Wymiana liczników w Polsce na urządzenia ze zdalnym odczytem wchodzi w finalną fazę, ale konieczne jest uregulowanie rynku pod względem cyberbezpieczeństwa. Brak standaryzacji może być zagrożeniem dla bezpieczeństwa infrastruktury krytycznej - wynika z ekspertyzy przygotowanej przez Apator i ComCERT.
"Sieci energetyczne w Polsce są na początku drogi do transformacji w kierunku inteligentnych rozwiązań, których elementem są liczniki zdalnego odczytu. (...) W Polsce jest 18 mln liczników, a obecnie jesteśmy w decydującej fazie rolloutu liczników energii elektrycznej. Na ten moment wymienionych jest ok. 4 mln liczników" - poinformował prezes Apatora Maciej Wyczesany podczas spotkania z dziennikarzami.
Jak ocenił, zagrożeniem jest to, że urządzenia będące częścią infrastruktury krytycznej kraju nie są uregulowane, jeśli chodzi o standardy cyberbezpieczeństwa, a ponad połowa z zainstalowanych do tej pory urządzeń pochodzi spoza EOG (Europejskiego Obszaru Gospodarczego).
"Od jakiegoś czasu widzimy spore zagrożenie związane z tym, że te urządzenia, które zawierają w sobie funkcje inteligentne, w żaden sposób nie są zestandaryzowane, co oznacza, że na infrastrukturze krytycznej w kraju funkcjonują urządzenia będące elementem tej infrastruktury nie podlegające żadnej standaryzacji, jeśli chodzi o cyberbezpieczeństwo (...). Są to urządzenia inteligentne, które nie tylko mierzą prąd, ale także gromadzą dane na temat profilu zużycia energii, personalne i umożliwiają zdalne sterowanie tymi licznikami" - powiedział Wyczesany.
"Naszym postulatem jest, w krótkiej ścieżce, skorzystanie przez Ministerstwo Cyfryzacji z rekomendacji dotyczącej warunków zamówień publicznych oraz stworzenie w szybkim tempie miękkiej ścieżki certyfikacyjnej, która w pewnym sensie regulowałaby wymagania dotyczące urządzeń i dawała poszczególnym OSD podstawy do tego, by móc się na coś powołać" - dodał.
Przedstawione w ekspertyzie proponowane rozwiązania w trybie pilnym to zmiana ustawy o krajowym systemie cyberbezpieczeństwa, obejmująca m.in. wymaganie wdrożenia przez dostawców rozwiązań pomiarowych dla energetyki Systemu Zarządzania Bezpieczeństwem Informacji, a także rekomendacje pełnomocnika rządu ds. cyberbezpieczeństwa, aby w krajowym systemie energetycznym nie stosować urządzeń lub oprogramowania pochodzących spoza Europejskiego Obszaru Gospodarczego.
Rozwiązaniem docelowym w przyszłości ma być weryfikacja dostawców rozwiązań pomiarowych dla energetyki w oparciu o tzw. "lekkie" schematy certyfikacji w akredytowanych laboratoriach i jednostkach certyfikujących.
Jak wskazał dyrektor ds. aparatury i systemów pomiarowych Apatora Artur Bratkowski, w innych krajach europejskich wyzwanie związane z cyberbezpieczeństwem zostało rozwiązane właśnie regulacjami.
"Przykładem jest Republika Czeska, gdzie urząd cyberbezpieczeństwa wprowadził rekomendację, która powoduje, że każdy z zakładów energetycznych musi weryfikować łańcuch dostaw. To samo jest w innych krajach - np. Grecja zakłada, że dla bezpieczeństwa wszystkie liczniki, które będą instalowane w kraju, muszą być w kraju produkowane. Estonia wprowadziła zapis, że kody źródłowe i klucze szyfrujące powinny być przechowywane na terenie państwa w UE lub państwa, które jest w NATO" - powiedział Bratkowski.
Dodatkowo - jak poinformował - na rynkach europejskich można zaobserwować wprowadzanie certyfikacji lokalnej, krajowej, a przykładem jest tutaj rynek niemiecki.
"Widzimy też taki trend, że firmy z Dalekiego Wschodu obserwują co się dzieje z cyberbezpieczeństwem, by móc nadal dostarczać urządzenia" - dodał Bratkowski.
Przedstawiciele spółki wskazali, że istotna jest weryfikacja łańcuchów dostaw.
"Typowe ataki związane są (...) np. z umożliwieniem odcięcia zasilania. (...) Masowe odcięcie zasilania w tym samym momencie doprowadzi do tego, że sieć elektroenergetyczna może przestać być stabilna. I to jest jedno z największych zagrożeń jakie widzimy, które może być efektem cyberataku" - ocenił dyrektor ds. rozwoju aparatury i systemów pomiarowych Łukasz Zaworski.
"Jeśli chodzi o kluczowe komponenty to współpracujemy z firmami z Europy Zachodniej, Stanów Zjednoczonych, Japonii - one dostarczają nam krytyczne komponenty elektroniczne jak procesory" - dodał.
Bratkowski zwrócił uwagę, że na polskim rynku działa pięć dużych koncernów energetycznych, a z racji tego, że nie ma żadnej rekomendacji nie dla każdego cyberbezpieczeństwo jest priorytetem. Nie pomaga w tym zapis w prawie energetycznym zakładający, że w 2025 r. 35 proc. liczników musi być zdalnego odczytu.
"Masowość tego procesu jest zagrożeniem, o którym mówimy (...). Nasze rozwiązania, to nad czym pracujemy, są naszym zdaniem pod pełną naszą kontrolą i wiemy, co dostarczamy. W konfrontacji z zagrożeniami, które widzimy na rynku może to być dla nas potencjalnie sytuacja, w której nasze urządzenia będą funkcjonowały z urządzaniami, które nie są w żaden sposób zweryfikowane ponieważ nie ma standardów weryfikacji" - powiedział prezes Wyczesany.
"Rozwiązania, które proponujemy nie służą eliminacji żadnego dostawcy. Wynikają z chęci ustandaryzowania i uregulowania rynku pod kątem wymagań cyberbezpieczeństwa. (...) Chcemy stworzenia ram działania urządzeń, specyfikacji, wymagań w zakresie cyberbezpieczeństwa" - dodał.
Ekspertyza "Zagrożenia dla cyberbezpieczeństwa inteligentnych sieci w Polsce w związku z rolloutem liczników smart wraz z rekomendacjami w zakresie przeciwdziałania zagrożeniom" powstała we współpracy ComCERT i Apator.
Apator jest producentem urządzeń i systemów pomiarowych oraz rozwiązań do automatyzacji pracy sieci elektroenergetycznej.
ComCERT należy do Grupy Asseco i jest firmą doradczą specjalizującą się w usługach typu CERT (Computer Emergency Response Team) na rynku przedsiębiorstw i instytucji w Polsce. (PAP Biznes)
doa/ ana/
