ściśle określonych wymagań bezpieczeństwa przez dostawców rozwiązań pomiarowych dla energetyki,
- wymóg audytów zgodności z UKSC w akredytowanych jednostkach certyfikujących lub upoważnionych podmiotach;
- docelowo – weryfikacja dostawców rozwiązań pomiarowych dla energetyki w oparciu o tzw. „lekkie” schematy certyfikacji w akredytowanych laboratoriach i jednostkach certyfikujących.
Podsumowując, rekomenduje się, aby w krajowym systemie energetycznym nie stosować urządzeń lub oprogramowania pochodzących spoza Europejskiego Obszaru Gospodarczego, co w znaczący sposób zredukuje ryzyko dla łańcucha dostaw liczników zdalnego odczytu i przyczyni się do bezpieczeństwa krajowej sieci energetycznej w dzisiejszym, niezwykle wymagającym i niepewnym otoczeniu geopolitycznym i makroekonomicznym.
Pełną wersja ekspertyzy jest dostępna TUTAJ!
Publikacja artykułu: październik 2023 r.
