Osigurati cyber sigurnost električne mreže

IEC-ov Urednički tim

Preuzeto sa: www.iec.ch

Rat u Ukrajini naveo je mnoge zemlje da postanu svjesne potrebe za osiguranjem svojeg opskrbljivanja energijom. Obnovljen strah od cyber napada na ključne resurse, poput sustava napajanja električnom energijom, posebice je visoko na dnevnom redu europskih ustanova. Prema članku u časopisu Politico, od invazije Rusije na Ukrajinu, hiljade cyber napada utjecalo je na energetsku mrežu u Europi. Nedavno izvješće Međunarodne agencije za energetiku otkrilo je da se prosječan broj cyber napada na energetska poduzeća svakog tjedna više nego udvostručio između 2020. i 2022. godine diljem svijeta.

IEC razmatra mogućnost kreiranja sheme za ocjenjivanje sukladnosti (CA) kako bi certificirali sustave obnovljive energije povezane sa sustavima za prijenos i distribuciju energije zbog njihove cyber sigurnosti.

„Opskrbljivači energijom iz obnovljivih izvora definitivno su svjesni rizika od cyber napada. Mi u IEC-ovim sustavima za ocjenjivanje sukladnosti razmatramo kako na najbolji način implementirati shemu cyber sigurnosti za sustave obnovljive energije”, potvrđuje glavni ravnatelj IECRE-a Alistair Mackinnon. IECRE je IEC-ov sustav za certifikaciju prema standardima koji se odnose na opremu za uporabu u području obnovljivih izvora energije.

Standardi cyber sigurnosti za pametnu mrežu

Franses Cleveland, koja predvodi napore na polju cyber sigurnosti za mrežu unutar IEC-ovog Tehničkog komiteta 57 koji objavljuje osnovne standarde za pametnu mrežu kaže: „Cyber sigurnost je nužna u čitavoj električnoj mreži, uključujući distribucijske sustave, prijenosne sustave i obnovljive energetske resurse koji su s njima povezani. Moramo u to uvjeriti sve različite zainteresirane strane koje su uključene, a njih ima mnogo, od proizvođača, dobavljača, instalatera, pa sve do agregatora i regulatora usluga”, kaže Cleveland.

Skupina koju ona predvodi unutar TC 57 izradila je seriju standarda IEC 62351[1] koja daje zahtjeve za cyber sigurnost, kao i smjernice za ugrađivanje sigurnosti u dizajn sustava i operacija prije no što se izgrade, umjesto da se sigurnosne mjere primjenjuju nakon što su sustavi već implementirani. Neki od različitih sigurnosnih ciljeva ovih zahtjeva uključuju autentifikaciju prijenosa podataka putem digitalnih potpisa, omogućivanje samo autentificiranog pristupa, sprječavanje prisluškivanja, sprječavanje reprodukcije i krivotvorenja, kao i otkrivanje upada.

„Ideja je natjerati zainteresirane strane za distribuirane izvore energije (Distributed Energy Resources ‒ DER), među kojima su tvrtke za proizvodnju obnovljive energije,  da proizvode i povezuju ove DER sustave s integriranim cyber sigurnosnim politikama i tehnologijama ugrađenim od samog početka, drugim riječima, DER sustavima koji su sigurni od samog dizajna. Ako se o cyber sigurnosti počne razmišljati tek onda kada je sustav već u funkciji, to je kao da na ozbiljnu ranu stavljate flaster”, kaže Cleveland.

Sustavi obnovljive energije, slaba karika?

Povezivanje operatera za obnovljive izvore energije s elektroenergetskom mrežom vjerojatno će dovesti do toga da će postati ciljevi cyber napada, posebice zato što uključuju mnoge različite zainteresirane strane s ograničenim stručnim znanjem o cyber sigurnosti i zato što DER sustavi za komunikaciju obično koriste javni internet. Cyber napadači koji koriste sofisticiranu tehnologiju sve više traže ranjivosti u operativnoj tehnologiji (OT) organizacija koje možda nisu dio elektroenergetskog sustava, ali su s njim povezane. Napadači se usredotočuju na „slabu kariku u lancu” koja možda nije adekvatno ulagala u sigurnost svog OT-a, a sustavi obnovljive energije ponekad se smatraju tim slabim karikama.

Prema CohnReznicku, tvrtki za porezno savjetovanje, nove kompanije u sektoru obnovljive energije pretežno nemaju glavnog službenika za informacijsku sigurnost, ili tu uloga obavlja drugi službenik tvrtke. Međutim, rizik od cyber napada je toliko rasprostranjen da oni savjetuju tvrtke za obnovljivu energiju da imenuju kompetentnog sigurnosnog službenika s dovoljno autonomije da primjenjuje politike, prakse i kontrole nužne za zaštitu ne samo informacijske i operativne tehnologije, već i operativnog kontinuiteta, financijske stabilnosti i ugleda tvrtke. Ovo je samo jedan od prijedloga koji bi mogao biti dio novog IEC-ovog programa za ocjenjivanje sukladnosti cyber sigurnosti za sustave obnovljive energije.

„Ključ uspješnog i sveobuhvatnog programa cyber sigurnosti za sustave obnovljive energije bit će iskorištavanje iskustva iz IECEE industrijskog programa cyber sigurnosti i dubokog znanja stručnjaka IECRE-a koji se odnosi na sustave obnovljive energije. Uz suradnju obje ove skupine, možemo razviti uslugu visoke tržišne relevantnosti koja donosi pravu dodanu vrijednost za sve zainteresirane strane”, kaže izvršni tajnik IECRE-a i IECEE-a Wolfram Zeitz. IECEE je IEC-ov sustav shema ocjene sukladnosti za elektrotehničku opremu i komponente.

Kompletan članak možete pročitati u e-techu.


[1] Institut za standardizaciju BiH je preuzeo određen broj standarda iz serije IEC 62351.