Jak w przypadku każdego sektora działającego w oparciu o rozwiązania Przemysłu 4.0, również proces pozyskiwania energii z odnawialnych źródeł wspomagany jest przez nowoczesne technologie. Przy wdrażaniu cyfryzacji w obszarze zielonej energii nie można zapominać o szeregu cyberzagrożeń z tym związanych.

Globalne wydatki związane z transformacją energetyczną w 2022 roku przekroczyły bilion dolarów, rosnąc w ujęciu rocznym o 30 proc. W Unii Europejskiej wydatki na ten cel objęły kwotę 180 mld dolarów. W Polsce planowane jest osiągnięcie 40-procentowego udziału energii z OZE w perspektywie do 2024 roku. Według założeń rządowego planu PEP2040 całkowite wydatki na transformację energetyczną polskiej gospodarki mogą wynieść nawet 1,6 bln zł. Te liczby pozwalają zrozumieć, że z trendu transformacji coraz chętniej korzystają zarówno indywidualni, jak i przemysłowi użytkownicy fotowoltaiki, magazynów energii oraz innych technologii związanych z produkcją zielonej energii. Potwierdza to zainteresowaniem programem Mój Prąd, którego 5. edycja została uruchomiona 22 kwietnia a z drugiej strony decyzje, również dużych firm, o zaangażowaniu w ten sektor.

– Podobnie jak w innych sektorach infrastruktury krytycznej, również branże OZE, której znaczenie w energetyce z każdym rokiem rośnie, może stać się ofiarą działań o potencjalnie poważnych konsekwencjach. Z tego względu na baczności powinni mieć się wszyscy uczestnicy rynku – komentuje Aleksander Kostuch, inżynier Stormshield, wytwórcy rozwiązań z obszaru cyberbezpieczeństwa.

Sektor w znacznym stopniu korzysta z dobrodziejstw rozwiązań cyfrowych, które wspierają obsługę procesów i obsługę funkcjonowania instalacji OZE. Szczególnie w przypadku wielkopowierzchniowych farm, zarządzanie nimi bez wykorzystania technologii byłoby niemożliwe. Należy jednak pamiętać, że cyfrowa otwartość niesie ze sobą konsekwencje. Funkcjonowanie rozwiązań Internetu Rzeczy (IoT), będących w stałej łączności on-line oznacza, że tworzy się nowa przestrzeń ataku. A dochodowość tego biznesu z pewnością nie ujdzie uwadze przestępców.

– Otwartość na komunikację ze światem zewnętrznym zwiększa podatność na cyberataki. Ta uniwersalna prawda dotyczy infrastruktury każdego typu, w tym również fotowoltaiki – mówi ekspert.

Ryzyka powodujące straty finansowe i wizerunkowe

Efektem wrogich działań może być zatrzymanie pracy elektrowni, bo przecież nazywając rzeczy po imieniu z taką właśnie kategorią podmiotów mamy do czynienia. To oczywiście najczarniejszy scenariusz, jednak znacznie prostszym do wdrożenia jest uniemożliwienie odczytu danych. Brak raportowania pracy elektrowni słonecznej może wiązać się z karami umownymi. W tym aspekcie istotne jest również, że wielkoskalowe farmy fotowoltaiczne to niejednokrotnie domena spółek notowanych na giełdzie. Jakikolwiek atak znajduje odzwierciedlenie w raporcie bieżącym i może wpływać na inwestorów.

Fotowoltaika czy farmy wiatrowe jako element systemu energetycznego są częścią infrastruktury krytycznej. Jej ochrona ma kluczowe znaczenie. Jednocześnie specyfiką obiektów tego typu jest ich położenie. Z reguły są odseparowane, co z jednej strony mocno utrudnia ochronę i bieżącą obsługę, a z drugiej ułatwia wrogi dostęp.

– Z tych względów prawidłowe zabezpieczenia są niezwykle ważne. To odseparowanie, czy rozproszenie powoduje, że w tego typu obiektach dominuje nadzór elektroniczny. Aby funkcjonował on prawidłowo niezbędnych jest kilka typów urządzeń. Dbałość onajlepsze standardy bezpieczeństwa, także w odniesieniu do instalacji fotowoltaicznych, ma duże znaczenie – komentuje Paweł Grzelewski, administrator sieci w firmie Greenvolt Poland. 

Bezpieczna transformacja energetyki - dobre praktyki w cyfrowym zabezpieczaniu sektora OZE

Aby system cyberbezpieczeństwa funkcjonował prawidłowo, zapewniając dobrą ochronę niezbędnych jest wdrożenie kilku typów urządzeń. Fundamentem pozostaje system UTM, czyli wielofunkcyjna zapora sieciowa obejmująca firewall, antywirus i VPN. Pozwala on kontrolować komunikację informatyczną do i z obiektu. To o tyle istotne, że poza ochroną również bieżąca konserwacja instalacji fotowoltaicznej czy farmy wiatrowej często odbywa się w podobny tj. zdalny sposób, przez mniej lub bardziej zdefiniowane kanały komunikacyjne.

– Znaczenie mają także rozwiązania IPS i SIEM. Pozwalają wychwytywać niepożądany, niestandardowy dostęp do sieci elektrowni oraz przeciwdziałać mu. Uzupełnieniem powinno być funkcjonowanie sieci w oparciu o tunele VPN, czyli prywatne – zabezpieczone połączenia. Domknięciem całości, zorganizowanej w myśl złotej zasady cyberbezpieczeństwa tj. zapewniania jedynie minimalnego dostępu do sieci i tylko podmiotom niezbędnym, są zaawansowane firewalle – wskazuje Paweł Grzelewski.

Oprócz wdrożenia odpowiednich zabezpieczeń, kluczowe jest również zapewnienie pracownikom szkoleń z zakresu skutecznego korzystania z tych narzędzi. Jak zauważa Aleksander Kostuch, zwiększanie świadomości na temat potencjalnych zagrożeń i stałe uzupełnianie wiedzy pracowników zakresie cyberbezpieczeństwa sprawia, że są oni w stanie sprawniej reagować na incydenty.

– Nieodzownym elementem takiej polityki będą bieżące aktualizacje oprogramowania oraz systematyczne audyty bezpieczeństwa, które mają na celu wykrycie wszelkich potencjalnych luk w systemach i protokołach. Dzięki tym środkom można być na bieżąco z pojawiającymi się zagrożeniami i eliminować wszelkie słabości, zanim zostaną wykorzystane – mówi Aleksander Kostuch. – Natomiast klamrą domykającą łańcuch zabezpieczeń jest zapewnienie i tworzenie w sposób regularny kopii zapasowych dla danych krytycznych, tak aby w przypadku ataku można było je przywrócić.

Czy NIS2 będzie gejmczendżerem?

Kluczowym aspektem dla podniesienia poziomu bezpieczeństwa jest świadomość wagi tego zagadnienia wśród kadry zarządzającej. A z tym nie jest najlepiej. Z doświadczeń wielu ekspertów wynika, że ta sfera do niedawna była pomijana, co przekładało się na fakt, że w obiektach tego typu praktycznie nie były tworzone zespoły dedykowane bezpieczeństwu informatycznemu, a ochrona IT był powierzana zewnętrznym usługodawcom.

Aleksander Kostuch przypomina, że wdrożenie dyrektywy NIS2 w prawie krajowym, będzie obejmować wprowadzenie konsekwencji finansowych, dotyczących przypadków zaniechania działań wymaganych przez nowe prawodawstwo od zarządzających podmiotami kluczowymi i istotnymi w całym łańcuch dostaw.

– Pamiętajmy, że elektrownie są elementem infrastruktury krytycznej, która jest narażona na wrogie działania. Dyrektywa NIS2 jest krokiem w dobrą stronę, który w założeniu ma podnieść poziom bezpieczeństwa. Jednak miejmy świadomość, że „faktura nie uchroni nikogo przed atakiem”. Bez implementacji rekomendowanych rozwiązań bezpieczeństwo nie ulegnie poprawie, a ryzyko nie zostanie zminimalizowane – podsumowuje Paweł Grzelewski.

Źródło: imagopr.pl; fot.: freepik / DCStudio