Energetyka w sieci cyberzagrożeń

Wyzwania związane z zabezpieczeniem 

W wyniku digitalizacji sektor energetyczny jest coraz mocniej uzależniony od systemów cyfrowych. Sprawia to, że cyberbezpieczenstwo stanowi absolutny priorytet. Zbudowanie kompleksowej strategii ochrony jest jednak bardzo skompilowanym procesem. 

Przede wszystkim sektor energetyczny jest mocno zróżnicowany. W jego skład wchodzą firmy odpowiedzialne za wytwarzanie energii, jej przesył oraz dystrybucję. W każdym z tych obszarów działają przedsiębiorstwa o różnym stopniu dojrzałości. Jednocześnie wszystkie razem tworzą ekosystem wielu wzajemnych powiązań, stanowiący swoiste domino. Przewrócenie jednego elementu może pociągnąć za sobą inne i doprowadzić do braku dostępu do energii, dotkliwego w skutkach dla firm, państw i obywateli.

Dodatkowo utrzymanie cyberbezpieczeństwa w branży energetycznej wymaga zabezpieczenia zarówno systemów informatycznych (IT), jak również systemów operacyjnych (OT), w tym systemów automatyki przemysłowej. Należy przy tym zaznaczyć, że niektóre z tych rozwiązań zostały wdrożone nawet 20 czy 30 lat temu, a potem bardzo rzadko je aktualizowano. W efekcie przestępcom łatwiej jest wykryć luki w ich zabezpieczeniach, co przekłada się wprost na liczbę incydentów. 

Niestety nie należy spodziewać się, aby sytuacja uległa szybkiej poprawie. Sektor energetyczny wciąż posiada dług technologiczny, co sprawia, że cyberprzestępcy widzą w nim atrakcyjny cel dla swoich działań, a atak może nastąpić z najmniej oczekiwanej strony. Dlatego kluczowa w opracowaniu skutecznego systemu ochrony cybernetycznej jest wiedza na temat wszelkich aktywów, takich jak serwery czy kontrolery, które mogą stać się potencjalnym celem ataków. 

Strategia bezpieczeństwa

Jak powinna wyglądać strategia bezpieczeństwa w sektorze energetycznym? Przede wszystkim powinna być kompleksowa i wszechstronna. Elementy, które musi ona obejmować to m.in.: 

• Ocena i zarządzanie ryzykiem. Absolutnie kluczowa jest identyfikacja potencjalnych zagrożeń i podatności w całym ekosystemie energetycznym oraz opracowanie: strategii minimalizacji ryzyka, planów reagowania na incydenty i ciągłości działania.
  
• Zrozumienie wpływu technologii oraz wdrażanych rozwiązań na organizację. Dobra praktyką jest powołanie specjalistycznej jednostki ds. bezpieczeństwa. Wdrożenie zaawansowanych rozwiązań technologicznych nie oznacza bowiem automatycznie, że firma będzie gotowa z nich korzystać w wymiarze organizacyjnym, procesowym czy ludzkim.
• Rozróżnienie między systemami IT i OT oraz odpowiednia ochrona tych systemów. Między systemami informatycznymi (IT) oraz technologiami operacyjnymi (OT) często stawiany jest znak równości, a wprowadzane rozwiązania mają charakteryzować się uniwersalnością. To błąd, w wyniku którego systemy OT często działają na przestarzałym oprogramowaniu i sprzęcie, nie zawsze zaprojektowanym z myślą o cyberbezpieczeństwie. Sprawia to, że systemy OT stanowią często „miękkie podbrzusze” organizacji. Brakuje odpowiedniej segmentacji sieci, monitorowania czy zarządzania dostępem.
• Zwiększanie świadomości pracowników. Niezbędna jest organizacja specjalistycznych szkoleń dla pracowników odpowiedzialnych za systemy OT, skupiających się na zagrożeniach i najlepszych praktykach związanych z bezpieczeństwem technologii operacyjnych.
• Bezpieczeństwo fizyczne kluczowych obiektów i systemów. Ten element jest szczególnie ważny w czasach, gdy istnieje możliwość wykonania obserwacji szpiegowskich za pomocą dronów.
• Sposoby reagowania na incydenty i odtwarzanie po awariach. Opracowanie i testowanie planów reagowania na negatywne wydarzenia specyficzne dla środowisk IT i OT. Powinny one uwzględniać konieczność utrzymania ciągłości operacyjnej oraz szybkiego odtwarzania po awarii.
• Wzmacnianie współpracy z dostawcami sprzętu i oprogramowania OT w celu zapewnienia regularnych aktualizacji bezpieczeństwa i wsparcia technicznego.
• Współpraca międzysektorowa. Budowanie partnerstw dla wymiany informacji o zagrożeniach i najlepszych praktykach z innymi segmentami rynku i organami regulacyjnymi.
• Bieżąca weryfikacja strategii. W związku ze zmiennością sytuacji geopolitycznej, rynkowej oraz technologicznej strategia cyberbezpieczeństwa musi podlegać nieustannej aktualizacji. Systemy dobrze zabezpieczone dzisiaj, jutro mogą stać się podatne na ataki.

AI wkracza do ochrony sektora

Cyberprzestępcy nieustannie podążają za trendami, a wręcz je kreują. Nie może więc dziwić, że w coraz większym stopniu korzystają z rozwiązań opierających się na sztucznej inteligencji. Ten wzrost potwierdzają dane z raportu Sapio Research i Deep Instinct z 2023 r., według których aż 85 proc. specjalistów ds. cyberbezpieczeństwa przypisuje wzrost liczby cyberataków wykorzystaniu generatywnej sztucznej inteligencji. Firmy muszą być na to przygotowane i odpowiednio zabezpieczone, w szczególności dlatego, że rozwój AI wiąże się z wprowadzeniem do organizacji zupełnie nowych rozwiązań np. chatbotów. Z badania EY – „Jak polskie firmy wdrażają AI” – wynika, że najwięcej respondentów (40 proc.) wprowadziło politykę korzystania zarówno z wewnętrznych, jak i ogólnodostępnych narzędzi opartych na sztucznej inteligencji np. chatbotów. Jednak aż 30 proc. dopiero zastanawia się nad przyjęciem jakichkolwiek zasad. 

AI pozwala jednak nie tylko na atak, ale również obronę. Zastosowanie rozwiązań opartych na sztucznej inteligencji w odpieraniu cyfrowych zagrożeń pozwala na szybką i efektywną reakcję. AI jest w stanie np. sprawnie zidentyfikować anomalie, co pozwala predykcyjnie wykrywać zagrożenia, także dotyczące zasobów OT. Może też pomóc w likwidowaniu efektów naruszeń, często bez ingerencji człowieka. Na rynku jest dostępnych wiele różnych technologii AI. Ważne jest, aby dokładnie porównać rozwiązania i wybrać takie, które najlepiej odpowiadają potrzebom i celom organizacji, zwłaszcza że ich wdrożenie wiąże się nie tylko ze sporą inwestycją, ale także ze zmianą organizacyjną w firmie. Nie zapominajmy, że AI jest również tylko jednym z elementów systemu wielopoziomowych zabezpieczeń. 

Rola regulacji i współpracy 

Walka z zagrożeniami to także dostosowywanie się do różnych aktów i regulacji, jak m.in. dyrektywy NIS2, która do 17 października 2024 r. musi zostać zaimplementowana do krajowych porządków prawnych. NIS2 wymaga wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zarządzania ryzykiem cybernetycznym oraz sprzyja wymianie informacji i współpracy między podmiotami sektora energetycznego m.in. poprzez obowiązek zgłaszania incydentów bezpieczeństwa. Z pewnością konieczność dostosowania się do tej regulacji znacząco przyczyni się do poprawy cyberbezpieczeństwa w całym ekosystemie energetycznym, ponieważ zmusi go do większej współpracy i inwestycji w ten obszar. 

W celu zwiększania bezpieczeństwa energetycznego powstają też różne inicjatywy lokalne, także w Polsce. W październiku 2023 r. Instytut Energetyki i NASK podjęły współpracę w dziedzinie cybersecurity i wykorzystania technik sztucznej inteligencji w energetyce. Partnerstwo dotyczy przygotowania technicznego i proceduralnego podmiotów sektora do identyfikowania cyberzagrożeń, wdrażania właściwych zabezpieczeń oraz obsługi i zgłaszania incydentów przy uwzględnieniu wymagań dyrektywy NIS2. 

Przed sektorem energetycznym stoją obecnie dwa wyzwania. Pierwsze dotyczy zwiększania udziału odnawialnych źródeł energii, drugi – cyberbezpieczeństwa. Transformacja energetyczna nie może odbyć się bez technologicznej. Wymaga to znaczących nakładów oraz zmiany podejścia do wirtualnej ochrony infrastruktury krytycznej. Wdrożenie odpowiednich zmian, również tych organizacyjnych, pozwoli na wypracowanie najlepszych strategii bezpieczeństwa, chroniących cały sektor energetyczny przed cyfrowymi zagrożeniami. Chociaż ataki mają miejsce w świecie wirtualnym, to ich skutki mogą być odczuwalne w codziennym życiu każdego obywatela.