Marian Zmarzły: Bezpieczna transformacja energetyki wymaga odporności cyfrowej

Panie ministrze, CERT Polska opublikował raport dotyczący skoordynowanego cyberataku na infrastrukturę sektora energii w Polsce. Celem były m.in. instalacje OZE, elektrociepłownia i infrastruktura przemysłowa. Choć nie doszło do przerwania dostaw energii, sytuacja wygląda poważnie.

To bardzo poważny sygnał. Cyberbezpieczeństwo energetyki nie jest już tematem przyszłości ani problemem wyłącznie technicznym. Od pełnoskalowej napaści Rosji na Ukrainę nasza energetyka znajduje się na pierwszej linii frontu. To realny wymiar bezpieczeństwa państwa. Raport CERT Polska pokazuje, że infrastruktura energetyczna może być celem działań o charakterze sabotażowym. Ich skutki mogłyby dotknąć nie tylko przedsiębiorstwa, ale także obywateli, przemysł, samorządy i całe regiony. W tym przypadku dostawy energii nie zostały przerwane, co pokazuje profesjonalizm służb, operatorów i zespołów reagowania. Ale nie może to być powód do uspokojenia. To ostrzeżenie. Musimy budować odporność energetyki na poważne zakłócenia cyfrowe, techniczne i organizacyjne. Cieszy mnie, że wokół tego tematu współpracuje cały sektor: administracja, energetyka, górnictwo, nauka, instytuty badawcze, operatorzy infrastruktury krytycznej i eksperci. Bezpieczeństwa energetycznego nie da się budować w pojedynkę.

Czy ten atak zmienia sposób myślenia o transformacji energetycznej?

Powinien zmieniać. Transformacja energetyczna nie może oznaczać wyłącznie zmiany źródeł wytwarzania energii. Nie wystarczy mówić o nowych mocach, OZE, sieciach, magazynach energii czy modernizacji infrastruktury. Równolegle trzeba mówić o odporności cyfrowej, bezpieczeństwie systemów sterowania, ochronie danych, ciągłości działania i przygotowaniu ludzi. Nowoczesna energetyka jest coraz bardziej cyfrowa, a więc musi być coraz bardziej odporna. Każdy nowy element systemu — farma fotowoltaiczna, farma wiatrowa, elektrociepłownia, sieć dystrybucyjna czy system zarządzania pracą zakładu — staje się częścią większego ekosystemu cyfrowo-technicznego. Dlatego mówię o bezpiecznej transformacji. Transformacja bez bezpieczeństwa byłaby niepełna.

Dlaczego ciągłość działania jest tak ważna właśnie w energetyce?

Energetyka musi działać także w warunkach kryzysu. To jej podstawowa rola. Gdy dochodzi do cyberincydentu, awarii, zakłócenia technologicznego albo próby sabotażu, najważniejsze pytanie brzmi: czy system jest w stanie utrzymać dostawy energii, ciepła i podstawowych usług? Ciągłość działania to nie dokument w segregatorze. To praktyczna zdolność organizacji do funkcjonowania w sytuacji zakłócenia. Obejmuje procedury, ludzi, systemy zapasowe, scenariusze odtworzeniowe, komunikację kryzysową, segmentację sieci, kopie bezpieczeństwa i zdolność podejmowania decyzji pod presją czasu. W energetyce musimy pytać nie tylko o to, czy systemy są zabezpieczone, ale również o to, czy potrafimy działać, gdy część z nich zostanie zaatakowana albo wyłączona.

Coraz częściej mówi się, że cyberatak może dotknąć nie tylko komputerów biurowych, ale także systemów sterowania i automatyki przemysłowej. Dlaczego to tak ważne w energetyce?

To bardzo ważne rozróżnienie. W energetyce cyberbezpieczeństwo nie dotyczy wyłącznie poczty elektronicznej, serwerów czy systemów administracyjnych. Kluczowe znaczenie mają systemy odpowiedzialne za sterowanie pracą instalacji, monitoring parametrów technicznych, automatykę przemysłową i pracę dyspozytorni. Jeżeli incydent dotyka takich systemów, jego skutki mogą być znacznie poważniejsze niż w przypadku klasycznego ataku na system biurowy.  Przez wiele lat część systemów przemysłowych funkcjonowała w modelu względnej izolacji. Dzisiaj są coraz częściej łączone z systemami informatycznymi, zdalnym serwisem, analityką danych i platformami zarządzania. Integracja ta co do zasady odbywa się z wykorzystaniem mechanizmów bezpieczeństwa, nie oznacza więc niekontrolowanego otwarcia systemów przemysłowych na zewnątrz. Jednak jak każde nowe rozwiązanie przynosi nie tylko korzyści, ale też ryzyka. Dlatego bezpieczeństwo energetyki wymaga współpracy informatyków, automatyków, energetyków, dyspozytorów, służb utrzymania ruchu i kadry zarządzającej. Dopiero razem można zbudować pełny obraz odporności zakładu i całego sektora.

W ostatnim czasie coraz częściej mówi się o potrzebie stałej współpracy energetyki, górnictwa, nauki i administracji w obszarze cyberbezpieczeństwa. Jednym z miejsc takiej współpracy ma być ISAC SIG — Information Sharing and Analysis Center for Raw Materials and Geodiversity, czyli centrum wymiany i analizy informacji o zagrożeniach dla sektora surowców i georóżnorodności. Dlaczego taki model jest ważny? 

Współpraca i wymiana informacji jest jednym z kluczowych elementów budowania świadomości sytuacyjnej. Tworzenie oddolnych inicjatyw, takich jak ISAC jest bardzo potrzebne. Cyberzagrożenia nie zatrzymują się na granicy jednej spółki, branży czy resortu. Podobne mechanizmy mogą być wykorzystywane wobec energetyki, górnictwa, transportu, przemysłu, administracji i infrastruktury komunalnej. Jednakże model ISAC ma sens wtedy, gdy opiera się na realnej wymianie informacji, zaufaniu i wspólnym ćwiczeniu reakcji na incydenty. Nie chodzi o kolejną formalną strukturę. Chodzi o to, aby eksperci znali się, rozumieli swoje problemy i potrafili szybko wymieniać informacje o zagrożeniach.

Szczególne znaczenie ma przystąpienie do ISAC SIG Politechniki Śląskiej. Dlaczego Pan Minister tak mocno podkreśla rolę tej uczelni?

Bardzo mnie cieszy, że Politechnika Śląska przystępuje do ISAC SIG. To uczelnia o ogromnym znaczeniu dla przemysłu, górnictwa i energetyki. Od dekad kształci kadry techniczne dla sektorów strategicznych, prowadzi badania w obszarze automatyzacji, informatyki przemysłowej, energetyki, bezpieczeństwa procesowego i nowych technologii. W mojej ocenie Politechnika Śląska ma bardzo ważną rolę do odegrania w bezpiecznej transformacji polskiej energetyki. Transformacja nie dokona się wyłącznie decyzjami administracyjnymi ani zakupem nowych technologii. Wymaga kompetencji, wiedzy inżynierskiej, zaplecza badawczego i ludzi, którzy rozumieją przemysł od strony praktycznej. Politechnika Śląska może łączyć świat nauki, przemysłu i bezpieczeństwa. Może kształcić kadry, rozwijać rozwiązania technologiczne, prowadzić analizy ryzyka i wspierać przedsiębiorstwa w budowie odporności cyfrowej.

Objął Pan patronat nad wydarzeniem i zapowiedział udział w podpisaniu przystąpienia Politechniki Śląskiej oraz GIG do ISAC SIG. Jak Pan to traktuje?

Traktuję to jako wsparcie dla bezpiecznej transformacji energetyki. Sama konferencja jest ważnym miejscem spotkania ekspertów, ale najistotniejsze jest coś szerszego: budowanie trwałej współpracy administracji, nauki i sektora przemysłowego. Chcę być obecny przy podpisaniu przystąpienia Politechniki Śląskiej i Głównego Instytutu Górnictwa do ISAC SIG, bo to symboliczny, ale też bardzo konkretny krok. Pokazuje, że nauka, administracja i przemysł zaczynają budować wspólny front odporności. Nie chodzi o rozmowę o cyberbezpieczeństwie w oderwaniu od gospodarki. Chodzi o zabezpieczenie transformacji energetycznej od samego początku — od projektowania systemów, przez zarządzanie danymi, po ciągłość działania infrastruktury krytycznej.

Ważnym elementem jest też współpraca GIG i Państwowego Instytutu Geologicznego. Jakie ma znaczenie?

To bardzo dobry kierunek. Cieszy mnie fakt, że Główny Instytut Górnictwa łączy siły z Państwowym Instytutem Geologicznym. Obie instytucje mają ogromne doświadczenie i głęboką znajomość realiów przemysłu wydobywczego, surowcowego i energetycznego. Bezpieczeństwo cyfrowe energetyki nie może być budowane w oderwaniu od surowców, geologii, górnictwa, infrastruktury przemysłowej i systemów automatyki. Transformacja energetyczna nie oznacza, że te obszary tracą znaczenie. Przeciwnie - ich znaczenie rośnie, bo bezpieczeństwo energetyczne obejmuje cały łańcuch: od zasobów, przez produkcję i infrastrukturę, po dane i systemy sterowania. Współpraca PIG i GIG oraz WUG może stworzyć mocne fundamenty bezpieczeństwa cyfrowego branży energetycznej i surowcowej.

Czy doświadczenia górnictwa mogą pomóc energetyce w budowaniu odporności?

Zdecydowanie tak. Górnictwo od zawsze działa w warunkach podwyższonego ryzyka. W kopalniach bezpieczeństwo ludzi, ciągłość pracy, monitoring, łączność, procedury awaryjne i gotowość służb są codziennością. To doświadczenie jest bardzo cenne dla energetyki. Energetyka i górnictwo są ze sobą historycznie, technologicznie i gospodarczo powiązane. Oba sektory wiedzą, że bezpieczeństwo nie może być dodatkiem do działalności operacyjnej. Musi być jej integralną częścią. Dzisiaj to doświadczenie przenosi się także na obszar cyfrowy. Tak jak przez lata budowaliśmy kulturę bezpieczeństwa technicznego i pracy, tak teraz równie istotną rolę odgrywa kultura bezpieczeństwa cyfrowego. 

Jakie są najważniejsze wnioski dla sektora energetycznego?

Po pierwsze, zagrożenie jest realne. To nie jest abstrakcyjny scenariusz z ćwiczeń. Polska infrastruktura energetyczna była celem skoordynowanego cyberataku. Po drugie, musimy wzmacniać odporność. Ochrona przed atakiem jest ważna, ale równie ważne są zdolności wykrywania, reagowania i odtwarzania działania. Po trzecie, konieczna jest współpraca całego sektora. Administracja,  spółki energetyczne, uczelnie, instytuty badawcze i zespoły reagowania muszą działać wspólnie. To mnie szczególnie cieszy - coraz więcej instytucji rozumie, że bezpieczeństwo energetyczne jest wspólną odpowiedzialnością.

Co powinno być najważniejszym przesłaniem tej dyskusji?

Transformacja energetyczna musi być bezpieczna. Nie wystarczy budować nowe moce, modernizować sieci i wdrażać nowe technologie. Równolegle musimy budować odporność cyfrową, kompetencje ludzi i zdolność utrzymania ciągłości działania. Cieszy mnie, że wokół ISAC SIG, Politechniki Śląskiej, Głównego Instytutu Górnictwa i Państwowego Instytutu Geologicznego tworzy się przestrzeń realnej współpracy. To pokazuje, że sektor rozumie powagę sytuacji i chce działać wspólnie. Konferencje, spotkania i podpisywane deklaracje są ważne, ale najważniejsze jest to, co zostanie po nich: trwała sieć współpracy, wymiana informacji, wspólne ćwiczenia, rozwój kompetencji i praktyczne wzmacnianie odporności infrastruktury krytycznej. Bezpieczna energetyka to warunek bezpiecznego państwa. A bezpieczna transformacja energetyczna wymaga współpracy administracji, przemysłu, nauki i instytucji eksperckich. Dlatego tak dużą wagę przywiązuję do roli Politechniki Śląskiej i do wspólnego działania całego sektora.

Rozmawiał: Kajetan Berezowski