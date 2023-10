W Polsce trwa masowa wymiana liczników prądu na liczniki inteligentne, poprzez które można też zdalnie odciąć odbiorcę od energii. I to, jeśli nie dba się o cyberbezpieczeństwo przy zamawianiu tego sprzętu (a tak jest teraz w Polsce), tworzy ryzyko, że dojdzie do aktów sabotażu.

W Polsce mamy 18 mln liczników prądu, a 4 mln z nich wymieniono dotąd na nowe, tak zwane inteligentne, z czego ponad połowa pochodzi spoza Europejskiego Obszaru Gospodarczego, także od potencjalnie niebezpiecznych dostawców (np. z Chin).

Problem polega na tym, że w oprogramowaniu liczników można zainstalować takie elementy (np. w postaci tzw. bomb logicznych), które umożliwią działania sabotażowe, np. masowe odcięcie odbiorców od prądu, co z kolei grozi blackoutami.

Dlatego kluczową kwestią jest sprawdzanie zamawianych przez dystrybutorów prądu inteligentnych liczników pod kątem cyberbezpieczeństwa. W Polsce nie ma służących temu regulacji ani standardów (choć w wielu krajach UE już są), a dystrybutorzy prądu w większości nie przywiązują na razie do tego większej wagi.

W Polsce jest 18 mln liczników prądu i trwa masowa ich wymiana na tzw. liczniki inteligentne, ze zdalnym odczytem. Dotąd wymieniono ich 4 mln, a do 2028 r. ma być to aż 16 mln.

Na czym polega problem? Temu poświęcona jest ekspertyza wykonana przez toruńską firmę Apator (producenta m.in. liczników energii elektrycznej) oraz firmę ComCERT (z grupy Asseco), specjalizującej się w cyberbezpieczeństwie.

Jednym z najpoważniejszych zagrożeń są tzw. bomby logiczne

Po pierwsze inteligentny licznik umożliwia nie tylko zdalne zbieranie danych o zużyciu energii przez danego odbiorcę, ale też zdalne sterowanie licznikiem i odłączenie odbiorcy od prądu (od zasilania).

Po drugie już na etapie produkcji licznika można do jego oprogramowania dołączyć elementy, w postaci tzw. backdoorów czy bomb logicznych, które umożliwią akty sabotażu. Polegałyby one np. na masowym odcięciu odbiorców od prądu. To zaś może zdestabilizować cały system energetyczny, a przez to zagrozić jego rozległą awarią i blackoutami na dużą skalę.

Krzysztof Dyki, prezes ComCERT-u, twierdzi, że już dziś nie jest to tylko czysto teoretyczne zagrożenie. Jakiś czas temu doszło w naszym kraju do awarii systemu sterowania ruchem kolejowym, po czym jedno z mediów napisało, że za oprogramowanie sterowników w urządzeniu sterującym odpowiadała firma z Rosji. Jest więc bardzo prawdopodobne, że nie była to awaria, ale celowy atak cybernetyczny.

Dyki zauważa, że Rosja jest bardzo sprawna w przeprowadzaniu aktów sabotażu i gdy zakończy się wojna w Ukrainie, wymierzy takie akty w kraje, które najbardziej pomagały stronie ukraińskiej. Powinniśmy więc być na to przygotowani.

W Warszawie wszystkie montowane inteligentne liczniki są z Chin

Prezes Apatoru Maciej Wyczesany, zwraca uwagę, że ponad połowa z zainstalowanych już w Polsce inteligentnych liczników energii elektrycznej pochodzi spoza Europejskiego Obszaru Gospodarczego (w którego skład wchodzi Unia Europejska i kilka krajów zachodniej Europy, w tym Norwegia), od potencjalnie niebezpiecznych dostawców. Najczęściej to urządzenia chińskie.

- Wszystkie inteligentne liczniki montowane w Warszawie to liczniki od chińskich dostawców - mówi Maciej Wyczesany. Tymczasem - jego zdaniem - nie powinniśmy, szczególnie w obecnej sytuacji geopolitycznej (w tym przy cichym sojuszu Rosji i Chin), zamawiać inteligentnych liczników z pominięciem kwestii cyberbezpieczeństwa. Bo jest to część naszej infrastruktury krytycznej.

Niestety, w ocenie autorów ekspertyzy Apatoru i ComCERT-u, w Polsce na razie tak się nie dzieje. W dokumentacji przetargów dystrybutorów prądu na zakup inteligentnych liczników nie ma zapisów dotyczących kwestii cyberbezpieczeństwa. Tylko Energa od pewnego czasu stosuje wymóg, że dostawcami tych urządzeń mogą być firmy, które w 100 proc. produkują je na terenie UE.

Nie ma też u nas regulacji prawnych, które by to normowały, określały, jakie wymogi - pod kątem bezpieczeństwa cyfrowego - powinny spełniać liczniki energii elektrycznej do zdalnego odczytu.

- Jeśli nie wprowadzimy takich regulacji, możemy zostać zalani urządzeniami z krajów, które uchodzą za niebezpieczne - przestrzega Maciej Wyczesany.

Są już gotowe rozwiązania, trzeba je tylko zastosować

Prezes Apatoru dodaje, że w wielu krajach UE takie regulacje już zostały wdrożone, a kolejne unijne państwa zaczynają to robić. Dotyczy to m.in. Czech, Litwy, Grecji, Estonii, Niemiec i Francji. Jednym ze stosowanych tam rozwiązań jest wymóg produkowania liczników lub jego kluczowych elementów w kraju. - Są już gotowe rozwiązania, trzeba je tylko zastosować - mówią przedstawiciele Apatoru i ComCERT-u.

Ich zdaniem najpilniejsze są zmiany w ustawie o krajowym systemie cyberbezpieczeństwa (polegające m.in. na wprowadzeniu wymogu, by dostawcy urządzeń pomiarowych dla energetyki musieli wdrożyć System Zarządzania Bezpieczeństwem Informacji) oraz wprowadzenie przez pełnomocnika rządu ds. cyberbezpieczeństwa rekomendacji, by w krajowym systemie energetycznym nie stosować urządzeń lub oprogramowania pochodzących spoza Europejskiego Obszaru Gospodarczego.

Autorzy ekspertyzy proponują też, by docelowo wprowadzić weryfikację dostawców w oparciu o tzw. lekką certyfikację w akredytowanych laboratoriach i jednostkach certyfikujących. Certyfikacja dostawców od dawna jest stosowana w przemyśle i nic nie stoi na przeszkodzie, by wprowadzić ją także w przypadku cyberbezpieczeństwa produktów dla sektora energetycznego.