Sektor zielonej energii pod ostrzałem cyberprzestępców.
W kwietniu 2022 roku trzy niemieckie firmy zajmujące się energią wiatrową zostały zaatakowane przez cyberprzestępców. Wyłączyli oni tysiące zdalnie zarządzanych turbin wiatrowych. Systemy odnawialnych źródeł energii mierzą się dziś z wieloma ryzykami cybernetycznymi.
Szacuje się, że do 2050 roku globalne systemy energetyczne będą się opierać w 70% na energii odnawialnej, pochodzącej między innymi ze słońca, wiatru czy pływów morskich.
– Te źródła energii są zazwyczaj rozproszone geograficznie, często zarządzane i obsługiwane za pomocą niewystarczająco efektywnych zabezpieczeń, które bezpośrednio łączą się z infrastrukturą krajowych sieci elektroenergetycznych. To wszystko przekłada się na wiele potencjalnych płaszczyzn ataków – mówi Michał Zalewski, inżynier w firmie Barracuda Networks, która jest producentem rozwiązań z obszaru bezpieczeństwa IT.
Od ryzyka do odporności
Aby zbudować solidną cyberodporność w cyfrowych systemach odnawialnych źródeł energii, trzeba zdefiniować obszary ryzyka. Obejmują one między innymi:
– Podatność kodu i nieprawidłowe konfiguracje oprogramowania układowego. Wysokie zapotrzebowanie na energię odnawialną wiąże się z tym, że technologie i aplikacje ją wspierające często są rozwijane i wdrażane szybko. Dostawcy rozwiązań są ekspertami w dziedzinie inżynierii elektrycznej, mogą jednak nie posiadać odpowiednich umiejętności z zakresu bezpieczeństwa. W związku z tym często nieświadomie nie poświęcają wystarczającej uwagi aspektom zabezpieczeń. Ryzyko wzrasta, jeśli oprogramowanie nie jest regularnie łatane i aktualizowane.
– Niezabezpieczone interfejsy API. Zagrożenie mogą stanowić także aplikacje oparte na interfejsach API, które umożliwiają komunikację i wymianę danych oraz funkcjonalności z innymi aplikacjami, w tym z oprogramowaniem stron trzecich. Są one powszechnym elementem połączonych lub publicznie dostępnych systemów. Zastosowanie zasad bezpieczeństwa aplikacji internetowych i wdrożenie zapór sieciowych jest niezbędne do tego, aby zapobiec wykorzystywaniu interfejsów API do kradzieży danych, infekowania urządzeń i budowy botnetów.
– Systemy zarządzania, kontroli, raportowania i analizy. Oprogramowanie do zarządzania i kontroli, takie jak SCADA, oraz inne programy importujące, analizujące i wizualizujące dane z różnych źródeł są głównym celem cyberataków. Pozwalają one przestępcom na dostęp do całego systemu, w tym manipulowanie danymi, wysyłanie instrukcji itp. Systemy integrujące dane z zewnętrznych źródeł, takich jak wieże meteorologiczne, także mogą zostać zaatakowane przez cyberprzestępców.
– Skuteczne metody uwierzytelniania, w tym przynajmniej uwierzytelnianie wieloskładnikowe, a najlepiej dostęp oparty na podejściu Zero Trust, w połączeniu z ograniczonymi prawami dostępu, są dziś kluczowe. Dzięki nim organizacja ma pewność, że tylko osoby z odpowiednimi uprawnieniami mogą dostać się do systemu – podkreśla Michał Zalewski.
– Automatyzacja. Rozproszone i zdecentralizowane systemy odnawialnych źródeł energii wymagają monitorowania i zarządzania przez całą dobę. Te procesy są dziś coraz bardziej zautomatyzowane.
– Ryzyko polega na tym, że systemy te mogą nie być wystarczająco monitorowane pod kątem anomalii lub podejrzanych zdarzeń sugerujących obecność intruza. Rozwiązania bezpieczeństwa, które oferują rozszerzone wykrywanie oraz specjalistyczną funkcjonalność zabezpieczeń elementów Internetu rzeczy (IoT), mogą pomóc w tym zakresie – dodaje ekspert Barracuda Networks.
– Usługi zdalnego dostępu. Źródła energii odnawialnej są rozproszone i często znajdują się w odizolowanych lokalizacjach. To oznacza, że konieczny jest zdalny dostęp do nich, na przykład za pośrednictwem usług chmurowych lub sieci VPN. Takie usługi są jednak podatne na ataki cybernetyczne, dlatego kluczowe rolę grają w tym obszarze skuteczne metody uwierzytelniania i dostępu.
– Położenie fizyczne. Kolejnym ryzykiem związanym z geografią jest to, że lokalizacja instalacji może spowolnić czas reakcji i odzyskiwania sprawności infrastruktury po incydencie. Dotarcie do farm wiatrowych na morzu po to, by naprawić lub wymienić np. czujniki, może być skomplikowane, czasochłonne i kosztowne. Osoby podróżujące do odległych miejsc zazwyczaj nie są specjalistami IT, dlatego tak ważne jest zastosowanie rozwiązań bezpieczeństwa, które mogą zostać łatwo wdrożone, nawet przez osoby niebędące ekspertami w tej dziedzinie.
– Ruch sieciowy. Wszystkie dane przesyłane przez sieć powinny być monitorowane i zaszyfrowane. W połączonych systemach energetycznych ruch między urządzeniem a aplikacją centralną często nie jest szyfrowany, co sprawia, że staje się podatny na manipulacje. Dane w spoczynku i w ruchu mogą zostać przechwycone przez atakujących, a systemy – przeciążone przez ataki typu DoS.
– Połączenie z Internetem. Tradycyjne elektrownie, np. gazowe, zazwyczaj nie są podłączone do internetu i posiadają infrastrukturę odseparowaną od sieci, co redukuje ryzyko ataku cybernetycznego. Inaczej jest w przypadku odnawialnych źródeł energii. To sprawia, że wszystkie zasoby, które są połączone z siecią internetową, muszą być zabezpieczone.
– Starsza infrastruktura sieci elektroenergetycznej. W większości krajów znacząca część sieci elektroenergetycznej jest przestarzała, co uniemożliwia aktualizację zabezpieczeń. Najlepszym sposobem ochrony tych systemów jest wdrożenie bezpiecznych metod uwierzytelniania i dostępu.
– Brak regulacji i koordynacji w zakresie bezpieczeństwa. By zapewnić długotrwałe bezpieczeństwo, konieczne jest wprowadzenie przepisów i regulacji, takich jak NIS 2 w Europie, które zagwarantują silne standardy dla instalacji odnawialnych źródeł energii, niezależnie od ich skali. Ponadto, technologia stosowana w branży OZE szybko się rozwija, a łańcuchy dostaw są złożone, co może prowadzić do niejasności w kwestii odpowiedzialności za bezpieczeństwo. Model współodpowiedzialności stosowany wobec dostawców usług chmurowych może być dobrym rozwiązaniem także w tym przypadku.
Zrównoważone bezpieczeństwo
Pod pewnymi względami systemy odnawialnych źródeł energii nie różnią się znacznie od innych systemów Internetu rzeczy (IoT). Cyberprzestępcy mogą je skanować i atakować podatne komponenty, niezaktualizowane oprogramowanie, urządzenia z domyślnymi ustawieniami, słabo chronione połączenia. Budowanie zrównoważonego przemysłu OZE będzie wymagało wdrożenia rozwiązań bezpieczeństwa i zasad cyfrowej higieny już na samym początku prac nad każdą inwestycją. A następnie utrzymania ich na stałym poziomie na każdym etapie rozwoju.
– Zabezpieczanie złożonego środowiska nie musi być skomplikowane. Warto rozważyć zastosowanie rozwiązań SASE (Secure Access Service Edge), które zapewniają bezpieczne połączenie użytkowników, urządzeń i aplikacji, niezależnie od tego, gdzie się znajdują. Dodając do tego segmentację sieci i edukację użytkowników, można stworzyć solidne podstawy dla cyberodporności, nie tylko po to, by zapobiegać atakom, ale także by ograniczyć skutki incydentów, jeśli do nich dojdzie – podsumowuje Michał Zalewski.
