Može li se domaći energetski sustav obraniti od hakerskih napada?

Hakerski napadi ovoga ljeta na KBC Zagreb i splitsku zračnu luku posijali su sasvim dovoljno neugode i poremećaja i nisu jedini u zadnje vrijeme kojima su ciljevi hrvatske tvrtke ili institucije. Može se onda samo zamisliti kakve bi posljedice mogao donijeti kibernetički napad na još složenije sustave poput velikih energetskih tvrtki i energetske infrastrukture. Vjerojatno nije potrebno objašnjavati zašto je energetska sigurnost u tom smislu ključna za funkcioniranje praktično cijeloga društva.

Voditelj odjela za kibernetičke incidente u IT tvrtki Span Neven Zitek ne dvoji da su rizici od hakerskih napada na energetsku sigurnost Hrvatske, a i drugih država u Europskoj uniji i šire, vrlo realni.

Ključni izvori rizika

"Riječ je o kritičnoj infrastrukturi čiji je utjecaj na živote ljudi i funkcioniranje države ključan, od proizvodnje do distribucije električne energija, plina, goriva… to je krvotok svakog modernog društva. Štoviše, energetska je infrastruktura izrazito kompleksna i međusobno ovisna", kaže Zitek u razgovoru za Bloomberg Adriju.

Pritom napominje da se mogući izvor rizika može promatrati iz tri kuta. Jedno su takozvani naslijeđeni (legacy) sustavi, drugo su dobavljači i treće je nužnost kontrole nad realnim svijetom što kod zaštite običnog računala nije potrebno.

U slučaju naslijeđenih sustava i novih tehnoloških rješenja problem je što se stari sustavi nadograđuju, ali ostaju.

Složenost naslijeđenih sustava

"U području energetike riječ je o sustavima koji postoje dugi niz godina i onda imate situaciju da se, kako je informatizacija napredovala, u sustav unose nova tehnološka rješenja. Izađe nova verzija softvera, hardvera, novi pametni sustavi, koristi se umjetna inteligencija… Problem je što ono što se implementiralo ranije ostaje unutra, ne mijenja se, dodaju se nove stvari, ali legacy sustavi ostaju. I onda upravo ti naslijeđeni sustavi mogu predstavljati ranjivost i mogu biti iskorišteni za izvođenje kibernetičkih napada", objašnjava stručnjak za sigurnost iz Spana.

Neven Zitek | Span

Druga otegotna okolnost je što se o energetskoj infrastrukturi i poslovanju općenito, bilo da je riječ o temeljnoj ili popratnim djelatnostima, ne može brinuti jedna tvrtka sama.

"Ona ovisi o partnerima, podizvođačima, bilo da je riječ o nekim pametnim ventilima, regulatorima kontrole električne energije ili softverima za planiranje i uredsko poslovanje. Sve to dolazi preko nekih dobavljača i pitanje je kako upravljamo svojim lancem dobavljača, odnosno poštuju li oni istu razinu i standarde sigurnosti koji se očekuju od samog energetskog sektora. Zbog toga oni mogu biti slaba karika", ističe Zitek.

Kako dodaje Antonija Vojnović, voditeljica odjela za upravljanje, rizike i usklađivanje u Spanu, osim važnosti činjenice koliko se dobavljači brinu o vlastitioj informacijskoj sigurnosti, pitanje je i kakvu uslugu daju - dodjeljuju li licence, rade li edukacije ili se spajaju na infrastrukturu tvrtke. S brojem dobavljača raste vjerojatnost da je netko od njih slabije zaštićen.

Složenost načina zaštite je treća ključna sastavnica rizika jer je neusporediva s onom običnog računala.

Upravljanje stvarnim svijetom kroz energetske sustave

"Preko računala kod energetskih sustava upravljate nekim ventilima, spojnicama, distribucijskim sustavima i imate kontrolu nad stvarnim svijetom. To dodatno usložnjava pitanje sigurnosti. Kako, za razliku od običnog računala, instalirati antivirusni softver u pametni ventil?", ilustrira Zitek.

Na konferenciji u Splitu krajem rujna voditelj za sigurnost u IT sektoru HEP-a Krešimir Kristić je spomenuo da se HEP dnevno suočava s oko 30 kibernetičkih incidenata koji mogu predstavljati rizik za sigurnost.

Kontaktirali smo HEP za osvrt na ovu temu, no nismo dobili odgovor.

Izazovi stalnog nadzora i zaštite

Zitek smatra da se brojka od tridesetak prijetnji dnevno, uspoređujući to s drugim velikim tvrtkama i izvan energetskog sektora, čini realnom procjenom stalnosti i intenziteta rizika.

"Veliki je izazov organizirati stalni nadzor jer serveri i oprema se nikad ne gase pa su bez prekida dostupni za napad kibernetičkih kriminalaca. Izazov je organizirati ljudski i tehnološki nadzor, odnosno da stalno imate nekoga koji će u ranim fazama incidenta detektirati da se radi upravo o tome i onda adekvatno odgovoriti kako bi se spriječila veća šteta", upozorava naš sugovornik.

Damir Senčar/Hina

Kako kaže, pitanje je koliko možemo zamisliti što bi značilo da veliki gradovi poput Zagreba, Rijeke, Osijeka ili Splita ostanu bez struje na jedan ili dva dana, odnosno kako bi se to reflektiralo na svakodnevni život, od tvrtki koje ne mogu normalno raditi, bolnica koje su na agregatima, trgovina koje su zatvorene do teškoća u kućanstvima.

Ono što stvar dodatno usložnjuje je pitanje nedovoljnog broja stručnjaka i multidisciplinarna priroda borbe protiv kibernetičkog kriminala.

Po riječima Vojnović, manjak stručnjaka u području kibernetičke sigurnosti sve je izraženiji, ali rješenje je teško naći na kratki rok.

"Međutim, pitanje je opet i kojih stručnjaka. Kibernetička sigurnost je mutidisciplinarno područje u kojem trebamo i pravnike i ljude koji rade tehnički dio posla poput developera, forenzičara i slično. Po meni je zapravo rješenje da se napravi analiza i vidi tko od stručnjaka nedostaje od zemlje do zemlje, pa prekvalificirati ljude koje možemo ili povećati razinu svijesti za potrebom i poraditi na mladima i njihovu interesu za STEM područja", rekla je za Bloomberg Adriju Vojnović.

Nužnost šire suradnje u sigurnosnim protokolima

Ono što je također iznimno važno je jačanje svijesti da se zaštitom od kibernetičkih napada u tako složenim sustavima kao što je energetski ne smije baviti samo određena tvrtka, kao što su HEP, Janaf ili Plinacro, već to mora biti dio šire suradnje i razmjene informacija pri čemu je dio odgovornosti i na nacionalnoj razini.

"Mislim da je dobro da je u tome smislu Zakonom o kibernetičkoj sigurnosti (usvojenim ove godine) Sigurnosno-obavještajna služba (SOA) preuzela puno operativniju ulogu. Odgovornost mora biti slojevita i proporcionalna", smatra Zitek.

Kako kibernetički kriminalci mogu djelovati iz bilo kojeg dijela svijeta, tako je funkcionalnost razmjene informacija o trenutačnim prijetnjama iznimno bitna ne samo na nacionalnoj razini, već i na razini Europske unije (EU).

Europski napori u jačanju kibernetičke sigurnosti

Kako ističu u Europskoj komisiji, elektroenergetske mreže i plinovodi su snažno međupovezani unutar i znatnim dijelom izvan EU-a, pa ispadanje sustava u jednoj zemlji može proizvesti zamračenja ili izostanak isporuke energije u drugim područjima ili zemljama.

Prvi mrežni kodeks o kibernetičkoj sigurnosti za elektroenergetski sektor u EU objavljen je u svibnju ove godine.

Njime se utvrđuju pravila za aspekte kibernetičke sigurnosti koji se tiču prekograničnih tokova električne energije i procjenjuju rizici čemu je cilj sustavno utvrditi subjekte koji provode digitalizirane procese s kritičnim ili velikim učinkom na prekogranične tokove električne energije te mjere ublažavanja rizika koje je onda potrebno primijeniti.

"Dogodi li se nešto, primjerice, u Italiji ili Mađarskoj, važno je brzo od relevantnih tijela proslijediti informacije o tome kako bi se spriječilo ponavljanje. To je jedan od izazova na čijem se rješavanju, koliko znam, sada radi", navodi Zitek.

 

U pripremi teksta sudjelovala Marta Premužak

Trenutno nema komentara za vijest. Ostavite prvi komentar...

Ostavi komentar