Cyberbezpieczeństwo odnawialnych źródeł energii. Komisja Europejska uściśla nadzór

Rosyjski atak na operatora Internetu satelitarnego ViaSat wiosną 2022 r. spowodował dezaktywację tysięcy turbin wiatrowych w Niemczech, gdy ich systemy monitoringu przeszły w stan off-line.

Zdjęcie autora: Dawid Kaczmarczyk

Dawid Kaczmarczyk

Redaktor

Podziel się

Oczywiście prawdziwym celem hakerów raczej nie był niemiecki sektor OZE, a Ukraiński rząd i wojsko, które również korzystały z łączności z tych samych satelitów - ale skoro podobne szkody mogą być wyrządzone przypadkiem, to o ile więcej można zrobić celowo? Jak poważne jest zagrożenie i co się w tej sprawie robi?

Większa zależność od cyberprzestrzeni

Transformacja energetyczna jest zależna od inteligentnej infrastruktury energetycznej, ale ta inteligencja ma sens dopóty, dopóki nie zostanie zhakowana” - Swantje Westpfahl, Institute for Security and Safety GmbH, z publikacji Energy Cyber Priority, DNV GL

Realizacja ambicji prawdziwie niskoemisyjnej gospodarki energetycznej zależy od mądrego wykorzystania pogody i innych sił wytwórczych tak, by razem optymalnie wykorzystały dostępne zasoby. To z kolei wymaga komunikacji między tysiącami i setkami tysięcy komputerów obsługujących instalacje fotowoltaiczne, turbiny wiatrowe, magazyny energii, biogazownie, klasyczne elektrownie i wiele innych urządzeń. Większa zależność od cyberprzestrzeni oznacza większą powierzchnię ataku i więcej słabych punktów.

Mikroinstalacje również mogą być problemem:

Istnieją konkretne obawy, że haker mógłby zyskać dostęp do inwerterów przez łącze internetowe i znacząco zmienić przepływ mocy do sieci elektroenergetycznej. W najgorszym wypadku haker mógłby w ten sposób powodować duże, nagłe wzrosty i spadki dostaw energii, zakłócając równowagę sieci na poziomie miejscowym, stanowym lub narodowym i powodując rozległe przerwy w dostawie prądu.” - z publikacji Potential Electric Grid Vulnerability from Cyber Enabled Foreign Actors, Raymond Watts, Brian Kline, Ridge Global

Sieć energetyczna jest systemem „rozciągliwym” i o sporej elastyczności, jednak zagrożenie cyberprzestępczością jest na tyle poważne, że Komisja Europejska przedsięwzięła w tym kierunku kroki.

Dyrektywa NIS2

W styczniu 2023 Komisja Europejska wydała dyrektywę w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii (dyrektywa NIS2). Zmienia ona poprzednią dyrektywę NIS, wprowadzając surowsze regulacje.

W jaki sposób ta dyrektywa może zabezpieczyć prosumentów?

Weźmy pod uwagę przykładowe zagrożenie: inwerter, który ze względu na umyślne działanie lub zwykłą pomyłkę umożliwia zdalne przejęcie nad nim kontroli przez obce mocarstwo lub przypadkową grupę hakerów. Dyrektywa NIS2 adresuje to ryzyko na kilka sposobów:

Po pierwsze, istnieje większa szansa, że taki inwerter nie zostanie dopuszczony na rynek europejski, bo dyrektywa sugeruje nałożenie na dystrybutorów dodatkowych obowiązków związanych z zabezpieczeniem łańcucha dostaw pod kątem cyberbezpieczeństwa. Regulacje obejmą więcej firm, mówimy tu również o przedsiębiorstwach średniej wielkości. Dodatkowo ENISA - Agencja do spraw Cyberbezpieczeństwa Unii Europejskiej - może wspomagać państwa członkowskie w ocenie ryzyka dostaw dla kluczowych sektorów.

Jeśli jednak taki inwerter trafi już na rynek, to może zostać szybciej wykryty. Dyrektywa uściśla obowiązki powiadamiania o „incydentach” - jeśli ktoś (np. dystrybutor) wykryje przypadki cyberataków na inwertery z danej serii, musi o tym powiadomić odpowiednie organy - nawet jeśli miałoby to zaszkodzić jego interesom.

Dlaczego musi? Bo dyrektywa nakłada wyższe kary za brak zgodności - grzywny mogą wynosić do 10 mln euro lub 2% całkowitego światowego rocznego obrotu organizacji. 

Dyrektywa ma być wprowadzona do prawa krajowego państw członkowskich do października 2024 roku. 

Źródło: Energy Cyber Priority, DNV GL, The Satellite Hack Everyone Is Finally Talking About, Katrina Manson, Bloomberg

Zdjęcie autora: Dawid Kaczmarczyk

Dawid Kaczmarczyk

Redaktor