Prosumenci, czyli osoby, które są jednocześnie wytwórcami i odbiorcami energii wytworzonej z odnawialnych źródeł energii (OZE), stanowią coraz ważniejszą grupę podmiotów, mających realny wpływ na kształt sektora energetycznego. Energetyka rozproszona stopniowo zmienia rynek energii, przenosząc część odpowiedzialności za niezakłócone funkcjonowanie systemu również na odbiorców produkujących energię na własne potrzeby. Choć wytwarzanie energii z OZE niesie ze sobą wiele korzyści, to decentralizacja rynku energii wiąże się także z licznymi zagrożeniami, którym należy się systemowo przeciwstawiać. W dobie cyfryzacji jednym z najważniejszych obszarów działań zaradczych jest bez wątpienia cyberbezpieczeństwo.
Czytaj też: Bezpośrednie umowy na dostawę energii nie tylko dla odbiorców przemysłowych >>
Potrzeba kompleksowych rozwiązań
Mając na uwadze doniosłość zagadnienia i potrzebę zagwarantowania bezpieczeństwa całego unijnego systemu energetycznego, Europejska Sieć Operatorów Systemów Przesyłowych Energii Elektrycznej (ENTSO-E), działając we współpracy z Europejską Organizacją Operatorów Systemów Dystrybucyjnych (UE DSO Entity), już w 2021 roku przystąpiła do konsultacji publicznych kodeksu sieciowego dotyczącego cyberbezpieczeństwa transgranicznych przepływów energii elektrycznej (Network Code on Cybersecurity, NCCS).
Czytaj w LEX: Nowe środki w zakresie cyberbezpieczeństwa (dyrektywa NIS 2) >
Zagadnienie bezpieczeństwa cyfrowego systemu energetycznego jest również dostrzegane przez krajowe ustawodawstwo; sektor energetyczny został uwzględniony w ustawie z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, która reguluje obowiązki związane z zapewnieniem ciągłości i jakości świadczenia usług kluczowych, polegających między innymi na wytwarzaniu i dystrybucji energii. W tym kontekście wydaje się oczywistym, że choć prosumenci nie są podmiotem obowiązków, o których mowa w ustawie, to poprzez ich rolę w funkcjonowaniu Krajowego Systemu Elektroenergetycznego powinni również stosować odpowiednie środki ochrony przed atakami cybernetycznymi, tak, aby zapewnić bezpieczeństwo wytwarzania i użytkowania energii z OZE.
Zagrożenia dla prosumentów OZE – jak im przeciwdziałać?
Instalacje OZE, takie jak panele fotowoltaiczne czy turbiny wiatrowe, zasadniczo są wyposażone w urządzenia elektroniczne i komunikacyjne, które umożliwiają zdalny monitoring i sterowanie parametrami pracy instalacji. Te urządzenia mogą być podłączone do internetu lub do sieci lokalnej, co zwiększa ich funkcjonalność i wpływa na wygodę użytkownika, ale także naraża prosumentów na potencjalne ataki cybernetyczne. Niektóre z możliwych scenariuszy takich ataków to:
- włamanie do systemu zarządzania instalacją - atakujący może uzyskać dostęp do systemu zarządzania instalacją OZE i zmienić jego ustawienia lub wyłączyć go całkowicie. Może to spowodować uszkodzenie instalacji, przerwę w dostawie energii, lub utratę danych o produkcji i zużyciu energii.
- podsłuch danych przesyłanych przez instalację - atakujący może przechwycić dane przesyłane przez instalację OZE do operatora sieci lub dostawcy energii. Może to naruszyć prywatność prosumenta lub umożliwić manipulację danymi o produkcji i zużyciu energii.
- złośliwe oprogramowanie w urządzeniach instalacji - atakujący może zainfekować urządzenia instalacji OZE złośliwym oprogramowaniem, które może zakłócać ich działanie, wysyłać fałszywe dane, lub służyć jako punkt wejścia do innych systemów.
- atak na infrastrukturę sieciową - atakujący może zakłócić działanie infrastruktury sieciowej, która łączy instalację OZE z Internetem lub siecią lokalną. Może to uniemożliwić komunikację między instalacją a systemem zarządzania lub operatorem sieci.
Prosumenci, którzy chcą cieszyć się korzyściami płynącymi z wytwarzania i użytkowania energii z OZE, powinni dbać o ochronę swoich instalacji przed atakami cybernetycznymi. Dla zminimalizowania ryzyka wystąpienia zagrożeń cybernetycznych dla prosumentów OZE rekomenduje się m.in.:
- wybieranie sprawdzonych i zaufanych producentów i dostawców urządzeń i usług - przed zakupem i instalacją urządzeń OZE należy w miarę możliwości sprawdzić ich pochodzenie, jakość i bezpieczeństwo. Należy wybierać dostawców usług, którzy gwarantują odpowiedni poziom ochrony danych i zapewniają aktualizacje oprogramowania.
- zabezpieczanie urządzeń i systemów przed nieautoryzowanym dostępem - należy stosować silne i unikalne hasła do logowania się do urządzeń i systemów zarządzania instalacją OZE. Należy również zmieniać hasła domyślne, które mogą być łatwo odgadnięte lub znalezione w Internecie. Należy również ograniczać dostęp do urządzeń i systemów tylko do osób uprawnionych i niezbędnych.
- aktualizowanie oprogramowania urządzeń i systemów - należy regularnie sprawdzać i instalować aktualizacje oprogramowania urządzeń i systemów zarządzania instalacją OZE. Aktualizacje mogą poprawiać działanie urządzeń, usuwać błędy, lub zamykać luki bezpieczeństwa.
- monitorowanie działania instalacji i zgłaszanie nieprawidłowości - należy regularnie sprawdzać parametry pracy instalacji OZE i porównywać je z danymi o produkcji i zużyciu energii. Należy również zwracać uwagę na wszelkie nieprawidłowości, takie jak spadek mocy, przerywanie komunikacji, czy zmiana ustawień. W razie stwierdzenia jakichkolwiek problemów lub podejrzeń o atak cybernetyczny, należy zgłosić je niezwłocznie do operatora sieci, dostawcy energii, lub właściwych służb.
- korzystanie z bezpiecznych połączeń sieciowych - należy wybierać najbezpieczniejsze możliwe sposoby podłączenia instalacji OZE do Internetu lub sieci lokalnej. Najbezpieczniejszym rozwiązaniem jest podłączenie instalacji za pomocą sieci lokalnej, która jest całkowicie odseparowana od Internetu. Jeśli jednak instalacja wymaga połączenia z Internetem, należy stosować szyfrowane i chronione protokoły komunikacyjne, takie jak HTTPS, SSL, czy VPN. Należy również unikać korzystania z publicznych lub niezabezpieczonych sieci Wi-Fi.
Czytaj w LEX: Nowe zasady lokalizowania elektrowni wiatrowych - co powinien wiedzieć inwestor? >
Prawne aspekty cyberbezpieczeństwa – nowe rekomendacje i przepisy
Wobec dynamicznego wzrostu udziału technologii w instalacjach OZE oraz nieprzerwanego wzrostu liczby prosumentów korzystających z nowych rozwiązań komunikacyjnych, Ministerstwo Cyfryzacji wraz z Ministerstwem Klimatu i Środowiska przygotowało "Rekomendacje dotyczące cyberbezpieczeństwa dla prosumentów OZE" mające na celu mitygowanie ryzyk związanych z następstwami połączenia instalacji z Internetem. Zestaw dobrych praktyk został przygotowany podczas konsultacji ekspertów CSIRT NASK (CERT Polska), Polskich Sieci Elektroenergetycznych S.A., Urzędu Regulacji Energetyki, Polskiego Towarzystwa Przesyłu i Rozdziału Energii Elektrycznej oraz przedstawicieli sektora energii. Cyberbezpieczeństwo prosumentów OZE jest również ważnym aspektem rozwoju europejskiego sektora energetyki odnawialnej. Działania podjęte przez Ministerstwa w obszarze soft law wpisują się w wyzwania, jakie stawiają nowe europejskie przepisy. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2557 w sprawie odporności podmiotów krytycznych (CER) oraz dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (NIS2) kompleksowo odnoszą się do cyberbezpieczństwa usług kluczowych świadczonych za pośrednictwem sieci, w skład której wchodzi również infrastruktura należąca do podmiotów prywatnych.
Zobacz nagranie szkolenia w LEX: Prawne aspekty cyberbezpieczeństwa - ramy prawne i praktyczne zagadnienia >
dr Magdalena Krawczyk, adwokat, ekspert prawa energetycznego i nowych technologii
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.
