- Energetyka to dziś nie tylko sektor gospodarki, ale przede wszystkim infrastruktura krytyczna - bez niej nie funkcjonują inne kluczowe obszary, takie jak chociażby zdrowie, transport czy bankowość. Każde zakłócenie w jej działaniu ma natychmiastowy wpływ społeczny i gospodarczy - mówi Michał Sobczyk, dyrektor ds. rozwoju technologii w European Energy Polska.
Jacek F. Balcer: Coraz więcej mówi się o cyberzagrożeniach w sektorze energetycznym. Czy naprawdę mamy powody do niepokoju?
Michał Sobczyk, Dyrektor ds. Rozwoju Technologii w European Energy Polska: Zdecydowanie tak. Energetyka to dziś nie tylko sektor gospodarki, ale przede wszystkim infrastruktura krytyczna - bez niej nie funkcjonują inne kluczowe obszary, takie jak chociażby zdrowie, transport czy bankowość. Każde zakłócenie w jej działaniu ma natychmiastowy i kaskadowy wpływ społeczny i gospodarczy. To sprawia, że sektor energetyczny jest jednym z najczęściej atakowanych, będąc czwartą najbardziej zagrożoną branżą w 2023 roku.
Obserwujemy alarmujący wzrost liczby cyberataków wymierzonych w operatorów sieci, elektrownie i infrastrukturę przesyłową. Ten wzrost jest ściśle związany z napięciami geopolitycznymi. Wojna w Ukrainie stanowi tu drastyczne studium przypadku: infrastruktura energetyczna Ukrainy stała się celem zmasowanych ataków hybrydowych. Ten podwyższony poziom zagrożenia oznacza, że polska infrastruktura energetyczna staje w obliczu nieproporcjonalnie większego i bardziej wyrafinowanego spektrum ataków w porównaniu do wielu innych krajów UE. Wymaga to zatem bardziej solidnej, proaktywnej i skoordynowanej na arenie międzynarodowej strategii cyberbezpieczeństwa dla polskiego sektora energetycznego, ponieważ pełni on rolę de facto cybernetycznej linii frontu dla całej Unii Europejskiej. To nie jest więc hipotetyczne zagrożenie, lecz realny i dynamicznie rozwijający się obszar ryzyka, wymagający ciągłej uwagi i inwestycji.
Jak na tym tle wygląda sytuacja magazynów energii?
Magazyny energii stają się dziś fundamentalnym elementem transformacji energetycznej. Umożliwiają stabilizację sieci i efektywne włączanie odnawialnych źródeł energii, kompensując ich zmienność. Prognozowany 15-krotny wzrost globalnych instalacji BESS do 2030 roku sprawia, że stają się one znaczącym celem dla cyberprzestępców.
Zdalne ataki na magazyny energii mogą prowadzić do katastrofalnych konsekwencji. Manipulowanie danymi w systemie zarządzania baterią (BMS) lub sterowaniem systemem konwersji mocy (PCS) może skutkować przegrzaniem, a nawet pożarem, uszkodzeniem sprzętu, a w szerszej perspektywie - niestabilnością sieci energetycznej. Ta bezpośrednia kaskada od naruszenia cybernetycznego do poważnych uszkodzeń fizycznych i awarii operacyjnych, wykraczających daleko poza zwykłą kradzież danych, podkreśla unikalne i zwiększone ryzyko bezpieczeństwa związane z cyberbezpieczeństwem w magazynach energii. Wymaga to, aby środki bezpieczeństwa dla BESS integrowały nie tylko ochronę cyfrową, ale także uwzględniały bezpieczeństwo fizyczne i ciągłość operacyjną w obliczu cybernetycznie wywołanych zdarzeń fizycznych.
Jakie są główne punkty podatności w systemach magazynów energii?
W kontekście bezpieczeństwa systemów magazynowania energii, kluczowe są dwa elementy: system zarządzania baterią (BMS) i system konwersji mocy (PCS). BMS jest niczym mózg całego systemu – monitoruje i optymalizuje pracę ogniw, kontrolując ich temperaturę, napięcie i stan naładowania. Jakiekolwiek manipulacje danymi o stanie baterii mogą prowadzić do przeciążeń, przegrzania, a nawet pożaru, co ma katastrofalne skutki zarówno dla bezpieczeństwa, jak i efektywności. Ataki na BMS mogą obejmować wstrzyknięcie złośliwego oprogramowania, zakłócenia elektromagnetyczne, manipulacje czujnikami temperatury, a nawet ataki na bezprzewodowe systemy BMS, które zakłócają komunikację i mogą prowadzić do niekontrolowanej reakcji termicznej.
Równie istotny jest system konwersji mocy (PCS), który odpowiada za przepływ energii między magazynem a siecią energetyczną. Przejęcie kontroli nad PCS może prowadzić do destabilizacji napięcia w sieci, przerw w dostawach energii, a nawet uszkodzenia innych elementów infrastruktury. Nie można również zapominać o ryzykach w łańcuchu dostaw, gdzie błędy w oprogramowaniu lub złośliwe komponenty od dostawców mogą doprowadzić do masowych awarii. Kluczowe jest zatem rygorystyczne bezpieczeństwo nie tylko sprzętu, ale przede wszystkim oprogramowania i firmware, a także dywersyfikacja dostawców i wnikliwe procesy weryfikacji.
To jak się można się przed tym bronić?
Wymaga to systemowego i holistycznego podejścia do bezpieczeństwa, obejmującego każdy etap – od projektowania po zarządzanie ludźmi. Pierwszym, fundamentalnym filarem jest wbudowywanie zabezpieczeń już na etapie projektowania urządzeń i systemów, zamiast próbować je dodawać później. To podejście obejmuje bezpieczne projektowanie wszystkich elementów: od systemów sterowania, przez sprzęt, oprogramowanie układowe, aż po komunikację. Wbudowanie zabezpieczeń to jednak nie jednorazowe działanie, a ciągła, iteracyjna dyscyplina, która towarzyszy produktowi przez cały jego cykl życia. Dzięki temu wady bezpieczeństwa są wykrywane i eliminowane wcześnie, co jest znacznie bardziej efektywne kosztowo. Jest to szczególnie ważne w przypadku infrastruktury krytycznej, takiej jak elektrownie czy rozproszone zasoby energetyczne, które czerpią unikalne korzyści z uwzględniania cyberbezpieczeństwa na etapie projektowania.
Drugim kluczowym elementem jest zasada tzw. zero trust architecture (ZTA), oparta na zasadzie, że nikomu ani niczemu nie ufamy domyślnie, nawet wewnątrz naszej własnej sieci. Każde żądanie dostępu musi być weryfikowane, najlepiej w czasie rzeczywistym i w kontekście. Zasada ta wykorzystuje technologie uwierzytelniające tożsamość użytkowników, automatyzujące monitorowanie bezpieczeństwa oraz analizujące zachowania, aby zarządzać dostępem do danych. Wdrożenie zasady ZTA w sektorze energetycznym jest wyzwaniem ze względu na powszechność starszych systemów operacyjnych i potrzebę interoperacyjności. W tym wszystkim kluczową rolę odgrywa sztuczna inteligencja i uczenie maszynowe Te technologie mogą wykrywać anomalie w zachowaniu systemów i automatycznie reagować na zagrożenia znacznie szybciej niż ludzie. Samouczące się systemy AI, analizując ogromne zbiory danych, potrafią rozpoznawać nietypowe wzorce zachowań, co jest kluczowe w walce z nowymi zagrożeniami, z którymi tradycyjne metody oparte na sygnaturach sobie nie radzą. Niemniej jednak, musimy pamiętać, że AI to miecz obosieczny – cyberprzestępcy również wykorzystują ją do automatyzacji ataków, co tworzy ciągły "wyścig zbrojeń AI" i wymaga od nas ciągłego rozwoju adaptacyjnych zabezpieczeń. Implementacja AI w środowiskach OT wiąże się także z wyzwaniami, takimi jak niekompletne dane czy niska moc obliczeniowa wielu urządzeń.
Czy są jakieś konkretne procedury i regulacje?
W ostatnich latach widać wyraźny trend przechodzenia od ogólnych zaleceń do konkretnych, obowiązujących przepisów. To już nie jest tylko kwestia dobrych praktyk – bezpieczeństwo infrastruktury krytycznej, w tym energetycznej, staje się jednym z priorytetów legislacyjnych w całej Unii Europejskiej. Najlepszym przykładem jest dyrektywa NIS2, która weszła w życie w 2023 roku i która do października 2024 roku musiała zostać wdrożona do prawa krajowego w każdym państwie członkowskim. W praktyce oznacza to, że znacznie więcej firm – nie tylko duzi operatorzy sieci przesyłowych czy dystrybucyjnych – ale też mniejsze podmioty, firmy z sektora OZE, czy dostawcy technologii i usług IT/OT – będą musiały spełniać określone wymogi dotyczące cyberbezpieczeństwa.
Wprowadzenie regulacji to jedno – ale ich skuteczne wdrożenie to zupełnie inna historia. Tu wchodzimy już na poziom kultury organizacyjnej i zarządzania kryzysowego. Firma musi mieć przetestowane procedury ciągłości działania, plan reagowania na incydenty, zespół odpowiedzialny za cyberbezpieczeństwo i jasne reguły działania – kto podejmuje decyzje, kto kontaktuje się z urzędami, kto zarządza komunikacją. To wszystko trzeba ćwiczyć – również w formie symulacji realnych incydentów.
To pięknie brzmi w teorii, ale czy dysponujemy jednak narzędziami do weryfikacji, czy te zabezpieczenia działają?
To prawda, w świecie cyberbezpieczeństwa nie wystarczy czegoś wdrożyć i założyć, że działa. Trzeba to regularnie testować i weryfikować. Na szczęście mamy do dyspozycji coraz więcej narzędzi, które pozwalają ocenić skuteczność zabezpieczeń – zarówno technicznych, jak i organizacyjnych.
Po pierwsze, są klasyczne testy penetracyjne, czyli kontrolowane symulacje ataków na systemy informatyczne. Pozwalają one sprawdzić, czy zabezpieczenia rzeczywiście chronią przed nieautoryzowanym dostępem. Co ważne, takie testy powinny obejmować nie tylko IT, ale coraz częściej także systemy OT, czyli te odpowiedzialne za sterowanie procesami fizycznymi w energetyce.
Po drugie, coraz popularniejsze są tzw. red teaming i blue teaming – czyli odpowiednio: zespoły atakujące i broniące się w ramach realistycznych scenariuszy. To bardziej zaawansowane podejście, bo testuje nie tylko systemy, ale też ludzi, procedury, zdolność do wykrycia i odpowiedzi na incydent. Są też rozwiązania typu BAS – Breach and Attack Simulation, które automatycznie i cyklicznie sprawdzają, czy dane zagrożenie byłoby w stanie przejść przez nasze zabezpieczenia. To trochę jak automatyczny „symulator włamania”, który działa non stop i wskazuje słabe punkty.
No i wreszcie – nie można zapomnieć o audytach zgodności z regulacjami, jak np. wymagania dyrektywy NIS2, ISO 27001 czy IEC 62443 dla systemów przemysłowych. Takie audyty to nie tylko papierologia – to realna weryfikacja, czy mamy wdrożone dobre praktyki i czy jesteśmy gotowi na sytuację kryzysową.
Najważniejsze jednak to, żeby te działania były prowadzone cyklicznie – nie raz na kilka lat, tylko jako część kultury organizacyjnej. Świat cyberzagrożeń się zmienia z dnia na dzień – my też musimy się zmieniać razem z nim.
Jakie działania podejmujecie w European Energy w zakresie cyberbezpieczeństwa?
W European Energy Polska traktujemy cyberbezpieczeństwo jako integralną część każdego projektu – niezależnie od jego skali. Już na etapie planowania inwestycji prowadzimy analizy ryzyka cybernetycznego, zarówno w ujęciu technicznym – związanym z infrastrukturą i systemami IT/OT – jak i operacyjnym, dotyczącym organizacji procesów i procedur.
Bardzo dużą wagę przykładamy też do doboru dostawców. Współpracujemy wyłącznie z partnerami, którzy spełniają określone normy bezpieczeństwa i posiadają odpowiednie certyfikaty, np. ISO 27001 czy IEC 62443. To dla nas nie tylko formalność, ale realny filtr – chodzi przecież o bezpieczeństwo infrastruktury krytycznej, jaką są chociażby turbiny wiatrowe czy magazyny energii.
Patrzymy szerzej – na cały łańcuch dostaw. Oceniamy nie tylko głównego dostawcę, ale też jego poddostawców. To istotne, bo dziś wiele zagrożeń pojawia się właśnie przez tzw. third-party risk, czyli luki w zabezpieczeniach naszych partnerów.
Bierzemy też aktywny udział w dialogu branżowym. Dzielimy się doświadczeniami i uczymy od innych. Cyberbezpieczeństwo to dziedzina, w której konkurencja schodzi na dalszy plan – wszyscy gramy do jednej bramki, bo atak na jednego operatora może osłabić cały sektor.
No i oczywiście współpracujemy z instytucjami publicznymi – zarówno w Polsce, jak i na poziomie unijnym. Jesteśmy otwarci na współtworzenie standardów i wytycznych. Im lepsze regulacje i im większa koordynacja między sektorem prywatnym a publicznym, tym większe bezpieczeństwo dla wszystkich.
Jeżeli chcesz codziennie otrzymywać informacje o aktualnych publikacjach ukazujących się na portalu netTG.pl Gospodarka i Ludzie, zapisz się do newslettera.
