Kybernetická bezpečnost je v energetickém sektoru velmi diskutovaným tématem, řada energetických společností si však dosud nebyla zcela jistá, jak ji rozvíjet v konkrétních obchodních podmínkách. Letos v létě byla v Evropské unii vydána dvě prohlášení, která poskytují právní pokyny a podporují definici směru dalších kroků. Pro každodenní správu zabezpečení informací poskytují praktický rámec průmyslové normy.
První část evropských právních předpisů o kybernetické bezpečnosti byla předána Evropskému parlamentu začátkem července: Směrnice o opatřeních k zajištění bezpečnosti sítí a informačních systémů (Směrnice NIS) vstoupila v platnost v srpnu 2016 a od členských států vyžaduje transpozici do jejich vnitrostátních zákonů v průběhu následujících 21 měsíců.
Podle platné legislativy budou energetické společnosti na národní úrovni klasifikovány jako „provozovatelé kritické infrastruktury“ a budou mít za povinnost přijmout postupy řízení rizik a oznamovat významné incidenty příslušnému národnímu úřadu. Směrnice vyžaduje, aby členské státy takové provozovatele identifikovaly do šesti měsíců.
Současně s tím předala skupina SM-CG (Smart Meter Co-ordination Group), založená evropskými organizacemi pro normalizaci CEN, CENELEC a ETSI, seznam minimálních bezpečnostních požadavků pro komponenty AMI. Seznam byl vytvořen společně s Evropskou asociací poskytovatelů řešení pro inteligentní řízení energií (ESMIG) a obsahuje devět minimálních požadavků na smart metering. Tyto požadavky se týkají všech komponent systémů AMI, od inteligentních elektroměrů až po head end systémy, a vycházejí z revize 300 bezpečnostních požadavků.
John Harris, Vice President a vedoucí oddělení Head Governmental and Regulatory Affairs ve společnosti Landis+Gyr, říká: „Vysoká úroveň zabezpečení a ochrany dat je nezbytná pro kladné přijetí smart meteringu veřejností, které často určuje úspěch zavádění podobných systémů. Minimální bezpečnostní požadavky skupiny SM-CG, publikované organizacemi CEN-CENELEC a ETSI, jsou typickým příkladem úspěšné spolupráce mezi jednotlivými společnostmi, průmyslovou asociací a veřejnými orgány. Představují vynikající referenci pro členské státy EU, které ještě nestanovily své vlastní požadavky na smart metering, a nabízejí zabezpečení, které energetické společnosti a jejich zákazníci oprávněně požadují.“
Zatímco Směrnice EU a seznam minimálních bezpečnostních požadavků poskytují základní platformu pro rozvoj kybernetické bezpečnosti na straně energetických společností, na organizační úrovni je potřeba ještě dále pracovat. Průmyslové normy pomáhají organizacím zajistit systematický přístup k rozvoji kybernetické bezpečnosti: norma ISO/IEC 27001obsahuje požadavky pro systém řízení bezpečnosti informací (ISMS) a pomáhá při správě citlivých firemních informací tak, aby zůstaly v bezpečí.
Provázání kybernetického zabezpečení systému AMI s infrastrukturou vaší organizace
V prostředí energetické společnosti je rozvoj kybernetické bezpečnosti systému AMI kontinuální proces, který začíná vyhodnocením aktuální bezpečnostní situace ve společnosti, identifikuje slabá místa a vytvoří plán pro zlepšení. Je nezbytné znát zranitelná místa a zajistit odpovídající opatření pro snížení rizik. Kybernetická bezpečnost systému AMI se netýká pouze technických řešení, zahrnuje také zaměstnance a procesy, stejně jako celkovou IT infrastrukturu energetické společnosti. Pokroku lze dosáhnout ve všech těchto základních oblastech.