Cyberbezpieczeństwo OZE priorytetem Ministerstwa Cyfryzacji. Nowe wytyczne dla farm wiatrowych i fotowoltaicznych

Pełnomocnik Rządu do spraw Cyberbezpieczeństwa, we współpracy z Ministerstwem Cyfryzacji oraz zespołami CSIRT NASK i CSIRT GOV, opublikował kluczowe rekomendacje dla sektora odnawialnych źródeł energii. Dokument jest reakcją na rosnące ryzyko cyfrowe dla infrastruktury, która staje się fundamentem krajowego systemu energetycznego.

Choć pojedyncza farma wiatrowa czy instalacja fotowoltaiczna generuje stosunkowo niewielką moc, eksperci ostrzegają przed efektem skali. Skoordynowany atak na wiele rozproszonych geograficznie obiektów, sterowanych zdalnie przez systemy automatyki przemysłowej, może doprowadzić do destabilizacji całego systemu elektroenergetycznego. Dlatego nowe wytyczne mają znaczenie krytyczne nie tylko dla właścicieli instalacji, ale także dla operatorów sieci przesyłowych i bezpieczeństwa energetycznego państwa.

Fundamentem nowych zaleceń jest rygorystyczne odseparowanie urządzeń OT od publicznej sieci. Rządowi eksperci wskazują wprost: żadne urządzenie OT ani powiązane z nim oprogramowanie nie może być widoczne bezpośrednio w internecie.

Kluczowe wymogi techniczne obejmują:

• Bezpieczny dostęp zdalny: Zarządzanie infrastrukturą powinno odbywać się wyłącznie przez tunele VPN (site-to-site) dla stałych połączeń. W przypadku dostępu serwisowego wymagane jest uwierzytelnianie wieloskładnikowe (MFA). Wszelkie inne formy zdalnego pulpitu czy oprogramowania wsparcia technicznego powinny zostać zablokowane.

• Higiena haseł: Należy natychmiast zmienić wszystkie hasła domyślne. Nowe dane uwierzytelniające muszą być unikalne dla każdego obiektu i użytkownika (zapewnienie rozliczalności), zgodne z wytycznymi cert.pl.

• Segmentacja sieci: Wymagane jest stosowanie co najmniej technologii VLAN do separacji ruchu sieciowego oraz wdrażanie polityki minimalnych uprawnień.

Inwentaryzacja i „moje.cert.pl”

Zalecenia kładą duży nacisk na uporządkowanie procesów zarządzania. Każda farma powinna posiadać wyznaczoną osobę odpowiedzialną za cyberbezpieczeństwo. Kluczowym krokiem jest zgłoszenie i weryfikacja wszystkich zewnętrznych adresów IP oraz domen w portalu moje.cert.pl, co pozwoli krajowym służbom na monitorowanie bezpieczeństwa tych zasobów.

Operatorzy OZE zostali również zobowiązani do prowadzenia szczegółowej inwentaryzacji sprzętu i oprogramowania, a także do tworzenia kopii zapasowych konfiguracji (przechowywanych offline) po każdej wprowadzonej zmianie.

Zaawansowana ochrona i monitoring

Dokument zawiera także szereg zaleceń dodatkowych dla podmiotów chcących podnieść poziom bezpieczeństwa:

• Wykorzystanie prywatnych sieci APN do transmisji danych telemetrycznych w sieciach GSM/LTE.

• Wdrożenie retencji logów z urządzeń brzegowych.

• Nagrywanie sesji zdalnego dostępu administracyjnego.

• Instalacja systemów monitoringu wizyjnego (CCTV) i kontroli dostępu (KD) w celu fizycznej ochrony obiektów.

W przypadku wykrycia incydentu, podmioty są zobowiązane do niezwłocznego kontaktu z właściwym zespołem reagowania: CSIRT GOV (infrastruktura krytyczna), CSIRT MON (wojsko) lub CSIRT NASK (pozostałe podmioty).