Útok, který způsobil výpadek osvětlení na Ukrajině koncem roku 2015, uvedl kybernetickou bezpečnost energetického sektoru do centra pozornosti. V každodenní praxi energetických společností jsou podobné útoky běžné již delší dobu, avšak dnešní hackeři pracují stále systematičtěji a s větší profesionalitou.
Systémy a procesy energetických společností jsou stále inteligentnější a integrovanější; proto se rovněž stávají atraktivnějšími cíli pro útoky. Hrozba neočekávaného narušení bezpečnosti se netýká jen ztráty tržeb nebo snížené spokojenosti zákazníků, ale v konečném důsledku i soukromí zákazníků a stability elektrické sítě.
Peter-Georg Koller ze společnosti Landis+Gyr k tomu říká: „Jelikož spolupracujeme se zákazníky, energetickými společnostmi, v rámci projektů AMI v celém regionu EMEA, všimli jsme si, že se úroveň povědomí o bezpečnosti a příslušných požadavcích v různých zemích liší. Nezávisle na konkrétním trhu však platí, že důležitost bezpečnosti vzrůstá. Země, jako jsou Estonsko, Velká Británie, Německo a Rakousko, patří mezi přední státy v globálním indexu kybernetické bezpečnosti, který měří závazky zemí vůči kybernetické bezpečnosti. Není žádným překvapením, že nejpřísnější požadavky na AMI bezpečnost existují právě na těchto trzích.“
Landis+Gyr již dlouhá léta spolupracuje se svými zákazníky, energetickými společnostmi, s cílem zvýšit AMI kybernetickou bezpečnost. Peter-Georg Koller toto komentuje následovně: „Nejedná se o jednorázovou investici nebo implementaci. Bezpečnost je v podstatě neustále probíhající proces, který vyžaduje nepřetržitý technický vývoj, jakož i vzdělávání a informovanost všech zúčastněných stran a dlouhodobý závazek vrcholového vedení.“
Nejdůležitější krok
Kybernetická bezpečnost v oblasti AMI zahrnuje více než technickou bezpečnost řešení, tj. fyzické zabezpečení zařízení, zabezpečenou komunikaci, softwarové systémy a ukládání dat. Vyžaduje komplexní přístup, který zahrnuje plánování celé IT infrastruktury z bezpečnostního hlediska, jakož i lidi, postupy a procesy, které s ní souvisejí.
Peter-Georg Koller říká: „Prvním a nejdůležitějším krokem v oblasti kybernetické bezpečnosti je informovanost. Všechny zúčastněné strany si musí být vědomy rizik a energetická společnost musí definovat opatření, která lze přijmout za účelem maximálního zmírnění těchto rizik realistickým a nákladově efektivním způsobem“.
Řízení rizik v oblasti kybernetické bezpečnosti znamená stanovit a pochopit možné hrozby, vyhodnotit dopady na provozy a vytváření procesů pro jejich řízení. Požadované investice musí vyvažovat potenciální rizika. Naprosto bezpečné řešení nemusí být finančně reálné, takže je důležité identifikovat nejlepší možné řešení v mezích praktické podnikatelské reality.
EU regulace se připravuje
Další tlak na informovanost o kybernetické bezpečnosti přichází ze strany zákonodárné. První legislativa o kybernetické bezpečnosti pro celou EU byla odsouhlasena v prosinci 2015 [odkaz na tiskovou zprávu]. Dříve než směrnice „Síťové informace a bezpečnost“ vstoupí oficiálně v platnost, musí být formálně schválena Evropským parlamentem a Radou. Očekává se, že tato směrnice vstoupí v platnost v dubnu 2016. Poté budou mít členské státy 21 měsíců na zapracování směrnice do svých národních legislativ. Někteří hráči v energetickém sektoru, vystupující v roli „provozovatelů základních služeb“, budou muset přijmout adekvátní bezpečnostní opatření a hlásit závažné incidenty příslušnému vnitrostátnímu orgánu. Tito operátoři budou určeni členskými státy.
Práce na společném AMI bezpečnostním přístupu
Zatímco směrnice „Síťové informace a bezpečnost“ postupuje svoji vlastní cestou v rámci EU, několik sdružení a pracovních skupin sestavuje pokyny pro její zapracování do produktů. Jedna z těchto skupin, ESMIG Security and Privacy Group (skupina pro bezpečnost a ochranu soukromých dat), sestavila seznam minimálních bezpečnostních požadavků pro komponenty AMI. Tato práce byla vykonána ve spolupráci s koordinační skupinou pro inteligentní měření (Smart Metering Coordination Group / SM-CG) evropských organizací pro normalizaci (CEN, CENELEC a ETSI). Tento výsledný seznam generických minimálních bezpečnostních požadavků – pokrývající veškeré AMI komponenty od inteligentních měřidel až po počáteční systém – bude publikován SM-CG.
Práce ESMIG se zaměřuje na technické aspekty týkající se komponent a komunikačních linek AMI. Vychází ze všech shromážděných relevantních evropských AMI bezpečnostních požadavků, platných zejména v Nizozemí, Velké Británii, Německu a Rakousku. Kromě toho byly vzaty v úvahu specifikace NIST (National Institute of Standards and Technology v USA). Celý soubor zahrnuje více než 300 požadavků, které byly rozděleny do 7 klastrů, jež jsou jednoznačně spojeny s funkčními požadavky. Výsledek zahrnuje jedenáct požadavků vysoké úrovně, které pokrývají funkce jako „protokolování bezpečnostních událostí“, „rozšiřitelnost AMI komponent o nové bezpečnostními prvky“ a „soulad kryptografických mechanismů a správy klíčů se schválenými standardy“.
Společnost Landis+Gyr je aktivně zapojena v pracovní skupině ESMIG vyvíjející celoevropské minimální požadavky ve spolupráci s průmyslovými partnery a odborníky na kybernetickou bezpečnost. V důsledku toho neustále posilujeme naše end-to-end inteligentní měření Gridstream® novými bezpečnostními funkcionalitami, abychom tyto požadavky splnili a překročili.
Čím začít
Peter-Georg Koller říká: „To nejlepší, co mohou energetické společnosti udělat pro zvýšení bezpečnosti svých AMI systémů, je začít zlepšovat informovanost a implementovat celkovou bezpečnostní politiku v oblasti IT“.
V energetických společnostech začíná proces zajištění AMI kybernetické bezpečnosti vyhodnocením aktuálního stavu bezpečnosti, identifikací slabých míst a tvorbou realizačního plánu. Ve většině případů lze tento proces zlepšit využitím externí podpory a poradenství.
Celková AMI bezpečnost zahrnuje technické i organizační aspekty. Zlepšení lze dosáhnout v různých oblastech, mezi které patří:
Lidé a procesy
- Jedná se o nejzranitelnější oblast a nejslabší článek v řetězci kybernetické bezpečnosti. Tato oblast vyžaduje neustálou pozornost. Současně se jedná o oblast, v níž lze nejsnáze dosáhnout zlepšení, a to na základě implementace obvyklých bezpečnostních postupů a zavedení pokynů a opatření týkajících se jednotlivých rolí a odpovědností, klasifikace dat, užívání hesel. Důležitou roli zde hrají rovněž postupy pro zálohování a obnovení, jakož i postupy pro provádění aktualizací.
IT infrastruktura
- Ústředním bodem kybernetické bezpečnosti je řádně zabezpečené IT prostředí. IT bezpečnost lze okamžitě vylepšit lepší ochranou citlivých informací a kritických služeb prostřednictvím segmentace sítě. Jako běžný praktický příklad lze uvést to, že AMI prostředí a kancelářská síť by měly být vždy umístěny v oddělených segmentech.
AMI řešení
- Společnost Landis+Gyr, jako poskytovatel end-to-end řešení, přistupuje k bezpečnosti komplexně. Bezpečnost je zohledněna již ve fázích návrhu ve všech Gridstream komponentách, počínaje fyzickou bezpečností zařízení (např. detekce neoprávněné manipulace) až po podporu bezpečné instalace zařízení a procesů údržby. Komunikace mezi všemi komponentami řešení je chráněna. Přístup k datům a funkcím je bezpečně řízen na základě role uživatele a sledován pomocí rozsáhlých kontrolních záznamů.
I když je vše řečeno a uděláno, skutečností zůstává, že každá energetická společnost se vyznačuje svým vlastním unikátním prostředím, specifickými bezpečnostními požadavky, hrozbami a zranitelnými místy, jakož i různými dostupnými prostředky a schopnostmi k řízení kybernetické bezpečnosti. Všechny energetické společnosti však mají společné to, že se potřebují neustále rozvíjet. Sdílení informací a úzká spolupráce mezi energetickými společnostmi, poskytovateli technologie a státními regulačními orgány jsou nepochybně klíčovým pilířem kybernetické bezpečnosti. Landis+Gyr pomáhá realizovat cestu i v tomto ohledu.
