Energetyka to jeden z najbardziej narażonych na ataki sektorów. Wojna w Ukrainie przyniosła tu istotny wzrost zagrożeń.
– Zagrożenia te wynikają zarówno z bezpośrednich działań prowadzonych przez strony konfliktu, jak i możliwości wykorzystania tego kryzysu do przeprowadzania cyberataków przez grupy hakerskie – wyjaśnia Mariusz Jurczyk, Dyrektor ds. Zarządzania Ciągłością Działania, IT i OT, Tauron Polska Energia. – Obecnie widoczna jest tendencja wzrostowa w liczbie zdarzeń, co jest też efektem poszerzenia zakresu monitorowania w odpowiedzi na zagrożenia związane z tą sytuacją. Można wskazać, iż dominują ataki typu DDoS oraz Spear-phishing z podszywaniem się pod prezesów spółek.
O swoją odporność energetyka musi zadbać jednak nie tylko na poziomie własnej organizacji.
– Dodałbym tu jeszcze ciągłość dostaw w aspekcie zmieniającej się geopolityki, z czym w ciągu ostatnich trzech lat mamy problem – zauważa Paweł Śliwa, Wiceprezes Zarządu ds. Innowacji, PGE Polska Grupa Energetyczna S.A. – Przerwane łańcuchy dostaw, związane z też COVID-19 i wojną w Ukrainie. Ten element jest bardzo ważny i jego też musimy tu zaadresować.
Problem bezpieczeństwa w sektorze energetycznym był jednym z głównych tematów odbywającego się w Katowicach CYBERSEC FORUM – jednego z największych w Europie wydarzeń dotyczących cyberbezpieczeństwa, którego 17. edycja odbyła się w czerwcu w Katowicach. Podczas debaty zatytułowanej "Odporność sektora energetycznego napędzana cyfrowo" eksperci największych polskich spółek energetycznych zastanawiali się nad wyzwaniami, jakie stoją przed branżą zarówno w kontekście konieczności modernizacji i transformacji cyfrowej, jak i wypełnienia zadań nakładanych na nich przez regulatorów, głównie Komisję Europejską.
Energetyczny dług technologiczny
Mówiąc o cyberbezpieczeństwie w energetyce, należy pamiętać o istotnej rzeczy, która różni ten sektor od wielu innych branż. Tutaj o właściwym funkcjonowaniu decyduje nie tylko strefa IT, ale też sprzęt i oprogramowanie wykorzystywane do produkcji czy dystrybucji energii, czyli cała strefa technologii operacyjnej – OT.
– Trzeba wspomnieć o historii tych dwóch światów – mówi Adam Piotrowski, Dyrektor Naczelny Oddziału Centralny Ośrodek Przetwarzania Informacji KGHM Polska Miedź. – Ewolucja w IT i OT biegła w zupełnie innym tempie. Część OT siłą rzeczy jest odseparowana od połączeń zewnętrznych i funkcjonuje stabilnie, a jeśli tak jest, to często nikt jej nie dotyka, bo w takich przedsiębiorstwach jak nasze musi być zachowana ciągłość produkcji i ciągłość działania, i to jest najistotniejsze. Teraz, również w kontekście biznesowym, nadchodzi konieczność integracji obu tych światów, a tym samym narażenia na zagrożenia tego środowiska OT.
To oznacza dodatkowe działania dla zespołów zajmujących się cyberbezpieczeństwem, jak również – co podkreśla ekspert KGHM – że implementacje biznesowe muszą być prowadzone z bardzo dużą ostrożnością, gdyż wspomniana już ciągłość działania jest w sektorze energetycznym najważniejsza.
– Trzeba też pamiętać, z czego powstały dzisiejsze grupy energetyczne – dodaje Paweł Śliwa. – One powstały wiele lat temu z wielu różnych zakładów energetycznych, które przyniosły już w sobie określone rozwiązania informatyczne. Dzisiaj te rozwiązania nie przystają w ogóle do rzeczywistości i trzeba je zastępować nowymi. My – tworząc na przykład obecnie nowy system CRM Billing – musimy zabezpieczyć 5,3 mln odbiorców przed wyciekiem danych. Musimy zabezpieczyć się przed każdym innym zagrożeniem, dotyczącym klientów, ale i przedsiębiorstwa.
IT i OT – konflikt czy synergia?
Z tych powodów transformacja cyfrowa obszaru energetyki musi przebiegać na wszystkich poziomach.
– Ważne jest, by obszary, które temu podlegają, były przekształcane kompleksowo – uważa Marcin Jarszak, Dyrektor Biura Cyberbezpieczeństwa ORLEN. – Należy uwzględniać zarówno aspekty organizacyjne, ludzkie, jak i elementy świata zewnętrznego oraz dla każdego z tych obszarów identyfikować zagrożenia, biorąc pod uwagę ich indywidualną charakterystykę.
– Przygotowanie pewnego ładu zarządzania, mając na uwadze cyberbezpieczeństwo, to jedno z podstawowych wyzwań – dodaje Mariusz Jurczyk. – Współpraca między tymi wszystkim obszarami jest konieczna, bo one wzajemnie na siebie oddziałują.
Uczestnicy debaty zgodzili się, że nie ma jednego dobrego rozwiązania, które pozwoli pogodzić punkty widzenia części OT i IT.
– My musimy podążać za okolicznościami technologicznymi, które pokazują, z jakich rozwiązań trzeba dziś korzystać w świecie IT, żeby być efektywnym biznesowo, ale też podnosić poziom bezpieczeństwa – mówi Jurczyk. – Z drugiej strony musimy patrzeć, jak te rozwiązania mogą działać w świecie OT i sprawdzać, czy da się wszystko jeden do jednego przenieść, czy może trzeba rozdzielić te struktury. Sam nieraz byłem świadkiem dyskusji między specjalistami z zakresu IT i OT na temat np. zarządzania zmianą, jak idzie nadzór nad systemem i czy rzeczywiście ten świat OT musi działać idealnie tak jak świat IT. Wydaje mi się, że nie, chociażby ze względu na wspomnianą już konieczność utrzymania ciągłości działania.
Regulacje – konieczne i spodziewane
W 2018 r. Komisja Europejska wdrożyła dyrektywę NIS, regulującą najważniejsze obszary cyberbezpieczeństwa w kluczowych sektorach. W 2023 r. weszła w życie dyrektywa NIS2, która uchyla oryginalną dyrektywę NIS i wprowadza istotne zmiany w zakresie odpowiedzialności za cyberbezpieczeństwo, w tym nakłada obowiązek zapewnienia zgodności z przepisami o cyberbezpieczeństwie na nowe podmioty i wprowadza kary. Nakłada też nowe obowiązki z zakresu zarządzenia cyberbezpieczeństwem.
NIS2, a także nadchodzący akt dotyczący cyberodporności (CRA) oraz proponowany przez KE wniosek w sprawie kodeksu sieci dot. aspektów cyberbezpieczeństwa w transgranicznych przepływach energii to tylko niektóre z działań mających na celu podniesienie poziomu odporności sektora w całej Europie.
Jak zauważają uczestnicy debaty na CYBERSEC FORUM – branża energetyczna jest w dużym stopniu już dostosowana do nowych wymogów.
– Dzisiaj nas nie zaskakuje wdrożenie regulacji, spółki są przygotowane technicznie do tego, żeby do nich się dostosować. Sytuacja jest też trochę inna niż przy wdrożeniu pierwszej dyrektywy NIS – zauważa Adam Piotrowski. – Tutaj to dyrektywa się trochę dostosowuje do tego świata, który już rzeczywiście istnieje.
– Mówimy o rozwiązaniach, które od lat funkcjonują w sposób zestandaryzowany – zarządzaniu ryzykiem, zarządzaniu incydentami, budowaniu świadomości, zarządzaniu ciągłością działania – dodaje Marcin Jarszak. – Nowa regulacja to próba wypracowania jeszcze bardziej efektywnego podejścia, wyciągając wnioski z tego, co i jak funkcjonowało do tej pory.
Paweł Śliwa z PGE już dziś zauważa konieczność wprowadzenia kolejnych regulacji, którym powinny podlegać m.in. elektrownie powstające dziś na Bałtyku.
– To konieczność zabezpieczenia, również pod względem militarnym – wyjaśnia. – Nie ma w tym zakresie rozwiązań, implementowane są rozwiązania wykorzystywana w tym momencie w elektrowniach konwencjonalnych do potrzeb przyszłych elektrowni offshore’owych. A to są zupełnie inne środowiska i będą potrzebowały na pewno nowej regulacji ustawowej, bo obecna nie mieści się w NIS2.
Konieczne inwestycje
Cyfryzacja w żadnej branży nie jest procesem tanim, energetyka nie jest pod tym względem wyjątkiem. Jak zauważa Mariusz Jurczyk:
– W tym zakresie warto pamiętać o roli, jaką pełnią systemy, które wspierają infrastrukturę krytyczną, np. systemy wspierające dystrybucję energii elektrycznej, produkcję energii elektrycznej z elektrowni konwencjonalnych, ale i energetyka odnawialna. Podmioty posiadające te rozwiązania inwestują w utrzymanie, rozwój, odporność, ale też narzędzia do monitorowania. Musimy pamiętać, iż systemy OT to technologie wolnozmienne, niekoniecznie podążające za trendami w obszarze IT czy cyfryzacji. Obecnie przedsiębiorstwa kierują się w stronę technologii typu IDS (intrusion detection system) / IPS (intrusion prevention system), które analizują ruch sieciowy i wykrywają zagrożenia na poziomie sieci. Tego typu systemy wymagają znacznych nakładów finansowych, ludzkich i technologicznych.
Ekspert dodaje, że kolejnym ważnym obszarem jest separacja sieciowa, szczególnie oddzielenie sieci IT od sieci OT, w których ważne jest odpowiedni dobór urządzeń i zaangażowanie specjalistów w tym zakresie. Automatyzacja, detekcja zdarzeń cyberbezpieczeństwa to z kolei rozwój systemów typu SIEM. Znaczący wzrost liczby zdarzeń powoduje też, że obsługa manualna staje się niewystarczająca, wsparcie w tym obszarze dostarczają systemy typu SOAR (Security Orchestration Automation and Response). Niezmiernie ważne jest również zabezpieczenie poprzez rozwiązania PAM oraz VPN.
To wszystko jest konieczne, i to wszystko wymaga ogromnych środków.
– Na koniec nie możemy zapomnieć o podnoszeniu kwalifikacji, to proces ciągły, szczególnie w dobie transformacji cyfrowej – dodaje Jurczyk. – W obszarze utrzymania systemów OT kluczowa jest wiedza i doświadczenie, a także ciągłe podnoszenie kwalifikacji, podążające za zmianami, reagujące na zmiany technologiczne. Obecnie technologia dostarcza nowych rozwiązań, jak choćby generatywna sztuczna inteligencja, w przypadku której oprócz umiejętnej adaptacji technologii ważne są również kwestie ochrony informacji. Można zatem powiedzieć, iż dziś wymagamy umiejętności interdyscyplinarnych w wielu obszarach – podkreśla ekspert Taurona.
Strategia dla bezpieczeństwa
Jak wynika z debaty, bezpieczeństwo energetyki w nowej rzeczywistości cyfrowej nie jest tylko kwestią regulacji i inwestycji, ale także strategii i świadomości. Wdrażanie nowych technologii wymaga odpowiedniej wiedzy, doświadczenia i stałego balansowania między koniecznością modernizacji starych systemów a wartością stabilności.
Dzisiaj, bardziej niż kiedykolwiek, cyberbezpieczeństwo w energetyce staje się zagadnieniem interdyscyplinarnym, wymagającym ciągłego dostosowywania się do zmieniającej się sytuacji geopolitycznej, rosnącej liczby zagrożeń oraz kolejnych prób ustandaryzowania wymogów i ustalenia zakresu obowiązków uczestników tego rynku. Przy tym wszystkim najważniejszym celem jest utrzymanie ciągłości działania – podstawowego wymogu dla sektora energetycznego.
Płatna współpraca z marką Instytut Kościuszki