Gmina Zbójna logo Gmina Zbójna

Komunikat Pełnomocnika Rządu do spraw Cyberbezpieczeństwa dotyczący cyberbezpieczeństwa OZE

Foto nr 2819
źródło: gov.pl
Fotogaleria
Pełnomocnik Rządu do spraw Cyberbezpieczeństwa opracował zestaw zaleceń wynikających z potrzeby zapewnienia właściwego poziomu ochrony cybernetycznej w sektorze energetycznym, ze szczególnym uwzględnieniem instalacji opartych na odnawialnych źródłach energii.

Funkcjonowanie farm wiatrowych i instalacji fotowoltaicznych opiera się na systemach automatyki przemysłowej, które umożliwiają bieżący nadzór oraz sterowanie ich pracą. Ze względu na rozproszenie geograficzne takich obiektów, stosowane rozwiązania pozwalają na zdalną konfigurację parametrów, prowadzenie diagnostyki, planowanie działań serwisowych oraz reagowanie na zdarzenia, często z poziomu centralnych centrów zarządzania lub przez firmy zewnętrzne. Chociaż pojedyncze instalacje OZE dysponują relatywnie niewielką mocą, ich jednoczesne lub skoordynowane zakłócenie może stanowić istotne zagrożenie dla stabilności krajowego systemu elektroenergetycznego. Z tego względu cyberbezpieczeństwo farm OZE ma znaczenie nie tylko dla ich właścicieli, lecz również dla operatorów sieci dystrybucyjnych i przesyłowych oraz dla bezpieczeństwa odbiorców energii.

Zalecenia podstawowe

  • Zdalny dostęp do infrastruktury powinien być realizowany wyłącznie za pośrednictwem bezpiecznych połączeń VPN typu site-to-site lub poprzez dostęp serwisowy z zastosowaniem uwierzytelniania wieloskładnikowego. Inne formy zdalnego dostępu, takie jak popularne narzędzia wsparcia technicznego, powinny zostać wyłączone.

  • Urządzenia należące do warstwy OT oraz powiązane z nimi oprogramowanie nie mogą być bezpośrednio dostępne z poziomu internetu.

  • Interfejsy administracyjne urządzeń brzegowych, w tym panele zarządzania koncentratorów VPN, nie powinny być wystawione na publiczną sieć.

  • Wszystkie domyślne dane uwierzytelniające muszą zostać zmienione, również w urządzeniach OT. Hasła powinny być tworzone zgodnie z dobrymi praktykami bezpieczeństwa oraz być unikalne dla każdego obiektu. Niedopuszczalne jest współdzielenie kont użytkowników – system powinien umożliwiać jednoznaczną identyfikację działań poszczególnych osób.

  • Konieczne jest wyznaczenie osoby odpowiedzialnej za kwestie cyberbezpieczeństwa instalacji oraz utrzymywanie stałej współpracy z podmiotami krajowego systemu cyberbezpieczeństwa.

  • Wszystkie wykorzystywane zewnętrzne adresy IP oraz domeny powinny zostać zgłoszone i zweryfikowane w portalu moje.cert.pl, co umożliwi ich monitorowanie pod kątem zagrożeń. Osoba odpowiedzialna za bezpieczeństwo powinna być wskazana jako kontaktowa.

  • Sprzęt i oprogramowanie stosowane w obiekcie powinny być objęte szczegółową inwentaryzacją, obejmującą m.in. dostępne interfejsy administracyjne, konta użytkowników, poziomy uprawnień, adresację IP, numery seryjne oraz wersje oprogramowania.

  • Zaleca się stosowanie segmentacji sieci (np. z użyciem VLAN) oraz definiowanie zasad dostępu zgodnie z zasadą minimalnych uprawnień.

  • Po każdej modyfikacji konfiguracji urządzeń należy wykonać kopię zapasową, która powinna być przechowywana w odseparowanym, offline’owym środowisku.

  • Należy regularnie śledzić komunikaty bezpieczeństwa dotyczące używanych urządzeń oraz aktualizować je zgodnie z zaleceniami producentów. W przypadku systemów OT decyzje o aktualizacjach powinny być poprzedzone analizą ryzyka i realizowane zgodnie z harmonogramem prac serwisowych.

  • W razie wykrycia nietypowego działania systemów lub urządzeń należy niezwłocznie zgłosić zdarzenie do właściwego zespołu CSIRT:

    • CSIRT GOV – dla administracji rządowej i infrastruktury krytycznej,

    • CSIRT MON – dla instytucji wojskowych,

    • CSIRT NASK – dla pozostałych podmiotów.

Zakres kompetencji poszczególnych zespołów CSIRT określają przepisy ustawy o krajowym systemie cyberbezpieczeństwa.

Zalecenia uzupełniające

  • Zapewnienie odpowiedniego czasu przechowywania logów zdarzeń generowanych przez urządzenia brzegowe oraz inne kluczowe elementy infrastruktury.

  • Ograniczenie dostępu serwisowego poprzez zastosowanie listy dozwolonych adresów IP.

  • Wykorzystanie prywatnych sieci APN do transmisji danych sterujących i telemetrycznych w przypadku korzystania z łączności GSM/LTE.

  • Opracowanie planu reagowania na incydenty oraz jego regularna aktualizacja.

  • Rejestrowanie sesji zdalnego dostępu.

  • Zastosowanie systemów monitoringu wizyjnego oraz kontroli dostępu w celu ochrony infrastruktury fizycznej przed nieautoryzowaną ingerencją.

źródło: https://www.gov.pl/web/baza-wiedzy/komunikat-pelnomocnika-rzadu-do-spraw-cyberbezpieczenstwa-dotyczacy-cyberbezpieczenstwa-oze

Administrator