Счетчики энергии очень важны для кибербезопасности в энергетике

По словам представителей бизнеса, все счетчики электроэнергии, поступающие на отечественный рынок, должны быть сертифицированы и пройти специализированные функциональные и параметрические испытания, подтверждающие их устойчивость к хакерским атакам.

<р>Счетчики энергии очень важны для кибербезопасности в энергетике

Участники дискуссии указывали на необходимость установки счетчиков только от проверенных поставщиков

Кибербезопасность в энергетике стала предметом дискуссии в редакции Rzeczpospolita. Его участники обратили внимание на многие важные для отрасли угрозы, такие как растущая угроза хакерских атак, — в том числе и на энергетические системы как элемент критической инфраструктуры государства. Речь также шла о растущем риске кибератаки в связи с масштабной заменой счетчиков в Польше на умные устройства (так называемое развертывание). Одной из обсуждаемых тем было отсутствие механизмов защиты от угрозы киберпреступности в польском энергетическом секторе (аудиты/сертификаты безопасности, тесты и тесты устройств связи, отсутствие требований о предоставлении шаблонов в тендерах и т. д.).

Участники дебатов также указали на практику проведения торгов в Польше, которая отдает предпочтение азиатским поставщикам за счет примата низких цен — в результате в домах поляков устанавливаются умные счетчики без проверки с точки зрения цифровой безопасности. Говорили и о зарубежном опыте – реализации западноевропейскими странами высоких технических требований и механизмов проверки поставщиков технологий, а у нас до сих пор отсутствуют регламенты и практики в этой сфере. А также о срочной необходимости ввести в Польше механизм сертификации и тестирования счетчиков электроэнергии.

Элемент сетевой безопасности

Так ли это, что тема кибербезопасности в энергетике зарезервирована только для крупных компаний и касается только критической инфраструктуры? — Мы могли представить себе такой мир 15 лет назад. Сегодня произошли изменения, связанные с новыми технологиями и инфраструктурой, которую используют потребители, клиенты, подключенные к сетям операторов системы распределения, — пояснила Эва Сикора, координатор совета директоров по распределению Польского общества передачи и распределения электроэнергии ( ПТПиРЭЭ).

— Речь идет, например, о вопросах, связанных с контролем энергопотоков, уровнями напряжения на электростанциях, а также счетчиками электроэнергии, которые у рядового пользователя могут ассоциироваться только с вопросом измерения. Между тем, скоро это будут устройства, которые будут управляться дистанционно, где с ними будет поддерживаться постоянная связь. Во всяком случае, такие устройства уже есть на рынке. Поэтому, когда речь идет о кибербезопасности в энергетике, нужно помнить о соответствующей подготовке мер безопасности, связанных с обработкой данных с этих устройств, — подчеркнула Ева Сикора.

Пшемыслав Фрасунек, член правления Redge Technologies, добавил, что сегодня проблемы, связанные с кибербезопасностью в энергетическом секторе, перешли с уровня сети самого высокого напряжения на уровень элементов, которыми можно управлять удаленно. — Устанавливаются у потребителя. Это счетчики электроэнергии. Но элементом критической инфраструктуры являются также фотоэлектрические установки, где все, что установлено в наших домах, не подпадает под действие каких-либо правил. Чаще всего это устройства, предоставленные субъектами с Дальнего Востока, и обычно они имеют операционные системы, программное обеспечение и, таким образом, могут быть уязвимы для использования во время кибератаки для дестабилизации энергетической сети, — сказал Пшемыслав Фрасунек.

Аркадиуш Хмелевский, президент Apator, указал, что недавно произошел «взлом системы некоего учреждения», который произошел через… аквариум и мобильное приложение для его мониторинга, которые также не подлежат любую сертификацию.

— Вот почему я удивлен, что такие устройства, как счетчики электроэнергии с модулями связи, не подпадают под процедуры кибербезопасности в Польше. Потому что они используются не только для измерения энергопотребления, но и влияют на безопасность энергосистемы. Когда мы представим себе, что в будущем у нас будет доступ к счетчикам через приложения, кроме того, что кто-то сможет отключить электричество у нас дома или во всей усадьбе, то взломать наш компьютер или смартфон будет способны продвинуться намного дальше, к целям, которые трудно предсказать, поскольку хакеры часто идут очень окольными путями к месту назначения, — пояснил Аркадиуш Хмелевский.

Каковы риски

Он привел три примера возможных угроз. — Во-первых, кто-то может злонамеренно отключить нам электричество. Во-вторых, он может захотеть добраться до счетчика через наш компьютер или смартфон, а затем до энергосистемы. В-третьих, воры могут попытаться завладеть данными со счетчиков. Обычно воры выбирают конкретный жилой массив, где прочесывают квартиры в течение определенного периода времени. Ключевой информацией для них являются привычки жителей. И проще всего его получить, наблюдая за счетчиком энергии, потому что тогда вы знаете, что происходит дома. Это были опасения потребителей, которые приостановили развертывание интеллектуальных счетчиков в Великобритании и Нидерландах на год. Он также может состояться в Польше, — сказал президент Apator.

Анджей Шимански, президент, директор по продажам Landis + Gyr, заявил, что «мы совершили большую ошибку, отказавшись от развития этой части технической инфраструктуры». — 30 лет назад измерительные системы использовались только для подсчета энергии. С тех пор количество функций счетчика значительно выросло. И мы мало что сделали в сфере кибербезопасности», — сказал он.

— В Польше 17 миллионов точек измерения энергии. Также есть счетчики тепла, воды и газа, которые есть и у нас дома. Директивы ЕС говорят, что эти устройства должны иметь функцию дистанционного считывания и выполнять функцию т.н. домашний шлюз, связывайтесь с устройствами «домашней сети». Так что это вход в другие системы, например, доступ к сигнализации, — сказал Анджей Шиманский.

Был отмечен еще один элемент. — Сегодня счетчики имеют разъединители, которые используются для управления нагрузкой. Они являются важным элементом критической инфраструктуры, который может быть использован для нарушения стабильности системы. В свою очередь газовые счетчики все чаще имеют дистанционно управляемую арматуру. Поэтому безопасностью нужно заниматься, и эта тема должна представлять интерес не только для производителей, но и для широкой дискуссии в связи с все более распространенным внедрением смарт-счетчиков, – считает Анджей Шимански.

Эва Сикора добавила, что, хотя вопрос кибербезопасности в вышеупомянутых областях не регулируется нормативными актами, забота о безопасности счетчиков также является обязанностью лиц, их устанавливающих.

— Моя компания, Energa Operator, является примером процедур кибербезопасности и физического и удаленного доступа к счетчикам, оснащенным такой возможностью. И, например, упомянутое выше потенциальное несанкционированное вмешательство в работу выключателей-разъединителей будет немедленно прекращено, — подчеркнула она.

Павел Писарчик, президент Phoenix Systems, компании Atende Group, отметил, что энергетика от централизованной модели, которая включала производство и распределение, где роль пользователя была наименьшей, меняется в сторону распределенной модели.

— Конечный получатель становится здесь очень важным, но также и встречным. Он трансформируется из измерительного прибора в так называемый энергетический помощник. Мы хотим, чтобы он также играл активную роль в управлении домашним хозяйством. Счетчик становится элементом Интернета вещей, и мы должны уделять особое внимание его безопасности — как устроено программное обеспечение, как оно проверяется, чтобы оно было безопасным устройством, — описал Павел Писарчик. Как он добавил, к сожалению, сегодня устройства, составляющие систему «умный дом», являются «раем для хакеров». — Там все плохо, что было в информатике 20 лет назад. Исследования специализированных охранных компаний показывают, насколько легко взломать устройства домашней сети. Вот почему мы должны обратить особое внимание на числитель. Некоторые голоса на рынке абсурдны, что программное обеспечение счетчика настолько закрыто, что никто не знает, как оно работает. Нельзя сказать, что когда мы не знаем, как что-то работает, это безопасно, — добавил он.

Необходимы специализированные тесты

Мариуш Мишевски, представитель правления DGT по развитию, отметил, что все счетчики электроэнергии, поступающие на рынок, должны быть сертифицированы и пройти специализированные функциональные и параметрические испытания. — Например, редко проводятся процедуры, включающие тестирование на проникновение методом «белого ящика», так как они требуют обширных знаний об оборудовании. Тесты черного ящика проводятся, но хакерами. Для эффективного проведения испытаний производитель должен предоставить большое количество технической информации организации, которая будет их проводить, – предложил Мариуш Мишевски.

По его мнению, в Польше не так много учреждений, которые могли бы проводить тесты оборудования на проникновение, поскольку их невозможно закрыть в рамках простой процедуры. — Нужны обширные знания и постоянный мониторинг того, что происходит на этом рынке, какие появляются новые решения и вызовы. На сегодняшний день я знаю, что такие тесты могут проводить только Варшавский технический университет и Гданьский технический университет. Однако я не знаю ни одного института, который смог бы это сделать. Поэтому было бы целесообразно включить в тендеры требование о согласии производителя или поставщика на проведение испытаний на проникновение. Потому что вы должны помнить, что такие тесты требуют такого согласия, — добавил представитель DGT.

Надежные поставщики

Мариуш Мишевски Он также сказал, что следует помнить, что безопасность системы — это безопасность программного обеспечения и безопасность оборудования, «и это две разные вещи». Например, важно, откуда берутся чипсы.

— В чипе их можно разместить на стадии производства т.н. аппаратные трояны, изменяющие работу оборудования. А если троянец содержится в самом устройстве, в чипе, то вся система безопасности программного обеспечения уже не имеет решающего значения. Обнаружить такого троянца очень сложно, нужно использовать искусственный интеллект, например, анализируется энергопотребление или электромагнитное поле вокруг чипа. Вы должны иметь знания о структуре ПО и чипа, способе реализации прошивки и технологии изготовления чипа. Поэтому, если мы не покупаем устройства у проверенного поставщика, мы подвергаем себя определенным рискам, — пояснил Мариуш Мишевски.

Участники дискуссии указывали, что метод аттестации счетчиков электроэнергии значительно отстает от реальности, так как пока сводится лишь к проверке правильности измерения счетчиком потребления энергии. — А как они это делают — опущено, как и вопрос софта и связи. Поэтому в Польше должны быть созданы процедуры, которые гласят, что перед тем, как счетчик будет одобрен, он должен быть проверен внешней признанной организацией с привлечением соответствующих специалистов, сказал Павел Писарчик, президент Phoenix Systems, компании из Atende Group.

Пшемыслав Фрасунек указал, что его удивил тот факт, что был принят закон о национальной системе кибербезопасности (KSC), который касается прежде всего рынка телекоммуникаций. — И этот рынок, особенно сеть 5G, гораздо менее уязвим для атак, чем рынок энергетики. KSC даже говорит об аудите или о том, что у нас есть поставщики с высокой степенью риска. Почему бы не использовать аналогичные решения и для энергетического рынка, — предложил член правления Redge Technologies.

Анджей Шиманский указал на необходимость тестирования устройств в тендерах, но в то же время отметил, что можно использовать ссылки, потому что, по его словам, например, «устройства проходят испытания в европейских проектах, где осведомленность о кибербезопасности выше». Касаясь необходимости сертификации счетчиков в Польше, он указал, что можно использовать опыт других стран.

— Возможно, стоит не изобретать велосипед, а воспользоваться тем опытом, который есть в Евросоюзе. Подобный опыт, помимо вышеупомянутых стран, есть также в Бельгии, Франции или скандинавских странах. Мы работаем на общем рынке и как производители и поставщики решений работаем в различных технических органах, которые создают решения, которые могут быть реализованы. Каждая страна имеет свою специфику и темпы развития рынка, но использование опыта других позволит получить технологический бонус благодаря сокращению времени и избежанию уже известных ошибок или проблем, возникших при внедрении новых технологий, – подчеркнул Анджей Шиманский. . — На этой основе также можно подготовить условия процедуры и тендеров, — добавил президент Landis + Gyr.

Процедуры модификации

Аркадиуш Хмелевский отметил, что, говоря о внедрении умных счетчиков в Польше, следует помнить, что на рынке не будет единого стандарта для замены традиционных счетчиков умными. — Больше нельзя. На практике у нас шесть развертываний, то есть столько, сколько операторов распределительных сетей. Каждый взял дело в свои руки. У кого-то получается лучше, у кого-то хуже, а у кого-то вообще. Мы больше не будем его переворачивать, речь идет скорее о принятии каких-то общих критериев, правил работы. Главное, это возможно даже «на месте», — подчеркнул он.

— Без них мы работаем до первого серьезного кризиса, откуда поляк будет мудрить после поломки? — спросил Артур Осецкий из «Речи Посполитой», который вел дебаты.

— Возможно, тем более что в Польше уже установлено как минимум несколько сотен тысяч метров с Дальнего Востока, допущенных к установке только на основании декларации производителя. В процессе закупок даже эскизы не требовались. И предоставление шаблона, обмен кодом и отправка его в ESCROW — это абсолютный минимум. Эти устройства уже работают в сети. Не придется ли их снимать и платить за выкатку дважды? — недоумевал Аркадиуш Хмелевский.

Он также говорил о необходимости немедленных изменений в тендерных процедурах, чтобы ценовой критерий не был доминирующим. — У нас совершенно новый счетчик, который только идет с Дальнего Востока. В Польше его еще никто не видел и не устанавливал. Производитель или дистрибьютор заявляет, что соответствует всем требованиям спецификации и получает набор баллов. И тендер завершен, — сказал президент «Апатора». Он добавил, что есть ласточки изменений, потому что в последних тендерах, объявленных за последние дни, операторы указывают на необходимость показать производителем формулу, на которой основан числитель, представленный на тендер.

Анджей Шиманский считает, что «польские тендеры несправедливы по отношению к поставщикам».

По словам Пшемыслава Фрасунка из Redge Technologies, юридические решения должны быть реализованы в трех областях. — Первый касается KSC, т.е. рамочных правил, которые позволяют, например, исключать на государственном уровне некоторых поставщиков, считающихся рискованными, потому что они действуют так, как это уже было представлено в нашей дискуссии. Второй касается отраслевых норм. PTPiREE следует разработать основу для действий или указать рекомендации о том, как следует объявлять тендеры, чтобы исключить не очень надежных поставщиков. Третье направление — это правила, уже действующие в отдельных учреждениях, которые могут доработать решения, предложенные KSC или отраслевыми регуляторами, — предположил Пшемыслав Фрасунек. Он тоже согласился с тем, что полагаться на устройства с Дальнего Востока очень рискованно.

В контексте темы дискуссии Павел Писарчик также упомянул национальный и региональный экономический патриотизм. — У нас много серьезных производителей в Евросоюзе, которые инвестируют и строят филиалы. Поэтому мы должны использовать наш экономический потенциал и следить за тем, чтобы наши решения использовались на рынке, чтобы они не подвергались опасности, — отметил президент Phoenix Systems.

Мнение партнера по дебатам

Аркадиуш Хмелевский, генеральный директор Apator SA:

Масштабы кибератак увеличились в связи с нападением России на Украину. Вся критическая инфраструктура, включая энергосистему страны, находится под угрозой. Необходима разработка необходимых регламентов, применение высоких технических требований, проверка поставщиков заказчиками и, наконец, проектирование безопасных технологий производителями решений для критической инфраструктуры государства.

Конфликты и геополитическая напряженность давно переместились в киберпространство, но в последнее время обострились опасные сетевые инциденты, и ЕС предпринимает экстраординарные шаги по укреплению своей кибербезопасности и информационной безопасности. Энергетический сектор имеет ключевое значение для функционирования страны – он отвечает за электроснабжение критически важных государственных объектов и обеспечение непрерывности энергоснабжения. В Польше начинается массовая замена счетчиков электроэнергии на устройства с дистанционным считыванием (так называемые умные). К 2028 году — целых 80 процентов. наших счетчиков будет оснащен коммуникационным модулем, позволяющим удаленно передавать данные с прибора в ИТ-систему OSD и наоборот — из центральной системы оператора в счетчик. Отсюда простой вывод, что умные счетчики как элемент критической инфраструктуры должны пройти тщательную оценку с точки зрения цифровой безопасности, прежде чем они будут допущены на наш рынок. Еврокомиссия в настоящее время работает над директивой NIS2, вносящей поправки в закон о цифровой безопасности в ЕС — в нее должны быть включены все устройства, работающие в энергосистеме, оснащенные модулями удаленной связи. Их можно использовать для атак на ИТ-системы дистрибьюторов, что приводит к дестабилизации сети и даже отключению электроэнергии в жилых районах или целых городах.

Электросчетчики закупаются государственными энергетическими компаниями в рамках объявленных открытых торгов и поставляются в количестве сотен тысяч штук, на основании договоров, заключенных на год-два. Формула тендеров, в которой цена продукта является доминирующим аспектом, на практике привела к наводнению польского рынка дешевыми счетчиками из Азии. Некоторые DSO не проверяют поставщиков и не требуют образцы продукции в процессе выбора предложения. Достаточно низкой цены и декларации производителя. В результате такой закупочной политики Польша становится технологически и логистически зависимой от азиатских поставщиков.

Поставщики с Дальнего Востока не инвестируют капитал в ЕС, а в местах производства за тысячи километров от Польши пользуются государственными субсидиями и более низкими тарифами на электроэнергию. Многие страны ввели местные условия для выравнивания конкурентной среды (например, Германия, Франция, Великобритания и Италия). В Польше, поддавшись давлению цен и издержек, мы начинаем пренебрегать даже базовыми требованиями, предъявляемыми к счетчикам без связи, менее подверженным кибератакам.

Сегодня, перед лицом цифровых угроз, мы должны особенно полагаться на проверенные методы оценки производителей — рекомендации по качеству продукции, проверку технологий с помощью сертификатов и лабораторных испытаний, а также технические требования к соответствующим мерам безопасности, используемым в устройствах. Помните, что интеллектуальный счетчик будет работать с удаленными системами сбора данных измерений и биллинговыми системами OSD, а потому на карту поставлены и аспекты безопасности хранения данных, полученных через него.

Практика в Польше отличается от стандартов, используемых в других европейских странах. Отсутствуют регламенты и механизмы тщательной технической поверки счетчиков с точки зрения цифровой безопасности (и, соответственно, реальной оценки их потенциального негативного влияния на функционирование критической энергетической инфраструктуры страны). Поставщики не проверяются в процессах предквалификационного отбора, аудиты производственных площадок не проводятся, а во многих тендерах от требования предоставления образца отказываются, что делает практически невозможной любую техническую проверку продукта. Цена не может быть единственным параметром покупки устройств, которые могут включать и выключать энергию удаленно, поскольку сетевая безопасность не имеет цены.

В Польше срочно необходимо внедрить механизм сертификации и тестирования устройств с удаленной связью в области безопасности передачи и обмена данными. Процесс контроля цифровой безопасности должен охватывать всю цепочку поставок (включая электронные компоненты и прошивку). Мы должны быть уверены, что решения исходят из надежного источника, имеют необходимую цифровую безопасность и подлежат надежной проверке национальным учреждением, обладающим необходимым ноу-хау.

В начале стоит принять элементарные меры безопасности: условие генерации и хранения ключей шифрования для интеллектуальных счетчиков в Польше (или в стране из зоны НАТО), предоставление поставщиком исходных кодов прошивки счетчика для проверки заказчиком, а также требованием предоставления шаблонов до проведения торгов. Это абсолютный минимум, позволяющий избежать опасной ситуации, в которой мы можем потерять контроль над собственной энергетической инфраструктурой.

Мнение партнера по дебатам

Счетчики энергии очень важны для кибербезопасности в энергетике

Оцените статью
( Пока оценок нет )

В профессии с 2008 года. Профиль - международные отношения и политика. Почта: andreykozlov07@gmail.com

Последние новости 24 часа
Счетчики энергии очень важны для кибербезопасности в энергетике
Джонсон собирается дать показания в полиции о событиях на Даунинг-стрит