Zagrożenia dla cyberbezpieczeństwa inteligentnych sieci w Polsce w wyniku montowania liczników energii od niezweryfikowanych dostawców

Według planów do 2028 roku ma zostać zamontowanych w polskiej sieci energetycznej aż 16 mln liczników wyposażonych w specjalny moduł komunikacyjny, co sprawi, że przynajmniej 80% odbiorców energii elektrycznej w naszym kraju będzie korzystać z tego typu urządzeń. Inteligentne liczniki nowej generacji umożliwiają automatyczne zbieranie, przechowywanie oraz transfer szczegółowych danych o zużyciu energii elektrycznej bez konieczności żadnych działań ze strony konsumentów.

Cyfrowa transformacja sektora energetycznego niesie ze sobą wiele szans, a także oczywiste udogodnienia dla konsumentów. Trzeba być jednak świadomym zagrożeń związanych z cyberbezpieczeństwem infrastruktury krytycznej państwa, jaką jest sieć przesyłowa. Wszyscy indywidualni odbiorcy energii elektrycznej, do których należy w sumie 18 mln gospodarstw domowych w całej Polsce, zostaną wyposażeni w liczniki zdalnego odczytu, które będą wyposażone w moduł komunikacyjny. To bardzo ważne, skąd pochodzą liczniki i czy ich dostawcy poddawani są weryfikacji pod kątem spełniania wymogów cybersecurity.

Liczniki będą bowiem kluczowym ogniwem w obejmującym cały kraj łańcuchu zaopatrzenia w energię elektryczną. Potencjalne zaplanowane zakłócenie ich działania może wywołać rozległe awarie energetyczne w sieciach dystrybucyjnych, pozbawiając duże grupy odbiorców indywidualnych i przedsiębiorstw dostaw prądu. Samo istnienie zagrożeń nie sprawia jednak, że sektor energetyczny jest bezbronny. Można zabezpieczyć krajową sieć chociażby poprzez stawianie konkretnych wymagań dostawcom technologii. Istniejące obecnie niebezpieczeństwa nie tylko nie są minimalizowane, ale są wręcz potęgowane głównie przez brak odpowiednich regulacji prawnych w zakresie cyberbezpieczeństwa inteligentnych liczników.

W Polsce brak systemu weryfikacji i dopuszczania na rynek urządzeń będących elementami systemów informacyjnych operatorów usług kluczowych, w tym liczników smart, pod kątem cyberbezpieczeństwa. Brakuje m.in. procedur aktualizacji i usuwania wad oprogramowania oraz zasad i określenia miejsca wytwarzania, przechowywania oraz dystrybucji kodów źródłowych oprogramowania oraz kluczy szyfrujących do liczników. Stanowi to poważne zagrożenie dla stabilności oraz bezpieczeństwa całego systemu energetycznego Polski.

Branża widzi potrzebę działania ze strony Polskiego Rządu, a także powołanych do tego celu właściwych instytucji i służb. Apator, producent liczników smart, połączył siły z ekspertami w zakresie cyberbezpieczeństwa, firmą ComCERT w celu przeanalizowania możliwych scenariuszy ataków i opracowania rekomendacji działań w celu minimalizacji ryzyk.

Autorzy ekspertyzy „Zagrożenia dla cyberbezpieczeństwa inteligentnych sieci w Polsce” twierdzą, że największym zagrożeniem są tzw. backdoory (dosł. tylne drzwi), czyli celowo istniejące luki w zabezpieczeniach systemu oraz tzw. bomby logiczne, które aktywują się samoistnie w określonych warunkach (np. w określonym czasie). Atakujący mogą ich użyć, by powodować awarie, wyłączyć dostawy energii lub zdestabilizować sieć energetyczną w kraju. I nie musi się to odbywać z aktywnym udziałem lub świadomością producenta.

Atak na systemy produkcyjne może umożliwić wprowadzenie złośliwych funkcji do urządzenia przez „złych aktorów”. Jeśli producent nie kontroluje w pełni całego łańcucha wartości (albo działa w kraju o wysokim poziomie interwencjonizmu służb państwowych w biznes), może stać się mimowolnym narzędziem w ręku hakerów. Wszystkie wymienione wyzwania wraz z istnieniem państw rywalizujących, nieprzychylnych lub wręcz jawnie wrogich szeroko rozumianemu Zachodowi, którego Polska jest częścią, stanowią oczywiste zagrożenie dla systemu energetycznego i żywotnych interesów państwa.

Dyrektywa NIS2 dotycząca środków na rzecz zapewnienia wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium całej Unii Europejskiej (musi ona zostać wprowadzona w życie w Polsce do października 2024 r.), wymaga zapewnienia bezpieczeństwa łańcucha dostaw prądu przez wszystkie podmioty należące do tzw. grupy podmiotów kluczowych, do których należą Operatorzy Systemów Dystrybucyjnych energii elektrycznej.

Zdajemy sobie sprawę, że wprowadzenie zmian w prawie jest skomplikowanym i czasochłonnym procesem, niemniej powinniśmy jak najszybciej podjąć się tego zadania. Gra toczy się o wysoką stawkę, czyli bezpieczeństwo krajowej infrastruktury energetycznej. Potrzebujemy skutecznych, ale niezbyt skomplikowanych, a przez to kosztownych, procedur weryfikacji dostawców rozwiązań pomiarowych dla energetyki – na przykład w oparciu o tzw. „lekkie” schematy certyfikacji w akredytowanych laboratoriach i jednostkach certyfikujących. – mówi Maciej Wyczesany, Prezes Zarządu Apator SA. – Szybką ścieżką, obowiązującą do czasu wypracowania schematów certyfikacyjnych, mogłyby być rekomendacje Pełnomocnika ds. Cyberbezpieczeństwa obejmujące dostawców wysokiego ryzyka w obszarze inteligentnych liczników energii – dodaje.

Nieprzychylne lub jawnie wrogie Zachodowi państwa sukcesywnie zwiększają swoją pozycję na polskim rynku zaawansowanej infrastruktury pomiarowej. W obserwowanych ostatnio przetargach na terenie Polski ich obecność jest wręcz dominująca. W przetargach na liczniki energii elektrycznej cena jest dominującym kryterium wyboru dostawcy. Największe szanse mają w nich producenci chińscy, oferujący swoje wyroby w niskich cenach dzięki rządowym subwencjom wspierającym ekspansję gospodarczą Chińskiej Republiki Ludowej. Część OSD, świadoma zagrożeń w tym obszarze, wprowadziła dywersyfikację dostawców lub powierzyła dostawy liczników z komunikacją europejskim producentom.

Niektórzy operatorzy zaufali całkowicie chińskim dostawcom. Z zainstalowanych do tej pory w Polsce ok. 4 mln liczników nowej generacji już ponad połowa pochodzi spoza Europejskiego Obszaru Gospodarczego.

Potrzebna jest rygorystyczna weryfikacja dostawców urządzeń i stosowanych w procesie produkcji praktyk bezpieczeństwa. Musimy mieć po prostu pełne zaufanie do dostawcy. Wyraz temu mogą dać postulowane przez przedstawicieli europejskich producentów rekomendacje Pełnomocnika Rządu ds. Cyberbezpieczeństwa, aby w polskim systemie energetycznym nie stosować urządzeń lub oprogramowania pochodzących spoza Europejskiego Obszaru Gospodarczego.

Wzorem może być dokument wydany przez czeski urząd ds. bezpieczeństwa, który praktycznie wyeliminował zagrożenie na swoim rynku. To szybki i skuteczny sposób, aby zminimalizować ryzyko dla łańcucha dostaw liczników zdalnego odczytu i jednocześnie zwiększyć bezpieczeństwo krajowej sieci energetycznej w dzisiejszym, niezwykle wymagającym i niepewnym otoczeniu geopolitycznym, w jakim znajduje się Polska.

Pozostali sąsiedzi Polski również podjęli w ostatnim czasie stosowne kroki. Litwa np. zerwała stosunki handlowe z CHRL. W Niemczech wprowadzono rygorystyczne wymagania dla dostawców modułów komunikacyjnych do liczników, w efekcie praktycznie eliminując oferentów spoza Europy. W Polsce jednak, póki co, nie stawia się żadnych barier dla dostawców z krajów wysokiego ryzyka. Najwyższy czas to zmienić!

Artykuł powstał w ramach współpracy reklamowej z Apator S.A.