Jak w przypadku każdego sektora działającego w oparciu o rozwiązania Przemysłu 4.0, również proces pozyskiwania energii z odnawialnych źródeł wspomagany jest przez nowoczesne technologie. Przy wdrażaniu cyfryzacji w obszarze zielonej energii nie można zapominać o szeregu cyberzagrożeń z tym związanych. Z doświadczeń wielu ekspertów wynika, że ta sfera do niedawna była marginalizowana, choć de facto przecież problem dotyczy infrastruktury krytycznej, jaką są elektrownie. Eksperci Stormshield wskazują ryzyka na jakie ryzyka narażeni są przemysłowi uczestnicy rynku OZE i przykłady dobrych praktyk wzmacniających bezpieczeństwo cyfrowe fotowoltaiki czy magazynów energii. 

Globalne wydatki związane z transformacją energetyczną w 2022 roku przekroczyły bilion dolarów, rosnąc w ujęciu rocznym o 30 proc. W Unii Europejskiej wydatki na ten cel objęły kwotę 180 mld dolarów. W Polsce planowane jest osiągnięcie 40-procentowego udziału energii z OZE w perspektywie do 2024 roku. Według założeń rządowego planu PEP2040 całkowite wydatki na transformację energetyczną polskiej gospodarki mogą wynieść nawet 1,6 bln zł. Te liczby pozwalają zrozumieć, że z trendu transformacji coraz chętniej korzystają zarówno indywidualni, jak i przemysłowi użytkownicy fotowoltaiki, magazynów energii oraz innych technologii związanych z produkcją zielonej energii. Potwierdza to zainteresowaniem programem Mój Prąd, którego 5. edycja została uruchomiona 22 kwietnia a z drugiej strony decyzje, również dużych firm, o zaangażowaniu w ten sektor.

– Podobnie jak w innych sektorach infrastruktury krytycznej, również branże OZE, której znaczenie w energetyce z każdym rokiem rośnie, może stać się ofiarą działań o potencjalnie poważnych konsekwencjach. Z tego względu na baczności powinni mieć się wszyscy uczestnicy rynku – komentuje Aleksander Kostuch, inżynier Stormshield, wytwórcy rozwiązań z obszaru cyberbezpieczeństwa.

Sektor w znacznym stopniu korzysta z dobrodziejstw rozwiązań cyfrowych, które wspierają obsługę procesów i obsługę funkcjonowania instalacji OZE. Szczególnie w przypadku wielkopowierzchniowych farm, zarządzanie nimi bez wykorzystania technologii byłoby niemożliwe. Należy jednak pamiętać, że cyfrowa otwartość niesie ze sobą konsekwencje. Funkcjonowanie rozwiązań Internetu Rzeczy (IoT), będących w stałej łączności on-line oznacza, że tworzy się nowa przestrzeń ataku. A dochodowość tego biznesu z pewnością nie ujdzie uwadze przestępców.

– Otwartość na komunikację ze światem zewnętrznym zwiększa podatność na cyberataki. Ta uniwersalna prawda dotyczy infrastruktury każdego typu, w tym również fotowoltaiki – mówi Aleksander Kostuch.

Ryzyka powodujące straty finansowe i wizerunkowe

Efektem wrogich działań może być zatrzymanie pracy elektrowni, bo przecież nazywając rzeczy po imieniu z taką właśnie kategorią podmiotów mamy do czynienia. To oczywiście najczarniejszy scenariusz, jednak znacznie prostszym do wdrożenia jest uniemożliwienie odczytu danych. Brak raportowania pracy elektrowni słonecznej może wiązać się z karami umownymi. W tym aspekcie istotne jest również, że wielkoskalowe farmy fotowoltaiczne to niejednokrotnie domena spółek notowanych na giełdzie. Jakikolwiek atak znajduje odzwierciedlenie w raporcie bieżącym i może wpływać na inwestorów.

Fotowoltaika czy farmy wiatrowe jako element systemu energetycznego są częścią infrastruktury krytycznej. Jej ochrona ma kluczowe znaczenie. Jednocześnie specyfiką obiektów tego typu jest ich położenie. Z reguły są odseparowane, co z jednej strony mocno utrudnia ochronę i bieżącą obsługę, a z drugiej ułatwia wrogi dostęp.

– Z tych względów prawidłowe zabezpieczenia są niezwykle ważne. To odseparowanie, czy rozproszenie powoduje, że w tego typu obiektach dominuje nadzór elektroniczny. Aby funkcjonował on prawidłowo niezbędnych jest kilka typów urządzeń. Dbałość onajlepsze standardy bezpieczeństwa, także w odniesieniu do instalacji fotowoltaicznych, ma duże znaczenie – komentuje Paweł Grzelewski, administrator sieci w firmie Greenvolt Poland.  

Bezpieczna transformacja energetyki – dobre praktyki w cyfrowym zabezpieczaniu sektora OZE

Aby system cyberbezpieczeństwa funkcjonował prawidłowo, zapewniając dobrą ochronę niezbędnych jest wdrożenie kilku typów urządzeń.

Fundamentem pozostaje system UTM, czyli wielofunkcyjna zapora sieciowa obejmująca firewall, antywirus i VPN. Pozwala on kontrolować komunikację informatyczną do i z obiektu. To o tyle istotne, że poza ochroną również bieżąca konserwacja instalacji fotowoltaicznej czy farmy wiatrowej często odbywa się w podobny tj. zdalny sposób, przez mniej lub bardziej zdefiniowane kanały komunikacyjne.

– Znaczenie mają także rozwiązania IPS i SIEM. Pozwalają wychwytywać niepożądany, niestandardowy dostęp do sieci elektrowni oraz przeciwdziałać mu. Uzupełnieniem powinno być funkcjonowanie sieci w oparciu o tunele VPN, czyli prywatne – zabezpieczone połączenia. Domknięciem całości, zorganizowanej w myśl złotej zasady cyberbezpieczeństwa tj. zapewniania jedynie minimalnego dostępu do sieci i tylko podmiotom niezbędnym, są zaawansowane firewalle – wskazuje Paweł Grzelewski.

Oprócz wdrożenia odpowiednich zabezpieczeń, kluczowe jest również zapewnienie pracownikom szkoleń z zakresu skutecznego korzystania z tych narzędzi. Jak zauważa Aleksander Kostuch, zwiększanie świadomości na temat potencjalnych zagrożeń i stałe uzupełnianie wiedzy pracowników zakresie cyberbezpieczeństwa sprawia, że są oni w stanie sprawniej reagować na incydenty.

– Nieodzownym elementem takiej polityki będą bieżące aktualizacje oprogramowania oraz systematyczne audyty bezpieczeństwa, które mają na celu wykrycie wszelkich potencjalnych luk w systemach i protokołach. Dzięki tym środkom można być na bieżąco z pojawiającymi się zagrożeniami i eliminować wszelkie słabości, zanim zostaną wykorzystane – mówi Aleksander Kostuch. – Natomiast klamrą domykającą łańcuch zabezpieczeń jest zapewnienie i tworzenie w sposób regularny kopii zapasowych dla danych krytycznych, tak aby w przypadku ataku można było je przywrócić – dodaje.

Czy NIS2 będzie gejmczendżerem?

Kluczowym aspektem dla podniesienia poziomu bezpieczeństwa jest świadomość wagi tego zagadnienia wśród kadry zarządzającej. A z tym nie jest najlepiej. Z doświadczeń wielu ekspertów wynika, że ta sfera do niedawna była pomijana, co przekładało się na fakt, że w obiektach tego typu praktycznie nie były tworzone zespoły dedykowane bezpieczeństwu informatycznemu, a ochrona IT był powierzana zewnętrznym usługodawcom.

Aleksander Kostuch przypomina, że wdrożenie dyrektywy NIS2 w prawie krajowym, będzie obejmować wprowadzenie konsekwencji finansowych, dotyczących przypadków zaniechania działań wymaganych przez nowe prawodawstwo od zarządzających podmiotami kluczowymi i istotnymi w całym łańcuch dostaw.

– Pamiętajmy, że elektrownie są elementem infrastruktury krytycznej, która jest narażona na wrogie działania. Dyrektywa NIS2 jest krokiem w dobrą stronę, który w założeniu ma podnieść poziom bezpieczeństwa. Jednak miejmy świadomość, że „faktura nie uchroni nikogo przed atakiem”. Bez implementacji rekomendowanych rozwiązań bezpieczeństwo nie ulegnie poprawie, a ryzyko nie zostanie zminimalizowane – podsumowuje Paweł Grzelewski, z Greenvolt Poland.