Ostatnie lata pokazują wzrost incydentów cyberbezpieczeństwa dotyczących kluczowej dla gospodarki branży, jaką jest energetyka. Czy sektor ten w Polsce może czuć się bezpiecznie? Jakie kroki należy wykonać, aby zminimalizować liczbę cyberataków na infrastrukturę?
Statystyki cyberataków pozostają nieubłagane
Cyberataki na sektor energetyczny stanowią poważne zagrożenie dla infrastruktury energetycznej i funkcjonowania gospodarki krajowej. W ostatnich latach na świecie zdarzyło się wiele tego typu incydentów, które miały na celu zakłócenie wytwarzania i dostaw energii elektrycznej, zniszczenie urządzeń czy kradzież poufnych informacji. Z informacji za 2022 r., jakie opublikował CERT Polska wynika, że w analizowanym czasie zespół obsłużył 4320 incydentów cyberbezpieczeństwa związanych z energetyką, co stanowiło prawie 10,89% wszystkich zarejestrowanych incydentów. Pięć z nich uznano za poważne, czyli takie, których wystąpienie miało istotny skutek zakłócający świadczenie usługi kluczowej. Wzrost statystyk w porównaniu do 2021 r. był nieznaczny (zarejestrowano 4084 incydentów dla sektora energii (13,85% całości), w tym trzy poważne) [1], jednak przypadków naruszeń może być dużo więcej. Dane dotyczące cyberataków są bowiem często trudne do ustalenia z powodu ich charakteru, a wiele z nich może pozostać niezgłoszonych lub nieodkrytych.
Problem z cyberatakami potwierdza najnowszy Raport KPMG pt. „Barometr cyberbezpieczeństwa. Detekcja i reakcja na zagrożenia w czasie podwyższonego alertu”, do udziału w którym zaproszono osoby odpowiedzialne za bezpieczeństwo IT w tym również w firmach z branży energetycznej. Z publikacji dowiadujemy się, że w 2022 r. 58% wszystkich ankietowanych przedsiębiorstw z Polski odnotowało przynajmniej jeden incydent polegający na naruszeniu bezpieczeństwa, 12% zanotowało 30 i więcej incydentów bezpieczeństwa, 33% zauważyło wzrost intensywności prób cyberataków, a 20% odnotowało wzmożoną aktywność cyberprzestępców w związku z toczącym się za naszą granicą konfliktem zbrojnym w Ukrainie [2].
7 kroków do poprawy stanu cyberbezpieczeństwa w energetyce
Jak widać, analizując statystyki tylko z dwóch źródeł, możemy już zaobserwować wzrost działalności cyberprzestępców. Nie bez powodu też na koniec maja br. Premier Mateusz Morawiecki podpisał zarządzenia, które przedłużają do 31 sierpnia 2023 r. obowiązywanie stopni alarmowych: 3. stopnia CHARLIE-CRP, 2. stopnia BRAVO na terenie całego kraju oraz 2. stopnia BRAVO wobec polskiej infrastruktury energetycznej, mieszczącej się poza granicami Rzeczypospolitej Polskiej. Aby energetyka w Polsce mogła czuć się cyberbezpiecznie, konieczne jest więc wdrożenie szeregu środków i działań mających na celu ochronę infrastruktury przed atakami cybernetycznymi. Wśród kluczowych kroków, które mogą przyczynić się do poprawy stanu cyberbezpieczeństwa w sektorze energetycznym, wymienia się:
- Świadomość i szkolenia.
Wzrost świadomości i kompetencji pracowników stanowi priorytetowy element ochrony przed atakami. Mając to na uwadze, w zakresie cyberbezpieczeństwa należy odpowiednio przeszkolić wszystkich pracowników w sektorze energetycznym, począwszy od zarządzających aż po personel techniczny i biurowy. Szkolenia powinny obejmować m.in. identyfikację zagrożeń, zasady higieny cyfrowej (tzw. cyber-BHP), przetestowanie procedury reagowania na incydenty, świadomość ryzyka związanego z atakami cybernetycznymi oraz kwestie odpowiedzialności personalnej za niedopełnienie obowiązków.
- Wdrażanie standardów i regulacji.
Dla wzmocnienia ochrony infrastruktury w sektorze energetycznym bardzo istotne jest wprowadzenie odpowiednich regulacji i standardów. W ostatnich latach w prawodawstwie Unii Europejskiej pojawiło się wiele nowych aktów, jak m.in. Critical Entities Resilience Directive (CER), Digital Operational Resilience Act (DORA), Network and Information Systems Directive 2 (NIS2), Artificial Intelligence Act (AI Act), których założenia implementowane są do polskiego prawa m.in. spodziewaną nowelizacją Krajowego Systemu Cyberbezpieczeństwa (KSC).
Określanie standardów cyberbezpieczeństwa może m.in. obejmować wymogi dotyczące zabezpieczeń sieciowych, zarządzania dostępem, audytów bezpieczeństwa, procedur reagowania na incydenty, jak również listę dostawców wysokiego ryzyka i tworzenie modeli certyfikacji urządzeń i komponentów.
- Odpowiednie zarządzanie ryzykiem.
Przedsiębiorstwa energetyczne powinny regularnie przeprowadzać analizy ryzyka związane z cyberbezpieczeństwem, identyfikować potencjalne zagrożenia i wdrażać proporcjonalne środki zaradcze. W tym kontekście istotne staje się zapewnienie ciągłego monitorowania i audytów systemów w celu wykrywania ewentualnych słabości i podejmowania działań naprawczych w czasie zbliżonym do rzeczywistego.
- Współpraca międzysektorowa i międzynarodowa.
Ważnym elementem zapewnienia cyberbezpieczeństwa w energetyce jest współpraca międzysektorowa oraz międzynarodowa. Współpraca pomiędzy sektorem publicznym, prywatnym, dostawcami usług telekomunikacyjnych, operatorami usług kluczowych i innymi partnerami może przyczynić się do wymiany informacji, identyfikacji zagrożeń oraz opracowania skutecznych strategii ochrony. Współpraca na poziomie międzynarodowym umożliwia natomiast wymianę doświadczeń i najlepszych praktyk w zakresie cyberbezpieczeństwa.
- Inwestycje w technologie i infrastrukturę.
Przedsiębiorstwa energetyczne powinny inwestować w nowoczesne technologie i infrastrukturę, które umożliwią skuteczną ochronę systemów energetycznych przed atakami cybernetycznymi. Może to obejmować zastosowanie zaawansowanych rozwiązań bezpieczeństwa sieciowego, w tym zapory sieciowe / firewall nowej generacji, systemy wykrywania intruzów, monitorowanie ruchu sieciowego oraz szyfrowanie danych. Aktualizacja i regularne „łatanie” oprogramowania oraz systemów operacyjnych są również kluczowymi działaniami mającymi na celu zabezpieczenie przed znanymi podatnościami.
- Ciągłe monitorowanie i reagowanie na incydenty.
Dziś energetyka nie powinna zastanawiać się, czy będzie miała cyberatak, lecz kiedy on nastąpi. Dla skutecznej ochrony infrastruktury energetycznej kluczowe jest więc wdrożenie systemów monitorowania, które będą wykrywać nieprawidłowości i potencjalne ataki. Reagowanie na incydenty powinno obejmować szybką identyfikację, izolację i naprawę systemów, a także zbieranie i analizę danych dotyczących incydentu w celu zapobieżenia przyszłym atakom. W dobie szybkie ewolucji zagrożeń standardowe podejście oparte na sygnaturach nie jest już skuteczne. Eksperci radzą, aby równolegle wykorzystywać uczenie maszynowe, analizę behawioralną, algorytmy uczenia głębokiego, bazy sygnatur oraz ekspercką wiedzę operacyjną.
- Edukacja społeczeństwa.
Informowanie społeczeństwa o zagrożeniach, dobrych praktykach bezpieczeństwa cyfrowego i sposobach ochrony danych może przyczynić się do podniesienia ogólnej świadomości i zaangażowania w tym obszarze, co wpłynie korzystnie również na sektor energetyki. Ważne, aby sektor wspornie przeprowadził kampanię informacyjną i zaczął aktywnie zwalczać fałszywe reklamy zachęcające do inwestowania.
Jak w praktyce wygląda cyberbezpieczeństwo w energetyce?
Na to pytanie odpowiedzą Prelegenci 7. Konferencji „Inteligentna Energetyka”, która odbędzie się pod hasłem „Cyber(nie)bezpieczeństwo polskiej energetyki – fakty czy mity?” już 6 grudnia 2023 r. w Warszawa.
Zapraszamy do udziału w spotkaniu! Link do rejestracji (rejestracja jest możliwa do 15.11.2023 r.): www.inteligentnaenergetyka.pl/konferencje/rejestracja.
Literatura:
[1] Raport roczny z działalności CERT Polska 2022. Krajobraz bezpieczeństwa polskiego internetu
Źródło: Izabela Żylińska, Ekspertka branży energetycznej, Agencja Reklamowo-Wydawnicza ARTSMART
