Liczniki energii są bardzo ważne dla cyberbezpieczeństwa w energetyce

Tematyce cyberbezpieczeństwa w energetyce poświęcona była debata, która odbyła się w redakcji „Rzeczpospolitej”. Jej uczestnicy zwracali uwagę na wiele istotnych dla branży zagrożeń, takich jak rosnące zagrożenie atakami hakerskimi – także na systemy energetyczne jako element krytycznej infrastruktury państwa. Mowa była też o rosnącym ryzyku cyberataku w związku z wymianą na dużą skalę liczników w Polsce na urządzenia typu smart (tzw. rollout). Jednym z poruszanych tematów był brak w polskiej energetyce mechanizmów ochrony przed zagrożeniem cyberprzestępczością (audyty/certyfikaty bezpieczeństwa, badania i testy urządzeń z komunikacją, brak wymogu dostarczenia wzorów w przetargach itp).

Uczestnicy debaty wskazywali także na praktyki przetargowe w Polsce faworyzujące dostawców azjatyckich poprzez prymat niskiej ceny – w efekcie w domach Polaków montowane są liczniki smart bez weryfikacji pod kątem bezpieczeństwa cyfrowego. Mówiono także o doświadczeniach zagranicznych – wdrożeniach przez kraje Europy Zachodniej wysokich wymagań technicznych i mechanizmów weryfikacji dostawców technologii, podczas gdy u nas nadal brak regulacji i praktyk w tym obszarze. A także o pilnej potrzebie wprowadzenia w Polsce mechanizmu certyfikowania i testowania liczników energii.

Element bezpieczeństwa sieci

Czy jest tak, że temat cyberbezpieczeństwa w energetyce zarezerwowany jest jedynie dla dużych firm i dotyczy tylko infrastruktury krytycznej? – Taki świat mogliśmy sobie wyobrażać 15 lat temu. Dziś nastąpiły zmiany związane z nowymi technologiami, infrastrukturą, która jest stosowana u konsumentów, klientów podłączonych do sieci operatorów systemów dystrybucyjnych – wyjaśniła Ewa Sikora, koordynator rady dyrektorów ds. dystrybucji Polskiego Towarzystwa Przesyłu i Rozdziału Energii Elektrycznej (PTPiREE).

– A chodzi np. o kwestie związane ze sterowaniem przepływem energii, poziomem napięcia w stacjach elektroenergetycznych, a także o liczniki energii elektrycznej, które być może przeciętny użytkownik kojarzy tylko z kwestią pomiaru. Tymczasem w niedługim czasie będą to urządzenia, które będą zdalnie sterowane, gdzie będzie z nimi utrzymywany stały kontakt. Zresztą takie urządzenia już funkcjonują na rynku. A więc gdy mowa o cyberbezpieczeństwie w energetyce, trzeba pamiętać o odpowiednim przygotowaniu zabezpieczeń, które związane są z przetwarzaniem danych z tych urządzeń – zaznaczyła Ewa Sikora.

Przemysław Frasunek, członek zarządu Redge Technologies, dodał, że dziś wyzwania związane z cyberbezpieczeństwem w energetyce zeszły z poziomu sieci najwyższych napięć do poziomu elementów, które można kontrolować zdalnie. – Są one zainstalowane u konsumenta. To są liczniki energii elektrycznej. Ale elementem infrastruktury krytycznej są także instalacje fotowoltaiczne, gdzie wszystko, co jest instalowane w naszych domach, nie podlega żadnym regulacjom. Są to najczęściej urządzenia dostarczane przez podmioty z Dalekiego Wschodu i zwykle posiadają systemy operacyjne, oprogramowanie, a co za tym idzie – mogą być podatne na wykorzystanie w czasie cyberataku do tego, by zdestabilizować sieć energetyczną – powiedział Przemysław Frasunek.

Arkadiusz Chmielewski, prezes Apatora, zwrócił uwagę, że ostatnio miało miejsce „włamanie do systemu pewnej instytucji”, które nastąpiło przez… akwarium i aplikację mobilną służącą do jego monitoringu, które także nie podlegają żadnej certyfikacji.

– Dlatego dziwię się, że takie urządzenia jak liczniki energii z modułami komunikacyjnymi nie podlegają w Polsce procedurom cyberbezpieczeństwa. Bo służą one nie tylko do pomiaru poboru prądu, ale mają także wpływ na bezpieczeństwo sieci energetycznej. Gdy wyobrazimy sobie, że w przyszłości będziemy mogli mieć dostęp poprzez aplikacje do liczników, to oprócz tego, że ktoś będzie w stanie wyłączyć prąd u nas lub na całym osiedlu, to jeszcze poprzez włamanie do naszego komputera lub smartfona będzie mógł dotrzeć o wiele dalej, do celów, które trudno przewidzieć, gdyż hakerzy często podążają do celu bardzo okrężną drogą – wyjaśnił Arkadiusz Chmielewski.

Jakie są zagrożenia

Podał trzy przykłady możliwych zagrożeń. – Po pierwsze, ktoś może dążyć do tego, żeby nam złośliwie odciąć prąd. Po drugie, może chcieć dostać się poprzez nasz komputer lub smartfon do licznika i dalej do systemu energetycznego. Po trzecie, do przejęcia danych z liczników mogą dążyć złodzieje. Częstym zjawiskiem jest wybieranie przez złodziei konkretnego osiedla, gdzie przez określony czas przeczesują mieszkania. Kluczową informacją dla nich są nawyki mieszkańców. A najłatwiej jest ją pozyskać, monitorując licznik energii, bo wtedy wiadomo, co się dzieje w domu. Takie właśnie były obawy konsumentów, które wstrzymały na rok roll-outy liczników smart w Wielkiej Brytanii i Niderlandach. Może to nastąpić również w Polsce – mówił prezes Apatora.

Andrzej Szymański, prezes, dyrektor ds. sprzedaży w spółce Landis+Gyr, stwierdził, że „popełniliśmy spory błąd zaniechania w rozwoju tej części infrastruktury technicznej”. – 30 lat temu układy pomiarowe służyły tylko do liczenia energii. Od tego czasu liczba funkcji liczników bardzo wzrosła. A w obszarze cyberbezpieczeństwa dotychczas zrobiliśmy niewiele – powiedział.

– W Polsce jest 17 mln punktów pomiarowych energii. Do tego dochodzą liczniki ciepła, wody, gazu, które też mamy w domach. Dyrektywy unijne mówią, że urządzenia te muszą mieć funkcję odczytu zdalnego i pełnią funkcję tzw. bramy domowej, komunikują się z urządzeniami „sieci domowej”. Jest więc to furtka do innych systemów , np. dostęp do alarmu – mówił Andrzej Szymański.

Zwrócił uwagę na jeszcze jeden element. – Liczniki mają dziś rozłączniki, które służą do sterowania obciążeniem. Są one istotnym elementem infrastruktury krytycznej, który można wykorzystać do zachwiania stabilnością systemu. Z kolei liczniki gazu coraz częściej mają zawory sterowane zdalnie. Trzeba więc zająć się bezpieczeństwem i temat ten powinien się znaleźć nie tylko w kręgu zainteresowania producentów, ale także w szerokiej dyskusji w związku z coraz powszechniejszym wdrażaniem inteligentnego opomiarowania – uważa Andrzej Szymański.

Ewa Sikora dodała, że choć kwestia cyberbezpieczeństwa we wspomnianych obszarach nie jest objęta regulacjami, to dbanie o bezpieczeństwo liczników leży także po stronie podmiotów je instalujących.

– Moja firma, Energa Operator, jest przykładem spełnienia procedur cyberbezpieczeństwa oraz dostępu fizycznego i zdalnego do liczników wyposażonych w taką możliwość. I np. wspomniana potencjalna niepowołana ingerencja w rozłączniki zostałaby natychmiast zatrzymana – podkreśliła.

Paweł Pisarczyk, prezes Phoenix Systems, spółki z Grupy Atende, zwrócił uwagę na fakt, że energetyka z modelu scentralizowanego, który obejmował wytwórstwo i dystrybucję, gdzie rola użytkownika była najmniejsza, zmienia się w stronę modelu rozproszonego.

– W nim bardzo istotny staje się odbiorca końcowy, ale także licznik. Z urządzenia pomiarowego przekształca się on w tzw. asystenta energetycznego. Chcemy, by miał on też aktywną rolę w zarządzaniu gospodarstwem domowym. Licznik staje się elementem internetu rzeczy i musimy w szczególny sposób pochylić się nad jego bezpieczeństwem – nad tym, jak jest konstruowane oprogramowanie, w jaki sposób jest audytowane, tak aby był urządzeniem bezpiecznym – opisywał Paweł Pisarczyk. Jak dodał, niestety dziś urządzenia tworzące system smart home to „raj dla hakerów”. – Jest tam to wszystko złe, co było w informatyce 20 lat temu. Badania wyspecjalizowanych firm, zajmujących się zabezpieczeniami, pokazują, jak łatwo włamać się do urządzeń sieci domowej. Dlatego musimy pochylić się szczególnie nad licznikiem. Absurdalne są niektóre głosy na rynku, mówiące, że oprogramowanie licznika jest tak zamknięte, iż nikt nie wie, jak ono działa. Nie można mówić, że gdy nie wiemy, jak coś działa, to jest to bezpieczne – dodał.

Potrzebne specjalistyczne testy

Mariusz Miszewski, pełnomocnik zarządu ds. rozwoju w spółce DGT, zauważył, że wszystkie liczniki energii trafiające na rynek powinny podlegać certyfikacji i przechodzić specjalistyczne testy funkcjonalne i parametryczne. – Na przykład rzadko która procedura przewiduje testy penetracyjne typu „white box”, gdyż wymagają dużej wiedzy o sprzęcie. Realizowane są testy typu „black box”, ale przez hakerów. Żeby przeprowadzać testy skutecznie, producent musi dostarczyć sporo informacji technicznych podmiotowi, który będzie je wykonywał – proponował Mariusz Miszewski.

Jego zdaniem w Polsce nie ma wielu instytucji, które potrafiłyby wykonywać testy penetracyjne sprzętu, gdyż nie da się ich zamknąć w prostej procedurze. – Potrzebna jest rozległa wiedza i stałe śledzenie, co dzieje się na tym rynku, jakie pojawiają się nowe rozwiązania, ale i wyzwania. Na dziś wiem, że takie testy potrafią wykonać jedynie Politechnika Warszawska i Politechnika Gdańska. Nieznany jest mi natomiast żaden instytut, który byłby w stanie to zrobić. Dlatego byłoby warto, aby w przetargach umieszczać wymóg wyrażenia zgody przez producenta, dostawcę na przeprowadzenie testów penetracyjnych. Bo trzeba pamiętać, że do takich testów potrzebna jest taka zgoda – dodał przedstawiciel spółki DGT.

Zaufani dostawcy

Mariusz Miszewski mówił także, że należy pamiętać, iż bezpieczeństwo systemu to bezpieczeństwo oprogramowania i bezpieczeństwo sprzętu, „a to są dwie różne rzeczy”. Ważne jest na przykład, skąd pochodzą czipy.

– W czipie mogą zostać umieszczone w fazie produkcji tzw. trojany hardware’owe zmieniające sposób pracy sprzętu. A jeśli trojan będzie zawarty w samym urządzeniu, w czipie, to cały system bezpieczeństwa oprogramowania przestaje być kluczowy. Wykrycie takiego trojana jest bardzo skomplikowane, trzeba do tego użyć sztucznej inteligencji, analizuje się np. pobór mocy czy pole elektromagnetyczne wokół czipa. Należy posiadać wiedzę o strukturze oprogramowania i czipa, sposobie implementacji firmware, technologii wykonania czipa. Jeśli więc nie będziemy kupować urządzeń od zaufanego dostawcy, narażamy się na określone ryzyka – wyjaśnił Mariusz Miszewski.

Uczestnicy debaty wskazywali, że sposób certyfikacji liczników energii jest mocno zapóźniony w stosunku do rzeczywistości, gdyż wciąż sprowadza się praktycznie tylko do sprawdzenia, czy licznik właściwie mierzy pobór energii. – A pominięte jest to, w jaki sposób to robią, podobnie jak kwestia oprogramowania i komunikacji. Dlatego w Polsce należy stworzyć procedury, które mówią o tym, że zanim licznik zostanie dopuszczony, musi podlegać audytowi przez zewnętrzny uznany podmiot zatrudniający odpowiednich specjalistów – mówił Paweł Pisarczyk, prezes Phoenix Systems, spółki z Grupy Atende.

Przemysław Frasunek wskazał, że jest dla niego zaskakujące, że powstała ustawa o krajowym systemie cyberbezpieczeństwa (KSC), która odnosi się przede wszystkim do rynku telekomunikacyjnego. – A ten rynek, szczególnie sieć 5G, jest dużo mniej zagrożony atakami niż rynek energetyczny. KSC mówi choćby o audycie czy o tym, że mamy dostawców wysokiego ryzyka. Dlaczego podobnych rozwiązań nie zastosować także dla rynku energetycznego – proponował członek zarządu Redge Technologies.

Andrzej Szymański zwrócił uwagę na konieczność testowania urządzeń w przetargach, ale jednocześnie zauważył, że można skorzystać z referencji, gdyż – jak mówił – np. „urządzenia przechodzą testy przy projektach europejskich, gdzie świadomość cyberbezpieczeństwa jest wyższa”. Nawiązując do potrzeby certyfikacji liczników w Polsce, wskazał, że można skorzystać z praktyk innych krajów.

– Może nie warto wymyślać koła, tylko skorzystać z doświadczeń, które są w Unii Europejskiej. Takie doświadczenia, obok wspomnianych już państw, są także choćby w Belgii, Francji czy krajach skandynawskich. Działamy na wspólnym rynku i jako producenci i dostawcy rozwiązań pracujemy w różnych gremiach technicznych, które tworzą rozwiązania możliwe do implementacji. Każdy kraj ma swoją specyfikę i tempo rozwoju rynku, ale wykorzystanie doświadczeń innych pozwoli na uzyskanie premii technologicznej dzięki skróceniu czasu i uniknięciu znanych już błędów czy problemów, które pojawiały się przy wdrażaniu nowych technologii – podkreślił Andrzej Szymański. – Na tej podstawie można także przygotować warunki postępowania i przetargi – dodał prezes Landis+Gyr.

Zmienić procedury

Arkadiusz Chmielewski zwrócił uwagę, że mówiąc o roll-oucie liczników smart w Polsce, należy pamiętać o tym, że na rynku nie będzie jednego standardu wymiany liczników z tradycyjnych na inteligentne. – To już nie jest możliwe. Mamy w praktyce sześć roll-outów, czyli tyle, ile jest operatorów sieci dystrybucyjnej. Każdy wziął sprawy w swoje ręce. Jedni robią to lepiej, inni gorzej, a niektórzy w ogóle. Nie odwrócimy już tego, chodzi bardziej o przyjęcie pewnych wspólnych kryteriów, zasad działania. Co ważne, jest to możliwe nawet „od ręki” – podkreślił.

– Bez nich działamy do pierwszego poważnego kryzysu, gdzie Polak będzie mądry po szkodzie? – pytał prowadzący debatę Artur Osiecki z „Rzeczpospolitej”.

– To możliwe, tym bardziej że w Polsce zostało już zainstalowanych co najmniej kilkaset tysięcy liczników pochodzących z Dalekiego Wschodu, dopuszczonych do instalacji jedynie na podstawie deklaracji producenta. Nie wymagano nawet wzorów w trakcie postępowania przetargowego. A dostarczenie wzoru, udostępnienie kodu i złożenie go w ESCROW to jest absolutne minimum. Te urządzenia już działają w sieci. Czy nie będziemy musieli ich zdejmować i płacić za roll-out dwa razy? – zastanawiał się Arkadiusz Chmielewski.

Mówił także o potrzebie natychmiastowych zmian w postępowaniach przetargowych, tak by kryterium ceny nie było dominujące. – Mamy zupełnie nowy licznik, który dopiero idzie z Dalekiego Wschodu. Nikt go wcześniej w Polsce nawet nie widział ani nie instalował. Producent czy dystrybutor deklaruje, że spełnia wszystkie wymagania specyfikacji, i dostaje komplet punktów. I przetarg zakończony – powiedział prezes Apatora. Dodał, że są jaskółki zmian, gdyż w najnowszych przetargach, ogłoszonych w ostatnich dniach, operatorzy wskazują potrzebę pokazania przez producenta wzoru, na którym oparty jest zgłaszany do przetargu licznik.

W ocenie Andrzeja Szymańskiego „polskie przetargi są nie fair wobec dostawców”.

Zdaniem Przemysława Frasunka z Redge Technologies rozwiązania prawne powinny zostać zrealizowane w trzech obszarach. – Pierwszy dotyczy KSC, czyli ramowych zasad, które pozwalają np. wykluczyć na poziomie państwowym pewnych dostawców, uznawanych za ryzykownych, ponieważ działają w sposób przedstawiony już w naszej debacie. Drugi obejmuje regulacje branżowe. PTPiREE powinno opracować ramy działania, czy wskazać wytyczne, w jaki sposób powinny być rozpisywane przetargi, tak by wykluczać dostawców mało wiarygodnych. Trzeci obszar to regulacje funkcjonujące już w poszczególnych instytucjach, które mogą dopracowywać rozwiązania zaproponowane przez KSC czy przez regulatorów branżowych – proponował Przemysław Frasunek. On także zgodził się, że poleganie na urządzeniach pochodzących z Dalekiego Wschodu wiąże się z dużym ryzykiem.

Paweł Pisarczyk w kontekście tematu debaty nawiązał także do patriotyzmu gospodarczego krajowego i regionalnego. – Mamy w Unii Europejskiej wielu poważnych producentów, którzy inwestują, budują oddziały. Powinniśmy więc wykorzystywać nasz potencjał gospodarczy i dbać o to, by nasze rozwiązania były wykorzystywane na rynku, by nie były zagrożone – wskazywał prezes Phoenix Systems.

Opinia partnera debaty

Arkadiusz Chmielewski, prezes zarządu Apator SA:

Skala cyberataków nasiliła się w związku z atakiem Rosji na Ukrainę. Zagrożona jest cała infrastruktura krytyczna, w tym sieć elektroenergetyczna kraju. Konieczne jest wypracowanie niezbędnych regulacji, stosowanie wysokich wymagań technicznych, weryfikacja dostawców przez zamawiających i wreszcie – projektowanie bezpiecznych technologii przez producentów rozwiązań dla infrastruktury krytycznej państwa.

Konflikty i napięcia geopolityczne już dawno przeniosły się do cyberprzestrzeni, ale niebezpieczne incydenty w sieci uległy eskalacji w ostatnim czasie, dlatego UE podejmuje nadzwyczajne działania w kierunku wzmocnienia swojego bezpieczeństwa cybernetycznego i informacyjnego. Sektor energetyczny ma kluczowe znaczenie dla funkcjonowania kraju – jest odpowiedzialny za zasilanie krytycznych obiektów państwowych oraz zapewnienie ciągłości dostaw energii. W Polsce rozpoczyna się masowa wymiana liczników energii elektrycznej na urządzenia ze zdalnym odczytem (tzw. smart). Do 2028 r. aż 80 proc. naszych liczników będzie wyposażonych w moduł komunikacyjny umożliwiający zdalny przesył danych z urządzenia do systemu informatycznego OSD i odwrotnie – z centralnego systemu operatora do licznika. Stąd prosty wniosek, że liczniki smart jako element infrastruktury krytycznej powinny podlegać rzetelnej ocenie pod kątem bezpieczeństwa cyfrowego przed ich dopuszczeniem na nasz rynek. Komisja Europejska pracuje obecnie nad dyrektywą NIS2, nowelizującą prawo o bezpieczeństwie cyfrowym obowiązujące w UE – powinny być w niej uwzględnione wszystkie urządzenia pracujące w sieci elektroenergetycznej, które są wyposażone w zdalne moduły komunikacyjne. Mogą one bowiem zostać wykorzystane do ataku na systemy informatyczne dystrybutorów, prowadząc do destabilizacji sieci, a nawet odcięcia zasilania dzielnic mieszkalnych lub całych miast.

Liczniki energii elektrycznej nabywane są przez państwowe spółki energetyczne w ramach ogłaszanych przetargów publicznych i dostarczane w ilościach setek tysięcy sztuk, na podstawie kontraktów zawieranych na rok lub dwa. Formuła przetargów, w których aspektem dominującym jest cena produktu, w praktyce doprowadziła do zalewu polskiego rynku tanimi licznikami z Azji. Niektóre OSD nie weryfikują dostawców, ani nie wymagają wzorców produktów w procesie wyboru oferty. Niska cena i deklaracja producenta okazują się wystarczające. W efekcie takiej polityki zakupowej Polska staje się zależna technologicznie i logistycznie od dostawców azjatyckich.

Dostawcy z Dalekiego Wschodu nie inwestują kapitału w UE, a w miejscu produkcji oddalonym od Polski o tysiące kilometrów korzystają z subwencji rządowych i niższych stawek za energię. Wiele krajów wprowadziło lokalnie warunki wyrównujące pole konkurencji (np. Niemcy, Francja, Wielka Brytania oraz Włochy). W Polsce, ulegając presji ceny i kosztów, zaczynamy zaniedbywać nawet podstawowe wymagania, które były stosowane dla mniej narażonych na cyberatak liczników bez komunikacji.

Dziś, w obliczu cyfrowych zagrożeń, powinniśmy szczególnie polegać na sprawdzonych metodach oceny producentów – referencjach na jakość produktów, weryfikacji technologii poprzez certyfikaty i testy laboratoryjne oraz wymogach technicznych dotyczących odpowiednich zabezpieczeń stosowanych w urządzeniach. Pamiętajmy, że licznik smart będzie współpracował z systemami zdalnej akwizycji danych pomiarowych oraz systemami billingowymi OSD, a zatem w grę wchodzą także aspekty bezpieczeństwa przechowywania danych pozyskiwanych za jego pośrednictwem.

Praktyka w Polsce odbiega od standardów stosowanych w innych krajach europejskich. Brakuje regulacji i mechanizmów gruntownej technicznej weryfikacji liczników pod kątem bezpieczeństwa cyfrowego (a co za tym idzie, faktycznej oceny ich potencjalnego negatywnego wpływu na funkcjonowanie krytycznej infrastruktury energetycznej kraju). Dostawcy nie są weryfikowani w procesach prekwalifikacji, nie przeprowadza się audytów lokalizacji produkcji, w wielu przetargach odchodzi się od wymogu dostarczenia wzorca, co praktycznie uniemożliwia jakąkolwiek weryfikację techniczną produktu. Cena nie może być jedynym parametrem zakupu dla urządzeń, które mogą zdalnie wyłączać lub włączać energię, ponieważ bezpieczeństwo sieci nie ma ceny.

W Polsce istnieje pilna potrzeba wprowadzenia mechanizmu certyfikowania i testowania urządzeń ze zdalną komunikacją w zakresie bezpieczeństwa przesyłania i udostępniania danych. Proces kontroli bezpieczeństwa cyfrowego powinien dotyczyć całego łańcucha dostaw (także komponentów elektronicznych i oprogramowania wbudowanego). Powinniśmy mieć pewność, że rozwiązania pochodzą z wiarygodnego źródła, mają niezbędne zabezpieczenia cyfrowe i podlegają rzetelnej weryfikacji przez krajową, posiadającą niezbędne know-how, instytucję.

Na początek warto podjąć podstawowe środki bezpieczeństwa: warunek generowania i przechowywania kluczy szyfrujących do liczników smart w Polsce (lub w kraju z obszaru NATO), udostępnienie przez dostawcę kodów źródłowych firmware’u liczników do weryfikacji przez zamawiającego oraz wymóg dostarczenia wzorców przed rozstrzygnięciem przetargów. To absolutne minimum, aby uniknąć niebezpiecznej sytuacji, w której możemy utracić kontrolę nad własną infrastrukturą energetyczną.

Opinia partnera debaty

biznes

Pozostało 97% artykułu