Киберсигурност във ВЕИ сектора

Възобновяемите енергийни източници са все по-уязвими към кибератаки поради растящата дигитализация и свързаност на системите им, което налага спешни мерки за укрепване на киберсигурността в сектора. Европейските енергийни компании и експерти предупреждават, че без адекватна защита, въздействието на кибернападенията може да бъде опустошително за бизнеса и обществото. В този брой на списание Енергия отправяме поглед към темата и насочваме към нея вниманието на читателите.

Текст: списание ЕНЕРГИЯ

През юли 2024 година две организации от ВЕИ сферата поискаха специални регулации за киберсигурност именно в света на енергийните технологии. Техният аргумент? Енергетиката е сред най-примамливите мишени за кибернападателите, защото пораженията традиционно засягат много хора и бизнеси, а в същото време секторът е недостатъчно защитен. Саботьори са решили да спънат работата на поредица вятърни и соларни паркове в страна, която е сред глобалните лидери в чистата енергия. Нападателите тихо проникват в уязвимите дигитални мрежи за управление на вятърните и слънчевите инсталации. После хакерите нокаутират енергийната мрежа. В страната настава хаос. Това звучи като да е най-новият кошмар в сънищата на ръководителите на европейските енергийни компании. Рисковете от кибератаки спрямо ключови ВЕИ обекти нарастват с всеки ден.

Дигитализация - добре, но...

Инфраструктурата за възобновяема енергия е все по-привлекателна мишена за кибератаки, тъй като технологиите и системите на енергийния сектор стават все по-свързани. Можем да си спомним случая с Colonial Pileline - пример за последиците от блокажа на важен обект от енергийната инфраструктура. Европейските енергийни компании и експертите по технологична сигурност все по-гласно напомнят, че дигитализираната и взаимосвързана мрежа от хилядите възобновяеми активи, никнещи из цяла Европа, е белязана от големи уязвимости - и те постоянно растат. Новият енергиен свят е децентрализиран. Това означава, че са налице множество малки и големи обекти - големи вятърни и слънчеви централи, малки соларни покриви и др., но също така и интелигентни измервателни уреди. Всичко това е свързано дигитално. Големият брой, разпръснатостта и разнообразието, на фона на свързаността в мрежа, увеличават рисковете, защото има значително повече възможни входни точки за кибератаки. А това прави и потенциалното въздействие по-тежко.

Възможните последици от кибератака варират от прихващането на чувствителни данни и прекъсване на електрозахранването до унищожаване на самия физически актив, казват анализатори по киберсигурността. Те напомнят случая с вируса Triton. Той бе използван от злонамерени хакери, за да превземат дистанционно системите за безопасност на саудитски нефтохимически завод през 2017 година и да го затворят.
И макар че злонамереният софтуер, като Triton, е сериозно алгоритмично оръжие, най-често срещаният начин на проникване, използван от хакерите, е всъщност простичък. Пробивът най-често разчита на измамни електронни писма, предназначени да изкопчат данни от служителите - например пароли за достъп. Подобни атаки вървят постоянно. Някои от операторите на енергийни мрежи в Европа виждат тенденцията и разширяват екипите си по киберсигурността, като се стараят и да повишават осведомеността сред персонала. Ясно е, че целият сектор е обект на атака постоянно. И това е „новото нормално.”

Границата между ОТ и ИТ започва все повече да се размива

Традиционните електроцентрали обикновено работят с ИТ инфраструктура с „въздушна възглавница“, тоест междина, която изолира оперативните системи. Това прави съоръженията по-малко податливи на кибератаки. Ала с новото поколение ВЕИ системи не е така. Все по-многобройните инсталации за възобновяема енергия в Европа работят на различни системи от трети страни, които са цифрово свързани към електрическата мрежа. Тази свързаност създава риск, защото оперативната технология вече не е изолирана от дигиталните мрежи и на практика е достъпна по виртуалните канали. Проблемът беше демонстриран миналия февруари, когато руска кибератака срещу украинска сателитна комуникационна мрежа извади от строя дистанционното наблюдение на повече от 5800 вятърни турбини на немска фирма - и ги спря. Въпреки че инцидентът не засегна електрическата мрежа, той показа ескалиращата киберуязвимост, породена от енергийния преход.

Колко бързо се хаква вятърна ферма?

Хакването на вятърна ферма може да бъде сравнително лесно. По-малко от минута е достатъчна за дигитален „взлом“. През 2017 г. изследователи от университета в Тулса проведоха експеримент, като хакнаха набор от вятърни паркове в Съединените щати, за да тестват техните уязвимости (имената на обектите бяха запазени в тайна). Експериментът бе проведен с разрешението на операторите на вятърните паркове. На изследователите отнело по-малко от минута да „пробият“ една неконтролирана турбина, за да получат достъп до незащитения є сървър. Оттам изследователите успяха да свържат лаптопите си към сървъра на тази турбина, за да получат незабавен достъп до IP адреси, представляващи всяка отделна турбина в мрежата. След това учените спряха въртенето на турбината. Случаят стана пример за уязвимостта на вятърните паркове към кибератаки. Способността на сектора да се защитава срещу подобни атаки става критична. Енергийният сектор е сериозна мишена за хакерите - водещ измежду всички сектори.

Липса на инвестиции и... кадри

Осемдесет и девет процента от киберпрофесионалистите вярват, че киберсигурността е важна предпоставка за инициативите за цифрова трансформация, които правят бъдещето на енергийната индустрия възможно - според изследването Cyber Priority на DNV. Без стабилна киберсигурност енергийният сектор не може да извлече ползите от цифровата трансформация. Уязвимостите във веригата за доставки се очертава като голям проблем. Новите енергийни фирми до голяма степен са все още в ранните етапи на зрялост, при тях не е имало излагане на киберрискове, каквито петролната и газовата индустрия вече познават. Според проучването, 63% от бизнесите в света на изкопаемите горива имат добър надзор върху уязвимостите в киберсигурността по веригата им за доставки, но този процент е по-малък (54%) при фирмите, които работят в електроенергетиката, възобновяемите енергийни източници и мрежовата инфраструктура. Много от предизвикателствата обаче не са нови и младите фирми имат шанса да се поучат от опита на тези с по-дълга история. Веригата на доставките се счита сред енергийните специалисти за едно от петте най-големи предизвикателства за киберсигурността. Образно казано, добре е човек да държи къщата си в ред, но трябва и да си гарантира, че доставчиците също спазват стриктни правила и протоколи.

Няма обаче достатъчно утвърдени процеси и технологии за гарантиране на киберсигурността на продуктите и услугите на доставчиците и партньорите. Проучването сочи, че под една трета от компаниите извършват надлежна проверка на новите си доставчици, въпреки че това е основна потенциална област на уязвимост - вероятно осигуряваща лесна „задна врата“ за кибернападателите. Ситуацията е много голямо предизвикателство, тъй като програмният код, доставян от даден разработчик, може да съдържа компоненти, изтеглени от интернет хостинг услуги, някои от които подслоняват недобронамерени „сътрудници“. Справедливо възниква въпросът дали се прави достатъчно за смекчаване на киберзаплахите. Има известен оптимизъм сред енергийните специалисти, че се предприемат действия: 36% заявяват, че в тяхната организация киберсигурността се третира като основен риск.

Инвестициите в защита обаче изостават спрямо темповете, необходими за спазване на добрите практики. По-малко от половината (42%) от анкетираните смятат, че сегашното ниво на инвестиции в тяхната организация е достатъчно, за да гарантира устойчивостта на действащите активи. Само един на всеки трима говори за увереност в инвестициите на съответната компания в OT киберсигурност. Значително предизвикателство е недостигът на умения. Разбира се, това се отнася за всички индустрии, но професионалистите в енергетиката и възобновяемите енергийни източници оценяват липсата на вътрешни киберумения като най-неразрешима бариера пред постигането на добро ниво на сигурност. В глобален мащаб се говори за липсата на 4 милиона специалисти по ИТ безопасност! Това създава каскада от трудности, защото не само липсват хора за отделите по ИТ защита: съществуващите кадри лесно се „губят“, а възнагражденията растат главоломно. Обучението също може да бъде трудно, като участниците в изследването подчертават, че дългите и неангажиращи сесии могат да се окажат твърде неефективни.

Три иновативни метода за по-добра сигурност

В търсене на повишаване на киберсигурността могат да се впрегнат всякакви средства. Технологичните компании предлагат цял арсенал от технологии за защита на отделните устройства, мониторинг, поведенчески анализи, разпознаване на аномалии и др. Но наред с тях има и някои методи, които енергийните оператори могат да приложат, за да си направят самопроверка и да „подковат“ защитата си. Пентестингът е похват за тестово проникване, тоест разрешена симулирана кибератака, извършвана с цел проверка и оценка на сигурността на системата. Тестът се провежда, за да се идентифицират слабостите (или уязвимостите), включително възможността злонамерени лица да добият достъп до функциите и данните на системата. Анализират се и силните страни, което позволява извършването на пълна оценка на риска. Пентестингът обичайно се извършва от външен доставчик на услуги за сигурност и процедурата се базира на предварителен договор, указващ какво се тества и как следва да се процедира с резултатите.

Етичното хакерство е друг иновативен похват за самопроверка на киберзащитата. Етичните хакери обикновено са сертифицирани специалисти и могат да помогнат за откриването на уязвимости в системата, за укрепване и подсилване на киберсигурността и защитите, за предпазване на чувствителните данни. Най-добрата практика е операторът да назначи като свой служител т. нар. „бял хакер“, с което му поставя задачата постоянно да проверява вътрешните системи за всякакви пробойни. Програмите за награди за пробив също са приложим похват за изпитване на собствената киберзащита. Наричат се още „bug bounty“ програми. С това компанията приканват широката общественост (и най-вече хакерите в нея) да изпробва надеждността на сайт, платформа или мрежа, а тези, които открият уязвимост и добронамерено я докладват на фирмата, получават награда. Подобни програми традиционно се прилагат от софтуерните разработчици и им помагат да откриват и поправят пробиви, преди злонамерените лица да са ги „надушили“, предотвратявайки инциденти. В последното десетилетие и бизнесите извън технологичната индустрия също организират „bug bounty“ програми, за да тестват безпощадно платформите, които внедряват.

Настояване за секторни мерки за киберзащита

В крайна сметка сега е време политиците и регулаторите да създадат секторна стратегия за справяне с нарастващата заплаха от кибератаки в индустрията на възобновяемата енергия. Това обяви през юли SolarPower Europe. Организацията публикува документ със серия от препоръки като част от новия си анализ на бранша, призовавайки за установяване на „хармонизирана базова линия“ за киберсигурност във ВЕИ сектора. Призивът е реакция на нарастващите опасения относно кибератаките. Моделиране, проведено от организацията, показа, че цифровата гъвкавост ще спести на Европа 32 милиарда евро до 2030 г. и 160 милиарда евро до 2040 г. Според SolarPower Europe, рискът от кибератаки при сегашното разпространение на слънчевата енергия е ограничен. Ала бъдещите атаки могат да доведат до кражба или манипулиране на данни, смущения в работата на електроцентралите и дестабилизация на електрическата система, се казва в анализа. „Соларната индустрия призовава регулаторите и политиците в ЕС да изготвят хармонизирана базова линия за киберготовност, специално за сектора“, се казва в позицията.

SolarPower Europe насърчава операторите на ВЕИ централи да управляват рисковете съгласно NIS2 - новата норма на ЕС за киберсигурност. Организацията предлага също така детайлни оценки на риска за дигиталната безопасност, надграждайки „Мрежовия кодекс за киберсигурност“. Търговското обединение призова за укрепване на киберсигурността и на продуктово ниво чрез спазване на Закона за устойчивост на киберпространството и стандарт за разпределени енергийни ресурси.

Данните за оперативните слънчеви електроцентрали трябва да останат в рамките на ЕС или в юрисдикции с подобни на GDPR нива на сигурност, посочи SolarPower Europe. Тя призова за задължителни най-добри практики за големи електроцентрали. ЕС трябва да въведе защитен слой за наблюдение на командите там, където агрегаторите и производителите координират множество географски отдалечени енергийни устройства като инвертори. Документът насърчава и дребните потребители на PV и инсталаторите да управляват киберсигурността на своите устройства чрез силни пароли и редовни актуализации за сигурност.

Дигитализацията на енергийния сектор засега е „безпроблемна“, според официални представители на SolarPower Europe, но тя скоро ще доведе до нови предизвикателства. „Трябва да се предприемат ясни стъпки, включително подобряване на оценките на киберриска, нов стандарт на ЕС за продуктова сигурност за разпределени енергийни ресурси и повече възможности потребителите да управляват сигурността на своите устройства,“ гласи позицията. Всички централно координирани устройства, като агрегираните покривни слънчеви инсталации, трябва да имат ниво на мониторинг от ЕС или национално ниво, според него.

Интелигентните инвертори в системите за производство на възобновяема енергия също се нуждаят от правила за киберсигурност и с това пък се зае Националният институт за стандарти и технологии в САЩ. Когато интелигентните инвертори са „конфигурирани да се държат благоприятно за мрежата“, те помагат на местния електроенергиен оператор при „адресиране на аномалии“ в работата на електрическата мрежа, каза NIST. Ала неправилно един конфигуриран инвертор „може да реагира по неудачни начини, изостряйки аномалиите“, а „голям брой неправилно конфигурирани смарт-инвертори могат да окажат отрицателно въздействие върху усилията на предприятието за справяне с аномалиите“.

NIST твърди, че ако злонамерено лице успее умишлено да смути конфигурациите на множество интелигентни инвертори, то могат да бъдат засегнати стабилността и производителността на мрежата. Изготвените насоки препоръчват на производителите да включат функции за кибер-сигурност в своите смарт-инвертори. Указанията се основават на базовото ръководство на NIST за кибер-сигурност за „интернет на нещата“, като сега са въведени акценти, специфични за интелигентните инвертори.

В проучване за уязвимостта на смарт-инверторите, проведено от NIST през 2022 г., агенцията идентифицира 15 уязвимости към кибератаки. Тези слабости са били налични още през 2021 г., отбелязаха изследователите. Наред с тях са открити още 30 други уязвимости, които всъщност са били налице много по-рано. По ирония на съдбата броени дни след призивите на SolarPower Europe и NIST светът стана свидетел на един от най-големите сривове на дигиталните инфраструктури - този, причинен от CrowdStrike Falcon. Според първоначалната информация, засегнати от него са 8,5 милиона Windows устройства. Полети бяха отменени, настанявания в хотели бяха невъзможни, доставки на товари спряха... Като причина бе посочена неуспешна софтуерна актуализация на софтуер, използван от милиони потребители. Случаят показа колко крехка и уязвима е дигиталната инфраструктура, в която взаимосвързани са огромен брой разнообразни устройства.

Ролята на изкуствения интелект в киберсигурността

Изкуственият интелект (AI) и машинното обучение (ML) все повече намират приложение в киберсигурността на възобновяемите енергийни източници. С развитието на дигитализацията в енергийния сектор, традиционните методи за защита срещу кибератаки се оказват недостатъчни за справяне с нарастващите заплахи. Тук AI и ML могат да изиграят ключова роля, като предоставят иновативни решения за проактивно откриване и неутрализиране на киберзаплахи.

Една от основните предимства на AI в киберсигурността е способността му да анализира големи обеми данни в реално време. Това позволява на системите, базирани на AI, да идентифицират аномалии и подозрително поведение в мрежите на ВЕИ обектите, които биха могли да сигнализират за потенциална кибератака. Например, чрез машинно обучение, системите могат да „научат“ нормалния модел на функциониране на дадена вятърна ферма или соларна инсталация и да алармират веднага, когато открият нещо необичайно.