Energetyka w sieci cyberzagrożeń

Energetyka w sieci cyberzagrożeń


Liczba cyberataków na sektor energetyczny stale rośnie. Dlatego konieczne jest stworzenie kompleksowej strategii cyberbezpieczeństwa z wykorzystaniem najnowszych technologii, której ważnym elementem powinna być także międzysektorowa współpraca.

Wraz z rozwojem cyfrowej gospodarki rośnie zagrożenie cyberatakami, a koszty szkód, jakie powodują, są coraz większe. Jak podano podczas 2023 World Economic Forum, straty, które firmy odnoszą w wyniku działania cyberprzestępców, będą w ciągu najbliższych dwóch lat rosły o 15 proc. rocznie, osiągając do 2025 r. 10,5 biliona USD. 

Kluczowe sektory gospodarki, takie jak energetyka, są nieustannie na celowniku cyberprzestępców. Według Agencji Unii Europejskiej ds. Cyberbezpieczeństwa już w 2020 r. odnotowano około 300 cyberataków na unijne sektory infrastruktury krytycznej, w tym energetykę. Po ataku Rosji na Ukrainę w 2022 r. liczba incydentów uległa zwielokrotnieniu, ponieważ stały się one częścią nowoczesnych działań wojennych przeprowadzanych przez wykwalifikowane grupy. Wzrost ataków ukierunkowanych na infrastrukturę krytyczną widoczny jest również w naszym kraju. W 2022 r. zespół CERT Polska obsłużył 4320 incydentów naruszających cyberbezpieczeństwo w obszarze energetyki, co stanowiło prawie 11 proc. wszystkich zarejestrowanych przypadków. W 2023 r. liczba ta wzrosła dwukrotnie – do 9197

Szczególne zagrożenie stanowi obecnie ransomware, czyli rodzaj szkodliwego oprogramowania blokującego dostęp do danych lub systemu poprzez ich zaszyfrowanie i żądającego okupu za ich odblokowanie. Ataki na sektor energetyczny mogą mieć różny zasięg i charakter oraz daleko idące konsekwencje.

 


Przykłady:

  • Amerykańska sieć rurociągów na Wschodnim Wybrzeżu została w 2021 r. zaatakowana za pomocą oprogramowania ransomware. Incydent zmusił władze federalne do ogłoszenia stanu wyjątkowego w 17 stanach, a zakłócenia w dostawach benzyny, paliwa do silników odrzutowych i oleju napędowego były w regionie długo odczuwalne. 
  • W kwietniu 2022 r. powiązani z Rosją hakerzy Sandworm zaatakowali podstacje elektryczne wysokiego napięcia w Ukrainie. Napastnicy wykorzystali wariant szkodliwego oprogramowania nazwany Industroyer2, który wchodzi w interakcję z systemami kontroli zarządzającymi przepływem mocy. Był to kolejny atak na infrastrukturę elektroenergetyczną w Ukrainie w ciągu ostatnich lat.

Polska także nie jest bezpieczna. W 2022 r. jedna z polskich elektrowni została zaatakowana przez ransomware Ragnar Locker, co doprowadziło do wycieku danych osobowych.


Wyzwania związane z zabezpieczeniem 

W wyniku digitalizacji sektor energetyczny jest coraz mocniej uzależniony od systemów cyfrowych. Sprawia to, że cyberbezpieczenstwo stanowi absolutny priorytet. Zbudowanie kompleksowej strategii ochrony jest jednak bardzo skompilowanym procesem. 

Przede wszystkim sektor energetyczny jest mocno zróżnicowany. W jego skład wchodzą firmy odpowiedzialne za wytwarzanie energii, jej przesył oraz dystrybucję. W każdym z tych obszarów działają przedsiębiorstwa o różnym stopniu dojrzałości. Jednocześnie wszystkie razem tworzą ekosystem wielu wzajemnych powiązań, stanowiący swoiste domino. Przewrócenie jednego elementu może pociągnąć za sobą inne i doprowadzić do braku dostępu do energii, dotkliwego w skutkach dla firm, państw i obywateli.

Dodatkowo utrzymanie cyberbezpieczeństwa w branży energetycznej wymaga zabezpieczenia zarówno systemów informatycznych (IT), jak również systemów operacyjnych (OT), w tym systemów automatyki przemysłowej. Należy przy tym zaznaczyć, że niektóre z tych rozwiązań zostały wdrożone nawet 20 czy 30 lat temu, a potem bardzo rzadko je aktualizowano. W efekcie przestępcom łatwiej jest wykryć luki w ich zabezpieczeniach, co przekłada się wprost na liczbę incydentów. 

Niestety nie należy spodziewać się, aby sytuacja uległa szybkiej poprawie. Sektor energetyczny wciąż posiada dług technologiczny, co sprawia, że cyberprzestępcy widzą w nim atrakcyjny cel dla swoich działań, a atak może nastąpić z najmniej oczekiwanej strony. Dlatego kluczowa w opracowaniu skutecznego systemu ochrony cybernetycznej jest wiedza na temat wszelkich aktywów, takich jak serwery czy kontrolery, które mogą stać się potencjalnym celem ataków. 

 

Raport NIS2

dla sektora energetyki w Polsce

Strategia bezpieczeństwa

Jak powinna wyglądać strategia bezpieczeństwa w sektorze energetycznym? Przede wszystkim powinna być kompleksowa i wszechstronna. Elementy, które musi ona obejmować to m.in.: 

  • Ocena i zarządzanie ryzykiem. Absolutnie kluczowa jest identyfikacja potencjalnych zagrożeń i podatności w całym ekosystemie energetycznym oraz opracowanie: strategii minimalizacji ryzyka, planów reagowania na incydenty i ciągłości działania.
  • Zrozumienie wpływu technologii oraz wdrażanych rozwiązań na organizację. Dobra praktyką jest powołanie specjalistycznej jednostki ds. bezpieczeństwa. Wdrożenie zaawansowanych rozwiązań technologicznych nie oznacza bowiem automatycznie, że firma będzie gotowa z nich korzystać w wymiarze organizacyjnym, procesowym czy ludzkim.
  • Rozróżnienie między systemami IT i OT oraz odpowiednia ochrona tych systemów. Między systemami informatycznymi (IT) oraz technologiami operacyjnymi (OT) często stawiany jest znak równości, a wprowadzane rozwiązania mają charakteryzować się uniwersalnością. To błąd, w wyniku którego systemy OT często działają na przestarzałym oprogramowaniu i sprzęcie, nie zawsze zaprojektowanym z myślą o cyberbezpieczeństwie. Sprawia to, że systemy OT stanowią często „miękkie podbrzusze” organizacji. Brakuje odpowiedniej segmentacji sieci, monitorowania czy zarządzania dostępem.
  • Zwiększanie świadomości pracowników. Niezbędna jest organizacja specjalistycznych szkoleń dla pracowników odpowiedzialnych za systemy OT, skupiających się na zagrożeniach i najlepszych praktykach związanych z bezpieczeństwem technologii operacyjnych.
  • Bezpieczeństwo fizyczne kluczowych obiektów i systemów. Ten element jest szczególnie ważny w czasach, gdy istnieje możliwość wykonania obserwacji szpiegowskich za pomocą dronów.
  • Sposoby reagowania na incydenty i odtwarzanie po awariach. Opracowanie i testowanie planów reagowania na negatywne wydarzenia specyficzne dla środowisk IT i OT. Powinny one uwzględniać konieczność utrzymania ciągłości operacyjnej oraz szybkiego odtwarzania po awarii.
  • Wzmacnianie współpracy z dostawcami sprzętu i oprogramowania OT w celu zapewnienia regularnych aktualizacji bezpieczeństwa i wsparcia technicznego.
  • Współpraca międzysektorowa. Budowanie partnerstw dla wymiany informacji o zagrożeniach i najlepszych praktykach z innymi segmentami rynku i organami regulacyjnymi.
  • Bieżąca weryfikacja strategii. W związku ze zmiennością sytuacji geopolitycznej, rynkowej oraz technologicznej strategia cyberbezpieczeństwa musi podlegać nieustannej aktualizacji. Systemy dobrze zabezpieczone dzisiaj, jutro mogą stać się podatne na ataki.

AI wkracza do ochrony sektora

Cyberprzestępcy nieustannie podążają za trendami, a wręcz je kreują. Nie może więc dziwić, że w coraz większym stopniu korzystają z rozwiązań opierających się na sztucznej inteligencji. Ten wzrost potwierdzają dane z raportu Sapio Research i Deep Instinct z 2023 r., według których aż 85 proc. specjalistów ds. cyberbezpieczeństwa przypisuje wzrost liczby cyberataków wykorzystaniu generatywnej sztucznej inteligencji. Firmy muszą być na to przygotowane i odpowiednio zabezpieczone, w szczególności dlatego, że rozwój AI wiąże się z wprowadzeniem do organizacji zupełnie nowych rozwiązań np. chatbotów. Z badania EY – „Jak polskie firmy wdrażają AI” – wynika, że najwięcej respondentów (40 proc.) wprowadziło politykę korzystania zarówno z wewnętrznych, jak i ogólnodostępnych narzędzi opartych na sztucznej inteligencji np. chatbotów. Jednak aż 30 proc. dopiero zastanawia się nad przyjęciem jakichkolwiek zasad. 

AI pozwala jednak nie tylko na atak, ale również obronę. Zastosowanie rozwiązań opartych na sztucznej inteligencji w odpieraniu cyfrowych zagrożeń pozwala na szybką i efektywną reakcję. AI jest w stanie np. sprawnie zidentyfikować anomalie, co pozwala predykcyjnie wykrywać zagrożenia, także dotyczące zasobów OT. Może też pomóc w likwidowaniu efektów naruszeń, często bez ingerencji człowieka. Na rynku jest dostępnych wiele różnych technologii AI. Ważne jest, aby dokładnie porównać rozwiązania i wybrać takie, które najlepiej odpowiadają potrzebom i celom organizacji, zwłaszcza że ich wdrożenie wiąże się nie tylko ze sporą inwestycją, ale także ze zmianą organizacyjną w firmie. Nie zapominajmy, że AI jest również tylko jednym z elementów systemu wielopoziomowych zabezpieczeń. 

Raport EY:

Jak polskie firmy wdrażają AI

Rola regulacji i współpracy 

Walka z zagrożeniami to także dostosowywanie się do różnych aktów i regulacji, jak m.in. dyrektywy NIS2, która do 17 października 2024 r. musi zostać zaimplementowana do krajowych porządków prawnych. NIS2 wymaga wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zarządzania ryzykiem cybernetycznym oraz sprzyja wymianie informacji i współpracy między podmiotami sektora energetycznego m.in. poprzez obowiązek zgłaszania incydentów bezpieczeństwa. Z pewnością konieczność dostosowania się do tej regulacji znacząco przyczyni się do poprawy cyberbezpieczeństwa w całym ekosystemie energetycznym, ponieważ zmusi go do większej współpracy i inwestycji w ten obszar. 

W celu zwiększania bezpieczeństwa energetycznego powstają też różne inicjatywy lokalne, także w Polsce. W październiku 2023 r. Instytut Energetyki i NASK podjęły współpracę w dziedzinie cybersecurity i wykorzystania technik sztucznej inteligencji w energetyce. Partnerstwo dotyczy przygotowania technicznego i proceduralnego podmiotów sektora do identyfikowania cyberzagrożeń, wdrażania właściwych zabezpieczeń oraz obsługi i zgłaszania incydentów przy uwzględnieniu wymagań dyrektywy NIS2. 

Przed sektorem energetycznym stoją obecnie dwa wyzwania. Pierwsze dotyczy zwiększania udziału odnawialnych źródeł energii, drugi – cyberbezpieczeństwa. Transformacja energetyczna nie może odbyć się bez technologicznej. Wymaga to znaczących nakładów oraz zmiany podejścia do wirtualnej ochrony infrastruktury krytycznej. Wdrożenie odpowiednich zmian, również tych organizacyjnych, pozwoli na wypracowanie najlepszych strategii bezpieczeństwa, chroniących cały sektor energetyczny przed cyfrowymi zagrożeniami. Chociaż ataki mają miejsce w świecie wirtualnym, to ich skutki mogą być odczuwalne w codziennym życiu każdego obywatela.


Podsumowanie

Cyberbezpieczeństwo jest – obok zwiększania udziału odnawialnych źródeł energii – głównym wyzwaniem, które stoi obecnie przed sektorem energetycznym. Konieczne jest stworzenie kompleksowej strategii cyberbezpieczeństwa z wykorzystaniem najnowszych technologii, której ważnym elementem powinna być także międzysektorowa współpraca.

Tekst został opublikowany w Rzeczpospolitej w dniu 30 lipca 2024 r.



Kontakt
Chcesz dowiedziec sie wiecej? Skontaktuj sie z nami.

Informacje

Polecane artykuły

Certyfikacja w zakresie cyberbezpieczeństwa produktów, usług i procesów. Czym jest oraz co oznacza dla firm i konsumentów?

Rozporządzenie o Cyberbezpieczeństwie (Cybersecurity Act), uchwalone przez Parlament Europejski w 2019 roku, jest drugą, po dyrektywie NIS, ogólnoeuropejską regulacją w zakresie cyberbezpieczeństwa. Poza nadaniem nowych, stałych kompetencji Agencji UE ds. Cyberbezpieczeństwa (ENISA), koncentruje się na tworzeniu europejskich ram certyfikacji dla produktów oraz usług ICT. Wraz z jego uchwaleniem pojawiło się wiele pytań dotyczących samego mechanizmu certyfikacji. Jak ma działać ten system i kto będzie odgrywał w nim główną rolę? Jakie obowiązki obejmują przedsiębiorców oraz konsumentów?

Raport specjalny: W oczekiwaniu na NIS2 - stan przygotowań

Pobierz raport CSO Council, EY Polska i Trend Micro: W oczekiwaniu na NIS2: stan przygotowań i dowiedz się więcej o gotowości organizacji do wdrożenia wymogów Dyrektywy NiS2.

Dlaczego dyskusja o produkcji czipów powinna zacząć się od cyberbezpieczeństwa

Od kilku lat półprzewodniki znajdują się w centrum uwagi zarówno biznesu, jak i poszczególnych krajów. Przenoszenie produkcji półprzewodników do Europy i USA niesie wiele wyzwań. Dyskusja powinna się jednak zacząć od cyberbezpieczeństwa.