"Kręgosłup gospodarki" na celowniku. Przestępcy szukają słabych punktów

• Cyberbezpieczeństwo w energetyce przestało być dodatkiem do inwestycji. Dziś jest jednym z warunków stabilnej pracy operatorów i bezpiecznych dostaw energii.
• Uczestnicy debaty "Cyberbezpieczeństwo sektora energetycznego" zwracali uwagę podczas CYBERSEC EXPO & FORUM, że ryzyko zaczyna się już na etapie wyboru technologii: znaczenie mają pochodzenie urządzeń, certyfikacja komponentów, sposób aktualizacji i realna kontrola nad dostawcami.
• Regulacje mają nadążać za cyfrową energetyką, ale nie powinny zamykać branży w sztywnych rozwiązaniach technicznych. Kluczowe ma być zapewnienie ciągłości usług, niezależnie od tego, kto i gdzie utrzymuje dany element systemu.

- Energetyka jest kręgosłupem nowoczesnej gospodarki - podkreślił minister energii Miłosz Motyka w liście odczytanym podczas CYBERSEC EXPO & FORUM przez Aleksandrę Walter, dyrektor Departamentu Cyfryzacji i Bezpieczeństwa w resorcie energii.

Jak wskazał minister, transformacja energetyczna, rozwój odnawialnych źródeł energii, cyfryzacja sieci oraz coraz ściślejsza integracja systemów OT i IT otwierają przed sektorem nowe możliwości. Jednocześnie jednak tworzą kolejne pola podatności i „generują nowe wektory zagrożeń”.

Pokazały to grudniowe cyberataki na infrastrukturę energetyczną w Polsce - wymierzone m.in. w farmy wiatrowe i fotowoltaiczne oraz elektrociepłownię. Ich przebieg potwierdził, że atak nie musi uderzać w samo centrum systemu, by wywołać poważne skutki. Coraz częściej wystarczy słabszy punkt na jego obrzeżach: farma OZE, inteligentny licznik, moduł komunikacyjny, zdalny dostęp albo element łańcucha dostaw.

Zmieniły się reguły gry w sektorze energetycznym

Polska energetyka, przez dekady oparta na dużych aktywach, staje się rozproszoną, cyfrową siecią zależności. Przybywa farm fotowoltaicznych, instalacji wiatrowych, inteligentnych liczników, urządzeń po stronie odbiorców, punktów ładowania i systemów zdalnego sterowania. Każdy z tych elementów może zwiększać elastyczność systemu, ale też powierzchnię ataku.

Gra jest inna. Nie trzeba już atakować jednostek centralnych, największej generacji. Grudniowe ataki dotyczyły obrzeży systemu, czyli farm wiatrowych, farm fotowoltaicznych - mówił Radosław Dumański, ekspert w CERT PSE, Polskie Sieci Elektroenergetyczne.

Dla PSE kluczowe jest to, czy incydent może zagrozić stabilności pracy krajowej sieci, czyli wywołać efekt kaskadowy.

Grudniowe incydenty nie wywołały poważnych skutków dla sieci przesyłowej, ale pokazały znaczenie czasu reakcji, procedur odtworzeniowych i łączności.

- Bez łączności jesteśmy ślepi i niemocni. Nie możemy wtedy nic zrobić - mówił przedstawiciel PSE.

Kraj pochodzenia ma znaczenie

Jednym z najbardziej wrażliwych miejsc jest dziś energetyka rozproszona. Polska zbudowała fotowoltaikę w szybkim tempie. Wraz z mocami w systemie pojawiły się jednak setki tysięcy urządzeń: inwerterów, modułów komunikacyjnych, sterowników i systemów zdalnego nadzoru.

Problem polega nie tylko na ich liczbie, ale też na pochodzeniu komponentów, wpływie na oprogramowanie i wiedzy operatorów o podatnościach.

- Przez lata dopuszczano do pracy urządzenia, które nie spełniały większości certyfikacji. Dziś widzimy tego skutki - ocenił Tomasz Małecki, wiceprezes PGE Dystrybucja, wskazując m.in. na chińskie inwertery.

Kraj pochodzenia sprzętu i komponentów przekłada się na możliwość kontroli nad łańcuchem dostaw. Operatorzy muszą wiedzieć, jakie elementy pracują w systemie, jak się komunikują, kto może je aktualizować i czy zabezpieczenia są faktyczne.

Paradygmat, że cyberbezpieczeństwo to koszt, odszedł już do przeszłości. Cyberbezpieczeństwo jest częścią normalnego funkcjonowania - mówił przedstawiciel PGE Dystrybucja.

Licznik przestał być prostym urządzeniem

Podobna zmiana dotyczy inteligentnego opomiarowania. Do 2030 r. zdalne liczniki mają trafić do wszystkich odbiorców energii, co oznacza blisko 20 mln urządzeń komunikujących się z systemem.

- Licznik energii przeszedł dużą transformację, dziś ma znacznie więcej funkcji niż tylko pomiar. Operator ma możliwość zarządzać urządzeniem, szybko reagować na potrzeby klienta. To dobre, proklienckie rozwiązanie. Ale to niesie ogromną odpowiedzialność - mówił Mariusz Jurczyk, prezes Tauron Dystrybucja Pomiary.

Przy takiej skali nie wystarczy zaufać deklaracjom producentów. Operatorzy muszą znać budowę urządzenia, sposób szyfrowania, aktualizacji i odpowiedzialności za cały cykl życia licznika.

- Idziemy do źródła, sprawdzamy, z czego składa się urządzenie pomiarowe. Prosimy dostawców o dokumentację, by zweryfikować elementy wewnątrz urządzenia. Sprawdzamy, czy szyfrowanie i zabezpieczenia są rzeczywiste - wskazał Jurczyk.

Łańcuch dostaw jest częścią bezpieczeństwa

Im bardziej cyfrowa staje się energetyka, tym trudniej oddzielić operatora od dostawców, wykonawców i serwisantów. Sprzęt, oprogramowanie, integracja i utrzymanie są dziś częścią bezpieczeństwa systemu.

Marek Pisarczyk, kierownik Działu Telekomunikacji w Victor Energy, podkreślił, że rola wykonawcy w energetyce coraz częściej obejmuje także odpowiedzialność za cyberbezpieczeństwo obiektu.

Staramy się integrować systemy na obiekcie, nie tylko stawiać transformator, pole, ogrodzenie, ale implementować systemy bezpieczeństwa, doprowadzić urządzenia do stanu, by komunikacja z systemami nadzorczymi była bezpieczna - mówił Pisarczyk.

Zagrożeniem bywa nie tylko zaawansowany atak, ale też banalne zaniedbanie: domyślne hasło, fabryczna konfiguracja, źle zabezpieczony dostęp zdalny, brak testów odbiorowych czy niepełna dokumentacja.

Cyberodporności nie da się oderwać także od fizycznego stanu infrastruktury. - Co z tego, że mamy czujki wibracyjne, jeśli drzwi są przerdzewiałe i same wibrują? - pytał Pisarczyk.

Regulacje próbują nadążyć za zmianami

Państwo próbuje dostosować przepisy do zmieniającej się energetyki, w której coraz więcej zależy od dostawców technologii, serwisu, oprogramowania i komunikacji między urządzeniami.

Aleksandra Walter, dyrektor Departamentu Cyfryzacji i Bezpieczeństwa w Ministerstwie Energii wskazał, że taki kierunek widać przy wdrażaniu dyrektywy CER i nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa: chodzi o przejście od ochrony konkretnych obiektów do ochrony ciągłości usług kluczowych.

- Obecna ustawa skupia się na urządzeniach, obiektach, systemach, sieciach, usługach. Nowa ustawa skupia się na usługach kluczowych i pojęciu podmiotu krytycznego, który musi zapewnić ciągłość świadczenia usługi kluczowej bez względu na lokalizację - mówił Walter.

W energetyce bezpieczeństwo dostaw energii nie kończy się na majątku operatora. Trzeba brać pod uwagę także tych, którzy dostarczają technologię, serwisują urządzenia i utrzymują systemy. - Te regulacje dotyczą całego łańcucha dostaw, od dostawców technologii po serwis i podmioty utrzymujące infrastrukturę - podkreśliła przedstawicielka Ministerstwa Energii.

Prawo nie powinno jednak szczegółowo opisywać każdego rozwiązania technicznego. W energetyce technologia zmienia się szybciej niż przepisy.

Złotym środkiem jest określenie celu przy minimalnym zachowaniu bezpieczeństwa a nie konkretnych rozwiązań - mówił Walter.

AI pomoże bronić sieci, ale przeciwnik też z niej korzysta

Nowym polem ryzyka jest sztuczna inteligencja. Energetyka od lat korzysta z niej w predykcji awarii czy wykrywaniu anomalii, ale generatywna AI otwiera kolejne zastosowania: wsparcie pracowników terenowych, diagnostykę urządzeń czy analizę dokumentacji.

PGE Dystrybucja testuje rozwiązania związane m.in. z AI, kryptografią kwantową i technologiami kwantowymi. Tomasz Małecki podkreśla jednak, że dane i modele muszą pozostawać pod kontrolą operatora. - AI musi być wykorzystywana z głową, zawsze on premise na naszych serwerach, nie dawać innym do wykorzystania - mówi.

Tauron widzi potencjał generatywnej AI w pracy służb terenowych i serwisowych, ale również tu kluczowe pozostaje bezpieczne projektowanie.

Nowe technologie i AI wymagają sensownej i bezpiecznej implementacji, na przykład edge computing, który musi być dobrze zabezpieczony - mówi Mariusz Jurczyk.

Problem w tym, że AI nie jest narzędziem wyłącznie dla obrońców. Korzystają z niej również atakujący. Może im pomagać w analizie podatności, automatyzacji działań i tworzeniu złośliwego oprogramowania.

- Napastnicy nie mają skrupułów i używają sztucznej inteligencji. Elementy AI pojawiły się już w grudniowych atakach, a jeden z użytych wiperów został wygenerowany z pomocą modelu językowego. Nie był to kod wysokiej jakości, ale sam fakt pokazuje, że cyberprzestępcy sięgają po tego typu narzędzia. Jeśli przeciwnik korzysta z coraz bardziej zaawansowanego uzbrojenia, sektor odpowiedzialny za bezpieczeństwo infrastruktury krytycznej nie może pozostawać przy mniej skutecznych środkach obrony - ostrzegał Radosław Dumański.

Energetyka będzie coraz bardziej rozproszona, cyfrowa i zautomatyzowana. Tego procesu nie da się zatrzymać, ale można go lepiej zabezpieczyć.

Zobacz zapis całej sesji: