Kolejny ważny sektor w UE opanowany przez Chiny. Wzory regulacji leżą na stole [KOMENTARZ]

W Polsce funkcjonuje ok. 16 mln liczników elektrycznych. Posiada je każdy dom i mieszkanie, wszyscy je znamy. Do tej pory urządzenia te nie miały rozbudowanych funkcji komunikacyjnych a odczyt zużycia energii odbywał się poprzez wizytę inkasenta. Wraz z postępem technologicznym urządzenia służące do pomiaru zużycia ewoluowały. Od kilku lat dysponujemy nową generacją urządzeń, tzw. inteligentnymi licznikami (smart meters), które – dzięki funkcji zdalnej, dwukierunkowej komunikacji - dostarczają OSD informacji m.in. o jakości zasilania, napięciu i natężeniu prądu w punktach przyłączeniowych. Mogą też dostarczyć informacji służących do profilowania odbiorców, umożliwiają automatyczne zbieranie, przechowywanie i transfer szczegółowych danych o zużyciu energii elektrycznej oraz umożliwiają zdalne odłączenie konsumenta od sieci. Inteligentne liczniki wspierają efektywność energetyczną. Posiadając więcej danych i zdalną obsługę domowej energetyki, można zaoszczędzić ok. 20-30% energii.

Przyjęta w kwietniu br. roku nowelizacja przepisów Prawa energetycznego zakłada wymianę liczników na inteligentne u ok. 80% wszystkich odbiorców w kraju do końca 2028 roku. Z uwagi na złożoność procesu oraz jego liczne wymagania, został on podzielony na cztery etapy. Pierwszy z nich, obejmujący 15% odbiorców, ma zostać zakończony do końca tego roku. Kolejny etap, obejmujący już 35% wszystkich odbiorców, planuje się zakończyć do 31 grudnia 2025 roku. Trzeci etap, dotyczący 65% odbiorców, będzie trwać do 2027 roku. Ostatni już, czwarty etap, zakłada wymianę liczników na inteligentne u 80% użytkowników do 2028 roku.

Jednakże realizacja tych ambitnych planów może okazać się niewykonalna bez wcześniejszego uporządkowania fundamentalnych aspektów. Sierpniowa ekspertyza przygotowana przez Apator we współpracy z ComCERT wykazuje szereg zagrożeń, jakie mogą spotkać urządzenia i systemy pomiarowe. Dokument identyfikuje różnego rodzaju ryzyka, zarówno o charakterze regulacyjnym, jak i fizycznym, jednocześnie proponując metody ich rozwiązania oraz rekomendacje odnośnie działań prewencyjnych.

Autorzy raportu, po przeprowadzeniu gruntownych badań rynku oraz dokładnej oceny regulacji prawnych wskazują, że jednym z najbardziej znaczących zagrożeń, które może wpłynąć na proces powszechnej wymiany liczników na inteligentne w całym kraju jest brak konkretnych przepisów oraz niskie środki ochrony związane z weryfikacją urządzeń pod kątem bezpieczeństwa cyfrowego. W ramach ogłaszanych krajowych przetargów na urządzenia pomiarowe, decydującym aspektem w procesie wyboru dostawcy jest przede wszystkim cena. Producenci chińscy, wspierani przez rządowe subwencje mające na celu rozpowszechnienie chińskich towarów, osiągają tym samym dominującą pozycję na rynku, oferując swoje produkty po niezwykle atrakcyjnych cenach. W rezultacie, w gospodarstwach domowych w niektórych częściach kraju montowane są liczniki, które w znacznym stopniu pochodzą od dostawców, których źródło nie jest jednoznacznie możliwe do zidentyfikowania. Autorzy raportu podkreślają, że brak adekwatnych przepisów i zbyt luźne regulacje mogą wywołać długoterminowe konsekwencje dla stabilności i bezpieczeństwa całego systemu elektroenergetycznego. Możliwość zdalnego wyłączania lub zakłócania pracy liczników może prowadzić do awarii w sieciach dystrybucyjnych, a po uwzględnieniu skali tych wydarzeń, także poważnie zaburzyć prawidłowe funkcjonowanie państwa.

W raporcie wskazano, że jednym z potencjalnych zagrożeń może być niedostateczny poziom cyberzabezpieczeń urządzeń, co stanowi zachętę do przeprowadzania prób ataków na kanał komunikacyjny. Inteligentny licznik, monitorujący wrażliwe dane, takie jak pomiary w czasie rzeczywistym, jakość zasilania oraz inne parametry, staje się potencjalnym celem dla cyberprzestępców. W razie przechwycenia danych, mogą one być używane do profilowania konsumentów, naruszając ich prywatność i ujawniając informacje o ich stylu życia oraz nawykach.

W odniesieniu do ataku na łańcuch dostaw liczników inteligentnych, eksperci identyfikują dwa główne, poważne zagrożenia. Pierwszym z nich jest umieszczenie tzw. backdoorów w komponentach elektronicznych. To specjalnie zaprojektowane luki w zabezpieczeniach systemu lub urządzeń. Dzięki nim nieuprawnione osoby mogą uzyskać dostęp do całego systemu bądź przejąć kontrolę nad wybranymi jego elementami. Innym zagrożeniem jest tzw. bomba logistyczna – mechanizm wbudowany w oprogramowanie lub system operacyjny urządzenia pomiarowego, który uruchamia się automatycznie w określonych warunkach, jak choćby wybrane ramy czasowe - dzień i godzina - lub też zaplanowana liczba uruchomień systemu. Autorzy raportu wskazują, że istotną cechą bomby logicznej jest jej niezależność od połączenia z serwerem lub siecią internetową, ponieważ komendy, które aktywują się po uruchomieniu, są zapisane w samej bombie i wykonywane automatycznie. W sytuacji nadmiernej zależności od niezweryfikowanych dostawców, niepodlegających rygorystycznym standardom bezpieczeństwa, rośnie ryzyko potencjalnego ataku wykorzystującego oscylacje obciążenia podczas masowego odłączenia odbiorców, co w efekcie może prowadzić do destabilizacji krajowej sieci energetycznej.

Rozpoznanie wielu potencjalnych zagrożeń w różnych aspektach działania wskazuje na pilną potrzebę efektywnego monitorowania i kontroli. W tym kontekście kluczowe staje się opracowanie odpowiednich wymagań oraz norm prawnych związanych z inteligentnymi licznikami. Równie istotne jest ustanowienie precyzyjnych i rygorystycznych procedur weryfikacji, które zagwarantują, że wymagania te będą w pełni spełnione zarówno przez urządzenia, jak i ich dostawców. Eksperci Apator oraz ComCERT przygotowali propozycje minimalizacji ryzyka związanego z łańcuchem dostaw, który w ocenie autorów raportu jest najpoważniejszym w swych konsekwencjach dla bezpieczeństwa zaawansowanej infrastruktury pomiarowej. Jednym z kluczowych środków zaradczych, zgodnie z ich rekomendacjami, jest konieczność regularnego przeprowadzania audytów oprogramowania układowego oraz testów bezpieczeństwa urządzeń. W równym stopniu istotne wydaje się wprowadzenie skutecznych mechanizmów ochrony oprogramowania układowego oraz systemów monitorowania i reagowania na potencjalnie nieuprawnione modyfikacje w oprogramowaniu układowym.

Ustalenie odpowiednich regulacji dla omawianych kwestii wydaje się zadaniem możliwym do wykonania i opartym na rozwiązaniach już istniejących. W tym kontekście można czerpać z doświadczenia kilku państw sąsiednich, które skutecznie zajęły się tym problemem, jednocześnie eliminując zagrożenia związane z inwigilacją ze strony obcych państw. Ze względu na bezpieczeństwo krytycznej infrastruktury energetycznej, Czechy zakazały chińskim producentom inteligentnych liczników dostępu do krajowego rynku. Niemcy wprowadziły rygorystyczne normy dla dostawców modułów komunikacyjnych do liczników, eliminując praktycznie podmioty spoza obszaru Unii Europejskiej. Z kolei Litwa, w wyniku sporu politycznego, postanowiła zerwać stosunki handlowe z CHRL.

W Polsce obecnie nie są nakładane żadne ograniczenia na dostawców z krajów o podwyższonym ryzyku. Sytuacja ta może stanowić potencjalne zagrożenie, zwłaszcza w kontekście dzisiejszych wydarzeń o charakterze geopolitycznym oraz coraz częstszych działań wojen hybrydowych prowadzonych przez obce państwa. W obliczu tych wyzwań, zabezpieczenie granic państwa wydaje się być priorytetem, jednak równie ważne jest zagwarantowanie bezpieczeństwa kraju od wewnątrz. W związku z tym, zaleca się uwzględnienie opinii ekspertów i wdrożenie adekwatnych działań w odpowiedzi na te realne zagrożenia.

Materiał powstał w ramach płatnej współpracy z Grupą Apator