Cyberbezpieczeństwo prosumentów jest zagadnieniem niezwykle istotnym z punktu widzenia działania systemu elektroenergetycznego. Które elementy mikroinstalacji OZE podatne są na cyberzagrożenia? Jak w odparciu ataków pomogą „Rekomendacje dotyczące cyberbezpieczeństwa dla prosumentów OZE”? Czy zgadzają się z nimi dostawcy technologii?

Izabela Żylińska

Razem dla bezpieczeństwa prosumentów

Już od wielu lat w przestrzeni publicznej systematycznie omawiany jest temat cyberbezpieczeństwa energetyki. W szczególności głośno jest o nim, gdy zostanie ujawniony kolejny (skuteczny lub nie) cyberatak na infrastrukturę krytyczna za granicą lub Premier Mateusz Morawiecki podpisze kolejne zarządzenie przedłużające obowiązywanie stopni alarmowych CHARLIE-CRP i BRAVO na terenie Polski. Spotkania branżowe czy artykuły w prasie skupiają się wtedy głównie wokół zagadnień związanych z cyberbezpieczeństwem energetycznych systemów ICS i OT, elektrowni, sieci przesyłowej, sieci dystrybucyjnych, a także wprowadzanymi regulacjami prawnymi. Rzadko kiedy mówi się natomiast o – równie ważnym – cyberbezpieczeństwie mikroinstalacji.

W ostatnim czasie nad wskazanym tematem pochylili się eksperci CSIRT NASK (CERT Polska), którzy we współpracy z PSE, URE, PTPiREE oraz przedstawicielami sektora energii przygotowali „Rekomendacje dotyczące cyberbezpieczeństwa dla prosumentów OZE” (dalej: Rekomendacje).

– W ramach badań przeprowadzonych przez CSIRT NASK zaobserwowano znaczną liczbę przypadków, w których panele pozwalają zarządzać inwerterami podłączonymi bezpośrednio do Internetu, na dodatek często zabezpieczonymi jedynie słabymi hasłami. Coraz wyraźniej widoczny staje się również trend korzystania z chmury producenta. W takim przypadku nie występuje wcześniej wspominane zagrożenie, ale pojawiają się nowe, związane z bezpieczeństwem tożsamości, przekazaniem dostępu stronie trzeciej czy prywatnością – przedstawia okoliczności powstania Rekomendacji Marcin Dudek, ekspert CERT Polska. – Po rozmowach z Ministerstwem Klimatu i Środowiska oraz Polskimi Sieciami Elektroenergetycznymi okazało się, że zespoły te obserwują podobne wyzwania. Na bazie tego powstał wspólny pomysł stworzenia rekomendacji, które zwrócą uwagę na wymienione zagrożenia.

Dokument „Rekomendacje dotyczące cyberbezpieczeństwa dla prosumentów OZE” pojawił się na stronach rządowych i samorządowych pod koniec czerwca 2023 r. O czym z publikacji dowie się czytelnik, kiedy do niej dotrze? Czy faktycznie wskazane problemy i ich rozwiązania są trafione?

Otoczenie prawne i instalacje OZE

W pierwszej części Rekomendacji ich autorzy zaprezentowali schemat funkcjonowania prosumenckiej instalacji OZE i ich rodzaje oraz wskazali, który z wymienionych typów jest obecnie najpopularniejszy. Bardzo zwięźle przedstawiono również regulacje prawne powiązane z tematem cyberbezpieczeństwa i OZE, oraz opisano kim według Prawa Energetycznego jest prosument. Zrobiono to nie bez powodu. W opinii dr Magdaleny Krawczyk, adwokat, ekspert prawa energetycznego i nowych technologii, fundamentalne znaczenie dla utrzymania i rozwoju cyberezpieczeństwa ma właśnie spełnienie przez prosumentów podstawowych obowiązków regulacyjnych, które wynikają z Prawa energetycznego oraz ustawy o OZE.

– Chociaż brakuje bezpośrednich przepisów prawnych dotyczących cyberbezpieczeństwa w energetyce prosumenckiej, obszar ten nie funkcjonuje w izolacji od systemu, a stanowi jego integralną część – komentuje dr Magdalena Krawczyk. – Zagadnienie bezpieczeństwa przydomowych instalacji OZE zyskuje znaczenie w perspektywie zapewnienia bezpieczeństwa całego systemu elektroenergetycznego, na poziomie krajowym.

Ekspertka przypomina, że energetyka, jako sektor zaliczany do usług kluczowych, podlega regulacji ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. Dokument ten nakłada na podmioty w nim wymienione (w kontekście prosumentów – w szczególności przedsiębiorstwa wykonujące działalność gospodarczą w zakresie dystrybucji energii) szereg obowiązków związanych z zapewnieniem ciągłości i jakości świadczenia usług. Nie można zapominać, że zagadnienie cyberbezpieczeństwa w energetyce podlega również regulacji unijnej, która będzie transponowana do polskiego porządku prawnego. W tym kontekście wiodące znaczenie mają postanowienia dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2557 w sprawie odporności podmiotów krytycznych (CER) oraz dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (NIS2). Wskazują one wprost na potrzebę zapewnienia cyberbezpieczństwa usług kluczowych świadczonych za pośrednictwem sieci, w skład której wchodzi również infrastruktura należąca do podmiotów prywatnych.

Komentarz: Odpowiedzialność prawna prosumenta

Powstaje więc pytanie, czy prosument może być pociągnięty do odpowiedzialności prawnej w związku z przejęciem sterowania nad jego instalacją OZE przez hakera i wynikających z tego tytułu problemów w bilansowaniu sieci dystrybucyjnej? Według dr Magdaleny Krawczyk ocena, czy można byłoby prosumentowi taką odpowiedzialność przypisać, zależeć będzie od okoliczności danego przypadku i brzmienia odnośnych postanowień umowy kompleksowej.

– Kluczowe znaczenie mogą mieć takie kwestie, jak m.in. niezwłoczne poinformowanie operatora sieci dystrybucyjnej o incydencie, podjęcie działań mających na celu przywrócenie normalnego funkcjonowania instalacji, czy zachowanie wymogów technicznych instalacji – wymienia ekspertka prawa energetycznego i nowych technologii. – Brak dopełnienia przez prosumenta wskazanych obowiązków informacyjnych oraz regulacyjnych może skutkować odpowiedzialnością prosumenta z tytułu naruszenia podstawowych obowiązków umownych również w tych przypadkach, gdy cyberatak nie miał wpływu na bilansowanie sieci dystrybucyjnej. Wraz ze wzrostem świadomości dotyczącej zagrożeń wynikających z komunikacji instalacji OZE z Internetem, odpowiedzialność prosumenta za następstwa cyberataku wymierzonego w należącą do niego infrastrukturę, warunkować może również zachowanie należytej staranności przy zabezpieczeniu swojej instalacji OZE przed hakerami. Brak podjęcia proaktywnych działań zaradczych może mieć wpływ na ustalenie odpowiedzialności prosumenta, która w przypadku powstania szkody mogłaby być rozpatrywana na zasadach ogólnych prawa cywilnego – podsumowuje dr Magdalena Krawczyk.

Cyberzagrożenia

W Rekomendacjach jako wspólny mianownik mikroinstalacji wodnych, wiatrowych i fotowoltaicznych podatny na cyberataki wskazano inwerter. Falownik wykorzystywany jest do zmiany prądu stałego w prąd przemienny o parametrach zgodnych z energią elektryczną w sieci publicznej w celu przyłączenia instalacji prosumenckich do sieci elektroenergetycznej. Autorzy dokumentu przedstawili trzy sposoby dostępu do danych z tego urządzenia:

1. Bezpośrednie połączenie przez sieć lokalną.
2. Połączenie przez Internet.
3. Połączenie przez Internet i chmurę producenta.

W ich opinii najbezpieczniejsze dla użytkownika i instalacji OZE jest bezpośrednie połączenie przez sieć lokalną. Bardziej wygodne i dające wiele korzyści połączenie poprzez Internet stwarza natomiast wiele ryzyk. Udany cyberatak może bowiem zakończyć się utratą korzyści finansowych, zwiększeniem kosztów zużycia energii elektrycznej, wyciekiem newralgicznych danych pomiarowych lub osobowych, uzyskaniem dostępu do sieci domowej czy nawet uszkodzeniem inwertera.

Aby jeszcze bardziej uświadomić właściciela mikroinstalacji odnośnie „czyhających” cyberzagrożeń, na zakończenie tego rozdziału Rekomendacji, Eksperci przedstawili wektory ataku na prosumenckie instalacje OZE posiadające połączenie internetowe, ich przyczyny i pobudki atakujących.

Komentarz: Bezpośrednie połączenie przez sieć lokalną nie jest bezpieczne

Postanowiliśmy skonfrontować z opinią rynkową zawarte w Rekomendacjach informacje mówiące o tym, że bezpośrednie połączenie w ramach sieci lokalnej jako sposób na dostęp do danych z falownika jest cyberbezpieczne. W opinii Jana Mazana, CEO firmy JPEmbedded, ryzyko nieuprawnionego dostępu do inwertera poprzez sieć domową (np. Wi-Fi) jednak, i to zdecydowanie, występuje.

– Proszę wyobrazić sobie malware, który będzie ukierunkowany na atakowanie właśnie takich urządzeń. Pomijając krok 0, jakim jest uzyskanie nieautoryzowanego dostępu i/lub możliwość uruchomienia złośliwego oprogramowania na laptopie, komputerze lub urządzeniu sieciowym (jak switch lub router Wi-Fi), zwykle pierwszym etapem ataku hakerskiego jest tzw. rekonesans. Polega on na rozpoznaniu zasobów w sieci lokalnej – wyjaśnia Jan Mazan. – Jeżeli poprzez skanowanie podłączonych do sieci urządzeń wykryty zostanie falownik, kolejnym krokiem może być zmiana jego ustawień, włączenie go lub wyłączenie, albo aktualizacja oprogramowania prowadząca do zablokowania urządzenia.

Ekspert wskazuje, że takie zorganizowane i przygotowane działanie dotychczas było kojarzone z operacjami cyberprzestępców, którzy brali za cel firmy i większe lub mniejsze organizacje. Atakowanie indywidualnych instalacji było nieopłacalne (np. z punktu widzenia potencjalnych korzyści finansowych).

– Przy wzrastającej liczbie prosumentów istnieje jednak teoretyczna możliwość wystąpienia skoordynowanego ataku na poszczególne instalacje. Może to działać na podobnej zasadzie, jak w przypadku przejęcia przez hakerów kontroli nad rozproszonymi urządzeniami IoT w celu wykorzystania ich do ataków DDoS – podsumowuje przedstawiciel JPEmbedded.

Jedna z największych firm na polskim rynku fotowoltaicznym – Columbus Energy – jako cyberbezpieczne wskazuje stałe połączenie instalacji OZE przez Internet z chmurą producenta.

– Inwerter jest jedynym urządzeniem komunikującym się z Internetem. Pozostałe elementy instalacji to składniki sprzętowe bez dostępu do sieci. Korzystamy z jednego z najbezpieczniejszych rozwiązań, jakim jest stałe połączenie instalacji przez Internet z chmurą producenta – komentuje Michał Kopyść, Kierownik Działu Szkoleń Sieci Sprzedaży w Columbus Energy. – Dzięki temu bezpieczeństwo inwertera zamontowanego w instalacji jest na takim samym poziomie, jak innych urządzeń pracujących w sieci Wi-Fi klienta. Zalecamy, aby hasło do domowej sieci internetowej było chronione silnym hasłem z bezpiecznych algorytmów.

Komentarz: Zagrożeniem nie jest tylko falownik

W opinii przedstawicieli firm technologicznych, którzy zgłosili się do udzielenia komentarzy do artykułu o Rekomendachach, zagrożeniem dla cyberbezpieczeństwa mikroinstalacji OZE jest nie tylko falownik, co można przeczytać w omawianym dokumencie, ale także inne elementy wchodzące w skład systemu. Jak podkreśla Tomasz Leszczyński, CTO w PySENSE, podejście do bezpieczeństwa instalacji prosumenckiej powinno być holistyczne i obejmować wszystkie cyfrowe komponenty, którymi są:

• Inteligentne liczniki energii – nie tylko monitorują zużycie i wysyłają dane do OSD, ale posiadają aktywne rozłączniki, które mogą być celem cyberataków w celu destabilizacji całego systemu elektroenergetycznego. W ramach CRA zdefiniowane zostały jako produkt infrastruktury krytycznej (Klasa II).
• System zarządzania energią (EMS) – urządzenie / oprogramowanie, które całościowo zarządza produkcją i zużyciem w całej mikroinstalacji. Przejęcie kontroli nad tym systemem może całkowicie zdestabilizować pracę systemu.
• Urządzenia sterujące – wszelkie komponenty, które odpowiadają bezpośrednio za sterowanie poszczególnymi układami, tj. inwerter PV, ładowarka EV, magazyn energii, bojler, pompa ciepła. Urządzenia mogą zostać wykorzystane do nieautoryzowanego sterowania poszczególnymi komponentami.
• Sieć komunikacyjna – komponenty w ramach nowoczesnej mikroinstalacji komunikują się poprzez sieć lokalną, która powinna być zabezpieczona w odpowiedni sposób.
• Dane użytkowników – nowoczesne usługi dla prosumentów implikują kolekcjonowanie danych z dużą granulacją. Data Act definiuje nowe zasady udostępniania danych w ramach systemów i bezpieczeństwa danych spersonalizowanych zgodnie z GDPR.
• Użytkownicy i procedury – ludzie są najsłabszym ogniwem w łańcuchu bezpieczeństwa. Szkolenia z cyberbezpieczeństwa dla użytkowników, procedury autoryzacji i uwierzytelniania, a także polityka dotycząca dostępu i uprawnień są kluczowe dla utrzymania bezpieczeństwa systemów.

– Należy pamiętać, że nowe dyrektywy w ramach legislacji UE już w tym momencie zmieniają postrzeganie systemów cyfrowych i kładą duży nacisk na cyberbezpieczeństwo. Europejskie Rozporządzenia Data Act czy Cyber Reslience Act (CRA) wymuszają na dostawcach rozwiązań IoT (w tym komponentów mikroinstalacji OZE) zastosowanie szerokiej gamy procesów poprawiających bezpieczeństwo tych systemów na różnych poziomach, tj. począwszy od udostępniania danych personalnych i zgodności z GDPR, kończąc na rozszerzonej certyfikacji bezpieczeństwa w ramach dyrektyw RED i MID – przypomina Tomasz Leszczyński.

Opinię przedstawiciela PySENSE podziela Jan Mazan z JPEmbedded, który stwierdza, że każde urządzenie, z którym można skomunikować się droga elektroniczną, teoretycznie może być celem ataku. W zależności od stopnia skompilowania i architektury instalacji OZE, na nieuprawiony dostęp mogą być podatne zabezpieczenia, inteligentne liczniki lub elementy infrastruktury sieciowej takie, jak switche, routery czy konwertery protokołów. Warto zauważyć, że niekoniecznie musi to być urządzenie dostępne poprzez sieć IP, jak falownik.

– Znane są scenariusze ataków na instalacje przemysłowe, w których celem były urządzenia komunikujące się przez łącza szeregowe – ModbusRTU lub protokoły własne producentów. Oczywiście wykorzystanie takich podatności wymaga zaangażowania dużych środków technicznych i finansowych. Biorąc to pod uwagę, można uznać, że w przypadku instalacji indywidualnych, ryzyko cyberataku jest nieco mniejsze niż w sytuacji dużych, przemysłowych farm fotowoltaicznych lub wiatrowych – podsumowuje Jan Mazan.

Cyberbezpieczeństwo instalacji OZE

Czym byłyby „Rekomendacje dotyczące cyberbezpieczeństwa dla prosumentów OZE” bez wskazania konkretnych czynności, jakich należy dokonać i następnie przestrzegać, użytkując mikroinstalację? Tym samym autorzy dokumentu opisali w nim m.in. zasady cyber-BHP czy też przygotowali listę zawierającą prawie 40 pytań do firm montujących lub serwisujących instalacje OZE, które pomogą wybrać jak najlepszego partnera.

– Przedstawione w rozdziale trzecim rekomendacje dzielą się na dwie części. Pierwsza dotyczy ogólnych zasad cyberhigieny. Druga część, czyli „Rekomendacje techniczne zmniejszające ryzyko ataku", ma już bardziej techniczny charakter i może wymagać podstawowej wiedzy teletechnicznej. Przykładowo: nie jest możliwe sprawdzenie wykorzystywanych algorytmów do połączenia z siecią Wi-Fi, jeśli dany użytkownik nie będzie potrafił tego zweryfikować po stronie routera lub urządzenia końcowego. Rekomendujemy zatem, aby skorzystać z pomocy osoby dysponującej tego typu wiedzą, umiejętnościami i kompetencjami – mówi Marcin Dudek, ekspert CERT Polska.

Wartościową poradę dotyczącą cyberbezpieczeństwa ma dla niepodsiadających wiedzy z zakresy IT, prosumentów-laików przedstawiciel Columbus Energy.

– Aby mieć gwarancję cyberbezpieczeństwa mikroinstalacji OZE należy zadbać o to, aby hasło do domowej sieci Wi-Fi było tzw. silnym hasłem, czyli kombinacją cyfr, znaków i liter, oraz korzystać z bezpiecznych algorytmów uwierzytelniania. Należy również pamiętać o zmianie podstawowych danych do logowania na domowy router, gdzie zazwyczaj login i hasło to „admin” i „admin”. Brak zmiany tych ustawień naraża nas zdecydowanie bardziej na cyberatak – wskazuje Michał Kopyść z Columbus Energy.

Wytwórcy energii na celowniku

Do kontynuacji tematu cyberbezpieczeństwa i zagrożeń czekających nie tylko na prosumentów, ale również i wielkoskalowych wytwórców energii elektrycznej, zapraszamy podczas 7. Konferencji „Inteligentna Energetyka”. Wydarzenie już 6 grudnia 2023 r. w Warszawie. Tegoroczna edycja konferencji, odbędzie się pod hasłem „Cyber(NIE)bezpieczeństwo polskiej energetyki – fakty czy mity?”. Celem spotkania jest obalenie lub udowodnienie tez sformułowanych jako tytuły sesji w ramach programu. Na podstawie uzyskanych wniosków wraz z partnerami konferencji przygotujemy raport rynkowy, który będzie dostępny w wersji cyfrowej do bezpłatnego pobrania na stronie wydarzenia i na portalu Smart-Grids.pl.

Cyberbezpieczeństwo prosumentów – obalamy mity, przedstawiamy fakty

Chcesz wygłosić prezentację podczas 7. Konferencji „Inteligentna Energetyka”?

Zapraszamy do kontaktu Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript..

Rejestracja na spotkanie na stronie: https://www.inteligentnaenergetyka.pl/konferencje/o-7-konferencji/

Partnerzy i Patroni 7. Konferencji „Inteligentna Energetyka” (na dzień 05.12.2023 r.)

• Patronat Honorowy: Ministerstwo Rozwoju i Technologii, Adama Andruszkiewicza Sekretarza Stanu w Ministerstwie Cyfryzacji, Polskie Towarzystwo Informatyczne
• Partner Strategiczny: ESMETRIC GROUP
• Partner Technologiczny: MCX Pro, Andra, BlackBerry
• Partner Prelekcji: Nokia Solutions and Networks, SMA Solar Technology AG, PGE Polska Grupa Energetyczna
• Partner Wystawy: Generali T.U.
• Partner Prawny: Kancelaria Adwokacka dr Magdalena Krawczyk
• Patroni Instytucjonalni: Fundacja AI LAW TECH, Aigorithmics, Fundacja Bezpieczna Cyberprzestrzeń, Polska Izba Informatyki i Telekomunikacji, KIGEiT
• Sponsor Nagród: Helion, Yubico
• Główny Patron Medialny: Smart-Grids.pl
• Patroni Medialni: magazynbiomasa.pl, wysokienapiecie.pl, energetyka-rozproszona.pl, Nowa Energia, cire.pl, Energetyka Wodna, PolitykaBezpieczenstwa.pl, Security Magazine
• Partner Networkingowy: Energetic Business Mixer
• Partner Wideo: IGS Production
• Organizator: Agencja Reklamowo-Wydawnicza ARTSMART

fot.: freepik / DCStudio, wirestock

© Materiał chroniony prawem autorskim – wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu tylko za zgodą wydawcy ARTSMART Izabela Żylińska. Więcej w Regulaminie