Cyberbezpieczeństwo dla prosumentów odnawialnych źródeł energii – rekomendacje

Dnia 26 czerwca 2023 roku Ministerstwo Cyfryzacji opublikowało rekomendacje dotyczące cyberbezpieczeństwa dla prosumentów OZE. Publikacja została opracowana we współpracy ekspertów CSIRT NASK (CERT Polska), Polskich Sieci Elektroenergetycznych S.A., Urzędu Regulacji Energetyki, Polskiego Towarzystwa Przesyłu i Rozdziału Energii Elektrycznej oraz przedstawicieli sektora energii.  Zawiera podstawowe informacje oraz dobre praktyki w zakresie cyberbezpieczeństwa dla prosumentów OZE.

Negatywne zmiany klimatyczne wyegzekwowały rozwój odnawialnych źródeł energii. W Polsce od kilku lat obserwujemy regularny wzrost znaczenia OZE w bilansie energetycznym. Cechą charakterystyczną energii odnawialnej jest to, że pochodzi z naturalnych i nieograniczonych źródeł. Istnieje wiele możliwości wykorzystywania odnawialnej energii pierwotnej OZE. W naszym kraju najczęściej stosowane są instalacje wykorzystujące (ilość instalacji w Polsce na koniec 2022 roku):

  • energię promieniowania słonecznego (1 193 053),
  • hydroenergię (82),
  • energię wiatru (57),
  • energię otrzymywaną z biogazu (44),
  • energię otrzymywaną z biomasy (43).

Regulacje prawne

Najważniejszym dokumentem regulującym zasady kształtowania polityki energetycznej państwa jest ustawa – Prawo energetyczne [i]. Uzupełnieniem tego dokumentu w kwestii OZE jest ustawa o odnawialnych źródłach energii [ii].

Funkcjonowanie prosumenckiej instalacji OZE

Instalacje OZE dzielimy na mikroinstalacje (o mocy do 50 kW), małe instalacje (o mocy od 50 kW do 1 MW) oraz pozostałe. W każdej instalacji OZE, niezależnie od wielkości oraz rodzaju energii, występują dwa podstawowe urządzenia:

  1. urządzenie wytwarzające energię, np.: moduły fotowoltaiczne, śmigła elektrowni wiatrowej lub łopaty turbiny wodnej, silnik gazowy w biogazowni, etc.
  2. urządzenie przetwarzające uzyskaną energię, tak aby była wykorzystywana przez odbiorcę lub przekazywana do sieci elektroenergetycznej, np. falowniki (inwertery) PV, prądnice synchroniczne oraz prądnice asynchroniczne.

Cyberzagrożenia

Aby zrozumieć cyberzagrożenia dla prosumentów, należy najpierw poznać sposób dostępu sieciowego do instalacji. W małych instalacjach najczęściej występującym urządzeniem z dostępem sieciowym jest falownik (inwerter). Sposoby dostępu do danych inwertera:

  1. wykorzystanie sieci lokalnej – system samowystarczalny,
  2. wykorzystanie internetu – poprzez modem lub router,
  3. wykorzystanie internetu- stałe połączenie z chmurą producenta.

Sposoby dostępu do danych inwertera, Źródło: Rekomendacje dotyczące cyberbezpieczeństwa dla prosumentów OZE

Korzyści i ryzyka związane z podłączeniem instalacji do internetu

Najbezpieczniejszym rozwiązaniem dla użytkowników jest podłączenie instalacji OZE za pomocą sieci lokalnej. Rozwiązanie to umożliwia całkowite odseparowanie od internetu. Jednak aktualnie, ze względu na wygodę użytkownika i producenta, sposobem zyskującym na popularności jest połączenie instalacji przez internet z chmurą producenta.

Korzyści:

  • możliwość zdalnego monitorowania instalacji, poprzez dedykowaną stronę internetową lub aplikację mobilną,
  • automatyczne aktualizacje udostępniane przez producenta,
  • korzystanie z dodatkowych usług dostarczanych przez producentów urządzeń,
  • możliwość uzyskania wydłużonej gwarancji.

Ryzyka:

  • ewentualne utracone korzyści finansowe lub zwiększone koszty zużycia energii elektrycznej będące skutkiem przejęcia sterowania nad instalacją,
  • ujawnienie danych użytkownika instalacji,
  • uzyskanie przez atakującego dostępu do sieci domowej właściciela oraz potencjalny atak na inne urządzenia podłączone do sieci domowej,
  • uszkodzenie urządzenia przez wgranie wadliwego oprogramowania lub jego zaszyfrowanie, skutkujące koniecznością zakupu nowych urządzeń oraz przestojem w pracy instalacji.

Podnoszenie bezpieczeństwa instalacji OZE

W celu zwiększenia bezpieczeństwa instalacji OZE, każdy z użytkowników powinien zastosować się do poniższych zaleceń:

1. Bezpieczne hasło

Hasło jest jednym z kluczowym elementów zachowania bezpieczeństwa instalacji OZE. Wynika to z faktu, iż większość z systemów, umożliwiających monitorowanie i konfigurowanie parametrów pracy instalacji OZE posiada zabezpieczenie hasłowe. Dodatkowo, aby podłączyć instalację do internetu za pomocą sieci Wi-Fi, często również wykorzystywane jest hasło. Zbiór zasad dotyczących tworzenia bezpiecznych haseł znajduje się na stronie CERT Polska – informacje o hasłach.

2. Świadomość na temat aktualnych zagrożeń w sieci

CERT Polska na bieżąco informuje o aktualnych zagrożeniach. Obecnie najpopularniejszym rodzajem ataków jest phishing. Tego typu ataki są szczególnie groźne w przypadku korzystania z chmury producenta.

Podstawowe zasady ochrony:

  • bardzo dokładne sprawdzanie nazwy domeny,
  • przemyślane działanie w sieci – nieuleganie presji czasu,
  • ignorowanie próśb o ujawnienie hasła,
  • sprawdzanie pochodzenia wiadomości

3. Bezpieczeństwo urządzeń

Bardzo ważne jest bezpieczeństwo urządzeń takich jak smartfony, tablety, laptopy czy komputery stacjonarne. Służą one do odczytu parametrów czy zmian konfiguracyjnych, a więc bezpieczeństwo tych urządzeń ma bezpośredni wpływ na bezpieczeństwo instalacji.

Podstawowe zasady ochrony urządzeń:

  • aktualizowanie oprogramowania,
  • korzystanie z oprogramowania antywirusowego,
  • blokowanie urządzeń gdy nie są używane,
  • używanie tylko oficjalnych sklepów z aplikacjami.

4. Zgłaszanie incydentów

W sytuacji podejrzenia ataku lub jego próby należy niezwłocznie zgłosić to do CSIRT NASK – rejestracja zgłoszeń.

Wybór instalacji OZE oraz firmy instalującej oraz serwisującej

Aby mieć pewność, że instalacja jest bezpieczna, przed jej inwestycją należy:

  1. merytorycznie przygotować się do inwestycji, poprzez zdobycie wiedzy na temat planowanej instalacji oraz przepisów prawnych w zakresie OZE;
  2. zweryfikować ofertę wybranej firmy fotowoltaicznej;
  3. szczegółowo zapoznać się z umową, a w razie wątpliwości zdobyć odpowiednie informacje przed jej podpisaniem;
  4. zapoznać się z warunkami gwarancji.

Omawiana publikacja zawiera sprecyzowaną listę pytań, na które warto uzyskać odpowiedzi od firmy wykonującej instalacje przed rozpoczęciem inwestycji. Umożliwi to ustalenie czy dana firma jest specjalistą w dziedzinie fotowoltaiki. Publikacja zawiera również listę zapisów, które powinny być zawarte w poprawnie sporządzonej umowie.

Podsumowanie


[i] Ustawa z dnia 10 kwietnia 1997 r. Prawo energetyczne, (Dz. U. z 2022 r., poz. 1385 z późn. zm.)

[ii] Ustawa z dnia 20 lutego 2015 r. o odnawialnych źródłach energii, (Dz. U. z 2022 r., poz. 1378 z późn. zm.)