*Artykuł sponsorowany* Dziś, gdy jesteśmy na etapie „planowania” sieci energetycznej, mamy najlepszy czas, aby zastosować założenie „security / secure by design” i sprostać wyzwaniom wielowarstwowego zabezpieczania infrastruktury krytycznej – mówi Piotr Stępniewicz, Dyrektor Sprzedaży – Telekomunikacja & Cyberbezpieczeństwo, MCX PRO Sp. z o.o.

Rozmowa z: Piotr Stępniewicz, Dyrektor Sprzedaży – Telekomunikacja & Cyberbezpieczeństwo, MCX PRO Sp. z o.o.

Nowoczesne, sieci Smart Grid są znacznie bardziej rozbudowane i zaawansowane technologicznie w porównaniu z tradycyjnymi systemami energetycznymi. Jednocześnie są bardziej narażone na cyberataki. Jakie wyzwania w zakresie cyberbezpieczeństwa niesie za sobą nowe podejście?

Konieczność dostosowania sieci energetycznych do nowych wymogów i zaleceń, między innymi „transformacja energetyczna” czy „Polityka Energetyczna Polski”, wymusza na wszystkich uczestnikach systemu energetycznego wprowadzenie zmian technicznych i organizacyjnych w celu przystosowania swoich struktur do tak zwanej sieci „Smart Grid”, której to fundamentem są systemy ICT (Information and Communications Technology).

Wdrożenie owych technologii ICT (Information and Communications Technology), coraz większa integracja sieci IT (Information Technology), OT (Operational Technology), ICS (Industrial Control System) przyczyniają się z jednej strony do zwiększenia efektywności sieci energetycznych i polepszenia „jakości” dostawy prądu (polepszenie wskaźników SAIDI – System Average Interruption Duration Index i SAIFI – System Average Interruption Frequency Index), ale z drugiej otwierają nowe możliwości dla nieautoryzowanego dostępu, manipulacji itp., czyli otwierają się nowe „wektory cyberataku”, jak też zwiększamy możliwe powierzchnie takiego ataku. Dokładając do tego zagrożenia typu „Insider thrat” i różne motywy cyberprzestępców potęgujemy zagrożenia wynikające z potencjalnego ataku.

Dodatkowo pamiętając o tym, iż zarówno sieci Smart Grid, jak i z zastosowanie nowych systemów Smart Metering umożliwiają dwukierunkowy przepływ danych (informacji), co oznacza, iż wymiana informacji jest pomiędzy każdym uczestnikiem systemu elektroenergetycznego 24 h, 365 dni w roku w czasie prawie rzeczywistym. Zaburzenie czy zniekształcenie informacji w jednym miejscu może spowodować niepoprawną pracę systemu, urządzeń w innym miejscu lub w całym układzie. Przekładając to na prosty język, cyberatak w jednym miejscu może mieć negatywne skutki na ciągłość dostaw energii elektrycznej nie tylko lokalnie (np. brak dostawy prądu w małym terenie przykład na jednej linii SN - średniego napięcia), ale może mieć skutek „globalny” na większym obszarze np. na całym obszarze podlegającym danej SE Stacji Energetycznej lub też może destabilizować całą sieć. Dokładając „pikanterii”, może to być problem chwilowy lub wielogodzinny, a nawet wielodniowy w zależności od ataku i możliwości jego zniwelowania.

Dziś jesteśmy na etapie „planowania” sieci energetycznej i to jest najlepszy moment, aby zastosować założenie „security / secure by design” i sprostać wyzwaniom, wielowarstwowego zabezpieczania infrastruktury krytycznej, jaką jest infrastruktura energetyczna. Wielowarstwowego oznacza, iż nie skupiamy się tylko elementach sieci IT, OT, itp. Oznacza to, iż rozpoznajemy wszystkie obszary działalności i planujemy tam elementy bezpieczeństwa. Dodatkowo planujemy bezpieczeństwo tak, aby zaplanowane systemy współdziałały ze sobą nie tylko lokalnie w każdej firmie, ale też na poziomie całej sieci. Mówiąc o „obszarach” mamy na myśli nie tylko systemy ICT, ale też dostawcy rozwiązań, procesy wewnętrzne, pracownicy, zabezpieczenia fizyczne między innymi CCTV itp.

Jakie są wobec tego główne różnice w podejściu do cyberbezpieczeństwa między tradycyjnymi systemami energetycznymi a nowoczesnymi, zintegrowanymi sieciami Smart Grid?

W tradycyjnych systemach energetycznych praktycznie każdy uczestnik sieci był odrębną wyspą i cyberbezpieczeństwo zamykało się do standardowych lokalnych działań w sieci IT (chroń swoją sieć). Nie patrzyło się na: przepływ informacji pomiędzy innymi uczestnikami rynku energii elektrycznej. Jeśli chodzi o sieci OT / ICS to w ramach danego przedsiębiorstwa było to „odrębne królestwo” odseparowanymi od reszty świata.

Sieci Smart Grid są sieciami zintegrowanymi, gdzie wszystkie elementy i uczestnicy tej sieci zależą od siebie i mają wpływ na innych. Dlatego w tak złożonym środowisku musimy inaczej, szerzej patrzeć na świat sieci Smart Grid. Mówiąc o złożoności środowiska, musimy przypomnieć, iż w sieci Smart Grid oprócz konwencjonalnych elektrowni mamy dołączone lokalne źródła energii, jak: farmy wiatrowe czy fotowoltaiczne, prosumentów (odbiorców z fotowoltaiką na dachach), biogazownie itp. które, to nie pracują stabilnie (jak elektrownie konwencjonalne), ale są dołączane do sieci i odłączne w krótkich okresach czasu (fotowoltaika generuje prąd, gdy jest słońce, jak nie ma jest odłączona, podobnie z farmami wiatrowymi). Dodatkowo w sieciach Smart Grid odbiorcy oczekują tzw. taryf dynamicznych (prosto tłumacząc taryfy, gdzie opłaty za prąd zmieniają się w ciągu doby).

Jak widać zarządzanie takim „szybkozmiennym” środowiskiem wymaga odpowiednich systemów ICT i odpowiedniego ich zabezpieczania na różnych poziomach. Wymaga się zastosowania środków ochrony przed atakami na infrastrukturę krytyczną, takich jak systemy detekcji wczesnego ostrzegania oraz wymaga się zdolności szybkiego reagowania na incydenty lub też predykcji pewnych zachowań. Jak wspomniano wcześniej, na bezpieczeństwo powinno patrzeć szerzej i oprócz systemów powinno brać się pod uwagę inne obszary jak procesy, ludzie, zabezpieczenia fizyczne.

Jakie konkretne kroki mogą zostać podjęte w ramach podejścia "security by design”?

Aby mówić o krokach, na początku trzeba zdefiniować co to jest „secure/security by design”. Podejście, w którym ​​przedsiębiorstwa myśląc o bezpieczeństwie, uwzględniają jego komponenty na etapie projektowania i tworzenia swoich systemów.​ W Security by design od pierwszych etapów projektu koncentrujemy się na skutecznej prewencji (przewidywaniu potencjalnych zagrożeń), wdrażaniu procesu zarządzania ryzykiem, wykrywaniu zagrożeń i szybkiej reakcji na nie w celu minimalizacji skutków wystąpienia. Jednocześnie to podejście umożliwia organizacji automatyzację kontroli bezpieczeństwa procesów i danych oraz sformalizowanie elementów funkcjonowania infrastruktury już na etapie jej projektowania, tak aby mogła wbudować zabezpieczenia w procesy zarządzania IT przed ich fizyczną integracją (tj. na etapie planowania i projektowania).

Mówiąc teraz o krokach, powinniśmy:

• rozmawiać o „bezpieczeństwie” już na etapie projektowania systemów,
• oszacować ryzyka w firmie i ewentualne potencjalne straty. Według tego dobrać adekwatne środki techniczne i procesowe, aby minimalizować ryzyko,
• bezpieczeństwo traktować znacznie szerzej niż tylko sieci IT. Powinniśmy patrzeć też na procesy, procedury, elementy bezpieczeństwa fizycznego (kontrola dostępu, CCTV, itp.), podnoszenie wiedzy i kompetencji pracowników,
• podjąć decyzję o weryfikacji i autoryzacji dostawców,
• ustalić procesy reagowania na incydenty i zapewnić ciągłość działania firmy.

Jakie są najważniejsze elementy strategii szkoleniowej dla pracowników w sektorze energetycznym w kontekście cyberbezpieczeństwa?

Człowiek jest zawsze najsłabszym ogniwem w całym procesie bezpieczeństwa. Budowanie świadomości i zaangażowanie pracowników w procesy bezpieczeństwa jest równie istotne jak implementacja technicznych środków ochrony.

Dlatego weryfikacja i edukacja pracowników jest kluczowym elementem skutecznej strategii cyberbezpieczeństwa. Cyberbezpieczeństwo powinno być wpisane w „DNA” organizacji, a pracownicy powinni być szkoleni w zakresie rozpoznawania potencjalnych zagrożeń, praktyk bezpiecznego korzystania z systemów informatycznych oraz reagowania na incydenty.

Jakie są najważniejsze regulacje i standardy dotyczące cyberbezpieczeństwa w branży energetycznej i jakie znaczenie mają w praktyce?

Istnieje wiele regulacji i standardów dotyczących cyberbezpieczeństwa, które dotykają między innymi energetyki. Są to Dyrektywa NIS (Network and Information Systems) i jej aktualizacja NIS-2 w Europie, NERC CIP w Stanach Zjednoczonych czy ISO/IEC 27001. Dodatkowo mamy normy i dyrektywy skierowane do konkretnych obszarów CER (Critical Entities Resilience Directive) dyrektywa o odporności podmiotów krytycznych czy IEC 62443 – norma cyberbezpieczeństwa sieci przemysłowych.

Przestrzeganie tych norm jest kluczowe, ponieważ nie tylko stanowią one wytyczne dotyczące ochrony infrastruktury, ale także są często wymagane przez organy regulacyjne, co zwiększa zaufanie społeczne i umożliwia skuteczną współpracę międzynarodową w zakresie ochrony krytycznej infrastruktury.

Jakie działanie rekomenduje Pan osobom, które odpowiadają za cyberbezpieczeństwo w firmach energetycznych?

Nie ma jednego gotowego rozwiązania zwłaszcza w „energetyce”. Podstawą jest zrozumienie specyficznego środowiska operacyjnego i kluczowych aspektów bezpieczeństwa w tej branży. System energetyczny jest złożony. Dobór odpowiednich środków powinien być rozpatrywany na dwóch poziomach. Globalnym, gdzie mówimy o systemach i procesach odpowiedzialnych za przesył informacji i współpracę pomiędzy uczestnikami systemu. I lokalnym obejmującym elementy, które odpowiadają za lokalne potrzeby. Dodatkowo dobór powinien być dostosowany do realiów danego uczestnika rynku energetycznego. Inne potrzeby ma wytwórca (elektrownia), inne potrzeby ma przesył czy dystrybucja.

O MCX:

MCX jest integratorem systemów działających w obszarach ICT, Cybersecurity, Software Development. Łącząc technologie z różnych dziedzin i doświadczenie naszych specjalistów, dostarczamy klientom nowoczesne rozwiązania o wysokim bezpieczeństwie IT. Naszymi klientami są firmy zarówno z obszaru szeroko rozumianego biznesu, jak i sektora publicznego.

fot. freepik