Kyberrikolliset pitävät uusiutuvia energiajärjestelmiä yhä useammin sähköverkon heikkona lenkkinä. IEC:llä on useita ratkaisuja heidän estämisekseen, joissa yhdistyvät standardit ja vaatimustenmukaisuuden arviointi.
Kyberturvallisuus on muuttumassa yhä tärkeämmäksi asiaksi maailmanlaajuisissa energiantuotantojärjestelmissä, ja IEC tarkastelee vaatimustenmukaisuuden arviointijärjestelmän (CA) luomista siirto- ja jakelujärjestelmiin kytkettyjen uusiutuvan energian järjestelmien kyberturvallisuuden sertifiointiin.
“Uusiutuvan energian tuottajat ovat äärimmäisen tietoisia kyberhyökkäysten riskeistä. IEC:n vaatimustenmukaisuuden arviointijärjestelmässä tarkastelemme, miten parhaiten toteuttaa kyberturvallisuusjärjestelmä uusiutuvan energian järjestelmille”, vahvistaa IECRE-päällikkö Alistair Mackinnon. IECRE on IEC-sertifiointijärjestelmä standardeille, jotka liittyvät uusiutuvan energian sovelluksiin.
Kyberhyökkäykset ovat kasvava uhka sähköverkolle
Ukrainan sota on tehnyt maat tietoisiksi tarpeesta turvata energiansaantinsa. Uudelleen heränneet pelot kyberhyökkäyksistä kriittisiin kohteisiin, kuten energiantoimitusjärjestelmiin, ovat korkealla Euroopan laitosten huomiotavien uhkien asialistalla. Politico-lehden mukaan tuhannet kyberhyökkäykset ovat vaikuttaneet Euroopan energiaverkkoon Venäjän hyökättyä Ukrainaan. Kansainvälisen energiajärjestön tuore raportti osoittaa, että energiahuoltoon kohdistuva kyberhyökkäysten keskimääräinen määrä viikossa on yli kaksinkertaistunut maailmanlaajuisesti vuosien 2020 ja 2022 välillä.
EU asetti tänä vuonna uusia kyberturvallisuusvaatimuksia kriittisten sektoreiden yrityksille, mukaan lukien energia-alalle, NIS2-direktiivin nojalla, joka tulee voimaan lokakuussa 2024.
Kyberturvallisuusstandardit älyverkolle
Frances Cleveland johtaa IEC:n teknisen komitean TC 57 ponnisteluja älyverkon ydinstandardeista. Hän painottaa, että viisi keskeistä käsitettä on ymmärrettävä, kun käsitellään kriittistä varallisuutta, kuten sähköntoimitusta ja sen kyberturvallisuutta: joustavuus; suunnittelu turvallisuuden näkökulmasta; perustavanlaatuinen merkitys tietotekniikan (IT) ja operatiivisen teknologian (OT) eron ymmärtämisessä; riskinarviointi, riskien lieventäminen ja prosessien jatkuva päivitys; ja kansainvälisten standardien rooli.
“Kyberturvallisuutta tarvitaan kaikkialla sähköverkossa, mukaan lukien jakelujärjestelmät, siirtojärjestelmät ja niihin liitetyt uusiutuvat energialähteet. Meidän on vakuutettava kaikki eri osapuolet, ja niitä on monia, valmistajista, myyjistä, asentajista aina kokoonpanijoihin ja palvelujen sääntelijöihin, tästä tarpeellisuudesta”, Cleveland sanoo.
Hänen johtamansa komitean TC 57 työryhmä on kehittänyt IEC 62351 -standardisarjan, joka sisältää kyberturvallisuusvaatimuksia sekä ohjeita suunnitella tietoturvallisuutta järjestelmiin ja toimintoihin ennen niiden rakentamista, sen sijaan että tietoturvatoimenpiteisiin ryhdyttäisiin järjestelmien toteuttamisen jälkeen. Näiden kyberturvallisuusvaatimusten eri turvallisuustavoitteet sisältävät tiedonsiirron todentamisen digitaalisilla allekirjoituksilla, mikä varmistaa pääsyn ainoastaan todennetuille osapuolille, salakuuntelun estämisen, toistamisen ja väärentämisen estämisen sekä tunkeutumisen havaitsemisen.
“Idea on saada hajautettujen energiavarojen (DER) sidosryhmät valmistamaan ja liittämään nämä DER-järjestelmät integroiduilla kyberturvallisuuspolitiikoilla ja teknologioilla heti alusta alkaen, toisin sanoen DER-järjestelmät, jotka ovat kyberturvallisia suunnittelultaan. Jos he miettivät kyberturvallisuutta vasta kun järjestelmä on jo käytössä, se on vähän kuin laittaisi laastarin hengenvaaralliseen haavaan”, Cleveland sanoo.
IEC 62443 ja IECEE-järjestelmä kyberturvallisuudelle
Sähköasennukset ja voimalaitokset kuuluvat maiden kriittiseen infrastruktuuriin. Valvontajärjestelmien ja käyttöliittymien SCADA-tekniikka ja automaatio ovat nyt laajasti käytössä sähkövoimaloissa, kun ne automatisoivat yhä useampia tehtäviä. SCADA-järjestelmissä on suuria viestintäverkkoja, jotka ulottuvat suoraan tai epäsuorasti tuhansiin laitoksiin. Niitä käytetään sähköverkkojen ja teollisuusasennusten laitteiden ja koneiden valvontaan. Monien SCADA-järjestelmien haasteena on, miten erottaa normaali ja mahdollisesti tunkeileva tieto, joka voisi aiheuttaa vahinkoa.
IEC TC 65:n julkaisemaa IEC 62443 -sarjaa voidaan soveltaa mihin tahansa kriittisen infrastruktuurin laitokseen, kuten sähköyhtiöihin, julkiseen liikenteeseen tai terveydenhuoltoon. Nämä horisontaaliset standardit määrittelevät tehokkaita kyberturvallisuusprosesseja ja menettelyjä, jotka kattavat koko arvoketjun automaatiotekniikan valmistajista asentajiin ja käyttäjiin. Ne käsittelevät ja lieventävät nykyisiä kyberturvallisuushaavoittuvuuksia sekä ennaltaehkäisevät tulevia.
IECEE:n teollisen kyberturvallisuusohjelma testaa ja sertifioi kyberturvallisuutta teollisuuden automaatioalalla. IECEE sisältää ohjelman, joka tarjoaa sertifiointia IEC 62443 -sarjan standardeihin. Se ei kuitenkaan ole nimenomaan suunnattu uusiutuville energiasysteemeille.
Ponnistelut kehittää kyberturvallisuusstandardeja DER-järjestelmille ovat käynnissä monissa eri paikoissa, mukaan lukien IEEE Std 1547.3:2022: Guide for Cybersecurity of Distributed Energy Resources Interconnected with Electric Power Systems, UL 2941: Outline of Investigation for Cybersecurity of Distributed Energy and Inverter-Based Resources, and the US Department of Energy’s Cybersecurity Baselines for Electric Distribution Utilities and DER. Suunnitelma päivittää standardisarjan IEC 62443 asiaankuuluvia osa-alueita DER-kyberturvallisuuden osalta on osa IEC:n ponnisteluja kehittää IEC 62443:sta horisontaaleja standardeja. Koordinointi kaikkien näiden ponnistelujen välillä on elintärkeää yhdenmukaisen ja yhteensopivan kyberturvallisuuden varmistamiseksi koko sähkövoimajärjestelmän laajuudella.
Uusiutuvat energiajärjestelmät, heikko lenkki?
Uusiutuvien energiantuottajien liittäminen sähköverkkoon tekee niistä todennäköisiä kyberkohteita, erityisesti koska niihin liittyy monia eri sidosryhmiä, joilla on rajoitettu kyberturvallisuusosaaminen, ja koska DER-järjestelmät käyttävät yleensä julkista internetiä viestintään. Tehokasta teknologiaa käyttävät uhat keskittyvät etsimään haavoittuvuuksia sellaisten organisaatioiden operatiivisesta teknologiasta (OT), jotka eivät välttämättä ole osa sähkövoimajärjestelmää, mutta ovat siihen yhteydessä. Hyökkääjät keskittyvät “heikkoihin lenkkeihin”, jotka eivät välttämättä ole satsanneet riittävästi OT-ympäristönsä ja uusiutuvan energian järjestelmiensä turvallisuuteen, ja uusiutuvan energian järjestelmät nähdään joskus näinä heikkoina lenkkeinä.
CohnReznickin, vero- ja varmennuskonsultointiyrityksen, mukaan uusilla yrityksillä uusiutuvan energian sektorilla ei ehkä ole tietoturvajohtajaa, tai tuo rooli voi raportoida toiselle yrityksen johtajalle. Kuitenkin kyberturvallisuusriski on niin laaja, että he suosittelevat voimakkaasti uusiutuvan energian yrityksiä nimeämään pätevän tietoturvajohtajan, jolla on riittävästi autonomiaa toteuttaa politiikkoja, käytäntöjä ja valvontaa, jotka ovat tarpeen suojaamaan ei vain IT- ja OT-ympäristöjä, vaan myös yrityksen operatiivista jatkuvuutta, taloudellista vakautta ja mainetta. Tämä on vain yksi suosituksista, jotka voisivat olla osa uutta IEC:n uusiutuvan energian järjestelmien kyberturvallisuusvaatimustenmukaisuuden arviointipalvelua.
”Kattavan ja onnistuneen uusitutuvan energian järjestelmien kyberturvallisuuspalvelun avaimena on hyödyntää kokemusta IECEE:n teollisesta kyberturvallisuusohjelmasta ja IECRE-asiantuntijoiden syvällistä tietämystä uusiutuvan energian järjestelmien osalta. Näiden kahden ryhmän yhteistyöllä voimme kehittää markkinoiden kannalta merkittävän palvelun, joka tuo todellista lisäarvoa kaikille sidosryhmille”, sanoo IECRE:n ja IECEE:n pääsihteeri Wolfram Zeitz.
SK 65 Teollisuusprosessien ohjaus ja SR 57 Sähköverkkojen hallinta ja viestintä
Suomalainen komitea SK 65 seuraa IEC:n komitean TC 65 ja sen alakomiteoiden sekä CENELECin komitean TC 65X ja näiden työryhmien toimintaa ja pyrkii vaikuttamaan niissä laadittaviin standardeihin myös kyberturvallisuuden osalta.
Seurantaryhmän SR 57 tehtävänä on huolehtia Suomen osallistumisesta sähköverkkojen tietomallien ja viestintäprotokollien kansainväliseen ja eurooppalaiseen standardointityöhön ja on osaltaan mukana myös kyberturvallisuuden edistämistyössä.
SESKOn komiteoiden työhön osallistuminen on avointa kaikille asiasta kiinnostuneille. Komitean jäsenyys avaa mahdollisuuden vaikuttaa myös kansainvälisten IEC- ja eurooppalaisten CENELEC-standardien sisältöön.
Lue alkuperäinen artikkeli oheisesta linkistä: Cyber security for renewable energy systems | IEC e-tech
Lisää suosikiksiLisätietoja aiheesta
