Ministerstwo Energii: Systemy energetyczne podatne na cyberataki. W Sejmie o ochronie "energetycznych" sieci

Na początku swojego wystąpienia Andrzej Piotrkowski powiedział, że nie wszystkie kwestie związane z tematem powinny być omawiane publicznie. Zwrócił on uwagę, że silnie zautomatyzowane sieci elektroenergetyczne mogą być podatne na cyberataki podobnie jak tzw. backup, czyli zaplecze teleinformatyczne zawierające dane księgowe czy rozliczenia z klientem używane do wspomagania procesów operacyjnych i biurowych. Wszystkie z nich są zagrożone, ale różnią się stopniem i rodzajem niebezpieczeństwa, w jakim się znajdują. Dodał również, że polityka bezpieczeństwa w sektorze energii tworzona jest przez poszczególne przedsiębiorstwa od dawna i wydaje się być dobrze poukładana. Piotrkowski zauważył, że nie było do tej pory większych problemów spowodowanych przez ataki cyfrowe, ale biorąc pod uwagę, że w cyberprzestrzeni trwa nieustający wyścig zbrojeń, nie można tego wykluczyć w przyszłości.

Zdaniem ministra obecne analizy zagrożeń nie omawiają wszystkich problemów. Nie poruszają np. tematu wykorzystania technologii meta. Piotrkowski przedstawił scenariusz włamania do systemów klimatyzacyjnych i zwiększenia poboru energii, co może prowadzić do poważnych konsekwencji, jak przegrzanie elementów czy nawet ich zniszczenia.

Obecnie prowadzone są konsultacje w ramach sieci kryzysowych i poszukuje się wspólnych rozwiązań dla podmiotów elektroenergetycznych.

Należy również znaleźć odpowiednie rozwiązanie, aby nie wydawać zbyt dużo pieniędzy na utrzymanie technologii komunikacyjnych, które będą powoli wycofywane. Każde kolejne rozwiązanie technologiczne wiąże się z nowym zagrożeniem

Mówca dodał, że ministerstwo stara się zredukować ingerencję osób trzecich do tolerancyjnego poziomu.

Posłowie byli zainteresowani zagadnieniem współpracy z innymi krajami, wskazując na Ukrainę, gdzie przeprowadzono udany atak na jedną z elektrowni. Piotrkowski odpowiedział, że nawiązano dialog ze stroną ukraińską, ale incydent, który tam wystąpił, różniłby się od ewentualnej sytuacji w Polsce. W tamtym przypadku wyłączono kilka bloków energetycznych sterowanych analogowo, a taka sytuacja była możliwa tylko dlatego, że elektrownie i technologie Ukraina odziedziczyła po ZSRR i to Rosjanie lepiej ją znają.

Podczas posiedzenia Komisji głos zabrał również przedstawiciel NIK, który mówił o złych wynikach kontroli przeprowadzonych w instytucjach ważnych dla funkcjonowania państwa. W jego opinii głównym problemem jest fakt, że po uzyskaniu standardu ISO 2001 podmioty przestają działać. Przypomniał, że te normy zakładają pewne reguły działania, ale nie przewidują samego postępowania i zostaje to użyte do faktycznego stanu bezpieczeństwa teleinformatycznego. Jego zdaniem to same podmioty powinny określić, jak będzie wyglądało bezpieczeństwo i zadbać o to, żeby nie miało ono wyłącznie charakteru iluzorycznego. Występuje również brak samoświadomości decydentów oraz niewydolność systemów. Ponadto zapowiedziano przeprowadzenie kontroli zabezpieczeń systemów teleinformatycznych w przyszłym roku w związku z zagrożeniami antyterrorystycznymi.

Przewodniczący Komisji Cyfryzacji dr Paweł Pudłowski zapytał o zewnętrzne audyty bezpieczeństwa w spółce. W odpowiedzi Piotrkowski stwierdził, że pewna grupa audytów została przeprowadzona, ale jeszcze przed powstaniem Ministerstwa Energii. Faktyczny audyt zostanie dokonany na początku przyszłego roku i sprawdzi się w nim dostosowanie do wymogu nowych norm bezpieczeństwa.

Przedstawiciele firm energetycznych obecnych na posiedzeniu Komisji stwierdzili, że sytuacja, którą przedstawił przedstawiciel NIK, dotycząca bierności firm, które już otrzymały certyfikat, jest fałszywa. Byli oni zgodni co do kwestii, że cały czas następuje proces udoskonalania i uzyskanie certyfikatu nie powoduje jego zaprzestania.

Pudłowski spytał również o podejście do kwestii edukacji pracowników w spółkach elektroenergetycznych, jak np. o przeprowadzanie odpowiednich szkoleń. Przedstawiciele firm stwierdzili, że element ludzki jest jednym z najtrudniejszych do zabezpieczenia i jest to dużo bardziej problematyczne niż w spółkach państwowych, bo tymi pierwszymi trudniej się zarządza. Uważają oni jednak, że firmy te pozytywnie wyróżniają się na tle innych spółek skarbu państwa, a ich pracownicy mają wysoką świadomość zagrożenia.

Pod koniec posiedzenia publiczność zadała dwa pytania do przedstawicieli  Ministerstwa Energii. Pierwsze z nich dotyczyło zlokalizowania w ministerstwie specjalnego zespołu zajmującego się monitorowaniem zagrożeń w systemach teleinformatycznych. Wiceminister odpowiedział, że centra zarządzania kryzysowego znajdują się u operatorów sieci przesyłowych. Ich wielkość zależy od rozmiaru operatora. Ministerstwo Energii jako jednostka wydzielona z Ministerstwa Gospodarki nie miało czasu, żeby utworzyć taką placówkę. Dopiero teraz zaczyna się ono zajmować inteligentną siecią energetyczną. Występuje również problem z pozyskaniem personelu, ponieważ ludzie z wykształceniem w branży cyberbezpieczeństwa nie są zainteresowani proponowaną im obecnie płacą.

Odnosząc się do drugiego pytania o zwiększone zagrożenie atakiem cyfrowym, Piotrkowski wyraził zdanie, że system energetyczny nie jest bardziej na nie narażony niż np. systemy bankowe czy inne. „My nie staramy się zabezpieczać tego systemu w żaden szczególny sposób, dopóki nie mamy powodów, aby sądzić, że mamy do czynienia z eskalacją czy zwiększonym zainteresowaniem wrogich podmiotów” – powiedział.

Czytaj też: Infrastruktura krytyczna lepiej chroniona przed cyberatakam