Киберпираты могут удерживать возобновляемую революцию в качестве выкупа - Финансовые новости
20 декабря 2021 17:33
Киберпираты могут удерживать возобновляемую революцию в качестве выкупа

Киберпираты могут удерживать возобновляемую революцию в качестве выкупа

Несколько лет назад исследователи доказали, что ветряные турбины можно взломать и манипулировать ими. Солнечные фермы также могут стать заложниками хакеров: один голландский ученый нашел способ взломать инверторы солнечных установок. С увеличением числа ветряных и солнечных электростанций, строящихся в условиях энергетического перехода, они превращаются в критически важную инфраструктуру, которую необходимо защищать. Но можно ли это сделать?

Для начала следует отметить, что обеспечение кибербезопасности ветряных и солнечных установок — довольно сложная задача. Бенни Чарни, основатель и генеральный директор OPSWAT, компании по кибербезопасности, специализирующейся на критической инфраструктуре, объясняет, что ветряные и солнечные установки управляются промышленными системами управления и оперативными системами безопасности, причем последние часто изолированы от первых. В теории, говорит он, это должно сделать инфраструктуру более безопасной. На практике это добавляет дополнительный уровень сложности в управление инфраструктурой, что, в свою очередь, делает ее более уязвимой для атак.

«Киберриски для активов возобновляемой энергетики чрезвычайно остры», — сказал Oilprice партнер Fieldsfisher и специалист по кибербезопасности Джеймс Уолш. «Многие из этих генерирующих объектов будут напрямую подключены к региональной или национальной сети, и большинство из них сейчас полагаются на интеллектуальные системы, позволяющие их владельцам и операторам управлять ими в цифровом формате — все это создает интерфейсы киберрисков».

Риск кибербезопасности для критически важной энергетической инфраструктуры вышел на первый план в начале этого года, когда хакеры захватили Колониальный трубопровод и заставили его остановиться, что вызвало дефицит топлива на Восточном побережье. Это, конечно, привлекло внимание к защите энергетических систем, но не достаточно.

Исторически сложилось так, что на долю ветряных и солнечных электростанций приходится незначительная часть генерирующих мощностей США, поэтому их защита не ставилась в один ряд с защитой обычных электростанций, говорит Дэвид Уайт, основатель и президент компании Axio, занимающейся разработкой программного обеспечения для управления киберрисками. Однако сейчас есть штаты, в которых почти треть электроэнергии вырабатывается на возобновляемых электростанциях, добавляет он, поэтому пришло время принять меры по их более эффективной защите.

К сожалению, отчасти причиной повышенной киберуязвимости ветряных и солнечных установок являются благие намерения. Как объясняет технический директор Awen Collective Джулс Фэрроу, подключение к сети не всегда является благом.

«Усилия по сбору и анализу оперативных данных для повышения эффективности и устойчивости систем ОТ — дело достойное, но часто приводящее к подрыву единственной защиты традиционных систем ОТ [операционных технологий] — отсутствия связи с другими системами и сетями», — сказал он Oilprice.

Осознание проблемы — это начало этой защиты». Далее следует обеспечение безопасности устройств, используемых вблизи систем критической инфраструктуры, и постоянная оценка рисков, чтобы иметь возможность обнаружить уязвимости на ранней стадии».

«Большая связанность активов возобновляемых источников энергии по сравнению с нефтью и газом, которые являются изолированными энергетическими товарами, повышает системные риски и может представлять потенциальную угрозу для всей сети», — говорит Уолш из Fieldfisher. 

Возможные конкретные меры включают «адекватный контроль доступа, надежную сегментацию от бизнес-сети и Интернета, надежную защиту любых подключений третьих лиц (как и некоторые современные генераторы ископаемого топлива, многие из этих активов имеют постоянное подключение к третьим лицам для контроля и мониторинга), а также мониторинг», по словам Уайта из Axio.

Обучение сотрудников компании защите от кибератак также имеет решающее значение для снижения рисков энергетических систем, по словам Китрона Эванса, главного исследователя безопасности в Infosec Institute. Однако снижение рисков не всегда возможно, и компаниям необходимо сосредоточиться на восстановлении после атаки.

Фил Безансон, эксперт по энергетике и кибербезопасности, партнер юридической фирмы Bracewell, согласен с этим мнением. По его словам, минимальные стандарты в управлении кибербезопасностью должны включать «комплексное картирование данных, обновление исправлений безопасности программного обеспечения, обучение сотрудников тому, как ошибки пользователей способствуют возникновению киберинцидентов, и наличие проверенного плана реагирования на инциденты».

Следует помнить, что по мере того, как ветряные и солнечные установки становятся все более сложными и совершенными, растут и методы, которые хакеры используют для проникновения в любую систему. Это означает, что операторы ветровых и солнечных установок, как и любой другой критически важной энергетической инфраструктуры, должны совершенствовать свои методы управления.

«Новые ветряные и солнечные установки должны проектироваться и строиться с учетом кибербезопасности», — говорит Мэтт Донахью, аналитик по вопросам соответствия и риска компании Sentient Digital. «Обновление и усиление мер безопасности на старых системах должно стать приоритетом, поскольку они наиболее уязвимы для атак. Это включает не только обновление систем, но и физическую защиту сетей и переподготовку персонала».

Все эксперты по кибербезопасности согласны с тем, что необходимо сосредоточиться на обеспечении связи. По словам Уайта из Axio, «владельцы и операторы ветряных и солнечных электростанций должны понимать степень киберриска этих активов и принимать соответствующие меры для реагирования на эти риски. В частности, следует принять меры по защите любых постоянных соединений с третьими сторонами, чтобы минимизировать системные риски, которые могут возникнуть в результате компрометации одной из этих третьих сторон».

Угроза кибератак растет и будет расти в будущем. В то же время будут увеличиваться мощности ветровой и солнечной генерации. «Мы постоянно находимся под угрозой значительной кибератаки на энергетический сектор США, — говорит Лиза Сотто, руководитель глобальной практики конфиденциальности и кибербезопасности в Hunton Andrews Kurth.

Следует помнить, что ни одна энергетическая система не защищена от кибератак — фактически, энергетические системы, являющиеся критически важной инфраструктурой, являются магнитом для хакеров — и подготовиться к ним соответствующим образом, пока не стало слишком поздно.


Похожие новости: