Vilnius. Nuo vasaros pradžios visi didesnių nei 100 kW galios energetikos sistemų savininkai privalės atitikti kibernetinio saugumo reikalavimus. Jų neįgyvendinus gali grėsti ne tik finansinės pasekmės, bet ir elektrinių veiklos sustabdymas.

Remiantis naujausiais Energijos skirstymo operatoriaus (ESO) duomenimis, šalyje daugiau kaip 170 tūkst. vartotojų patys gamina elektros energiją, o apie 20 tūkst. jų yra verslo įmonės. Būtent šis segmentas – įprastai valdantis didesnės galios elektrines – pirmasis susidurs su naujais kibernetinio saugumo reikalavimais.

Kaip pastebi Krašto apsaugos ministerijos (KAM) atstovai, energetikos sektorius tampa vis labiau priklausomas nuo skaitmeninių sprendimų, todėl didėja ir jo jautrumas kibernetinėms rizikoms.

„Energetikos infrastruktūra yra kritiškai svarbi valstybės funkcionavimui, todėl augant jos skaitmenizacijai, didėja ir kibernetinio saugumo svarba. Saulės elektrinės ir energijos kaupimo sistemos tampa vis svarbesne elektros sistemos dalimi, todėl jų saugumas vertinamas visos kritinės infrastruktūros kontekste“, – pabrėžia KAM atstovai.

Jų teigimu, kibernetinio saugumo reikalavimai taikomi ne pačioms technologijoms, o jas valdančioms organizacijoms – būtent jos yra atsakingos už tinkamą apsaugos lygį.

Šiame kontekste ypač aktualios tampa konkrečios kibernetinės grėsmės, su kuriomis susiduria energetikos sektorius. Ministerijos duomenimis, dažniausiai fiksuojamos išpirkos reikalaujančios programinės atakos, pramoninių valdymo (ICS) ir SCADA sistemų pažeidžiamumai bei paslaugų trikdymo (DDoS) atakos.

„Atsižvelgiant į geopolitinę situaciją, galima tikėtis koordinuotų atakų prieš energetikos sektoriuje esančią kritinę infrastruktūrą. Tokios grupuotės dažniausiai vykdo paslaugų sutrikdymo atakas ir taikosi į valdymo sistemas“, – pažymi KAM atstovai.

Būtinas kibernetinio saugumo auditas

Kaip pastebi atsinaujinančios energetikos sprendimus diegiančios įmonės „Via Solis“ vadovas Rimvydas Karoblis, kibernetinio saugumo reikalavimai taikomi didesnėms nei 100 kW galios energetikos sistemoms verslui reiškia labai konkrečius veiksmus, kuriuos būtina atlikti artimiausiu metu.

„Praktikoje tai reiškia, kad naudojamos sistemos turi būti apsaugotos nuo galimų pažeidžiamumų ir negali būti valdomos nuotoliniu būdu iš valstybių, kurios laikomos rizikingomis nacionalinio saugumo požiūriu. Jei šie reikalavimai nebus įgyvendinti ir nebus pateikta atitikties deklaracija, gali būti priimtas sprendimas stabdyti elektrinės eksploatavimą“, – pažymi R. Karoblis.

Pasak jo, visų didesnių nei 100 kW galios saulės elektrinių, hibridinių sistemų ir energijos kaupimo įrenginių valdytojai iki gegužės 31 d. privalo atlikti kibernetinio saugumo auditą, kurį gali atlikti tik sertifikuoti auditoriai.

R. Karoblio teigimu, didžiausias iššūkis šiandien – ne technologinis, o organizacinis: nemaža dalis įmonių vis dar nėra iki galo įsivertinusios, kas tiksliai patenka į kibernetinio saugumo vertinimo apimtį. Jo teigimu, šiuo metu aktyvų pasirengimą kibernetinio saugumo atitikties auditui vykdo apie 40 proc. elektrinių savininkų. Dalis įmonių jau analizuoja savo infrastruktūrą ir planuoja auditus, tačiau nemaža dalis tik pradeda domėtis reikalavimais.

„Diegdami saugos sprendimus matome, kad daugeliu atveju elektrinės nėra tinkamai prižiūrimos – neatliekama reguliari stebėsena ar techninė profilaktika. Gedimai dažnai pastebimi tik po vieno ar net trijų mėnesių, todėl nuostoliai būna reikšmingi. Be to, kasmet susiduriame su 4–5 atvejais, kai dėl priežiūros stokos kyla gaisrai“, – pažymi jis.

Pasak pašnekovo, tai rodo, kad saugumo klausimas neapsiriboja vien kibernetinėmis grėsmėmis – jis glaudžiai susijęs ir su bendru infrastruktūros valdymu bei technine disciplina, o investicijos į saugumą dažnai atsiperka kartu optimizavus elektrinių veiklą.