Przedsiębiorstwa użyteczności publicznej i organy regulacyjne poszukują rozwiązań, które tworzą zagrożenia cybernetyczne dla rozwoju sieci elektrycznych.
Cyberatak na sieć elektroenergetyczną
Wraz ze wzrostem uzależnienia amerykańskich sieci elektrycznych od cyberzarządzania i Internetu, stają się one coraz bardziej narażone na cyberataki. Nie trzeba dużej wyobraźni, aby zrozumieć, w jaki sposób takie ataki mogą zaszkodzić amerykańskiej gospodarce, pisze dla Forbesa Constance Douris, wiceprezes Lexington Institute – organizacji pozarządowej, której celem jest kształtowanie relacji między rządem federalnym a sektorem prywatnym. Gdy amerykańscy wojskowi planiści opracowali swój pierwszy plan wojny powietrznej, mający na celu pokonanie sił Osi w lecie 1941 roku, sieć elektryczna w Niemczech znalazła się na szczycie listy instalacji, które miały być zniszczone w pierwszej kolejności, dodaje Douris.
Dobrze skonstruowany cyberatak w sieci z ogromną mocą uderzyłby w najwrażliwsze elementy struktury społecznej. Odciąłby dostawy prądu do szpitali, banków, czy fabryk i innych jednostek wspierających obywateli w sytuacjach kryzysowych. Spowodowałoby to ogromny chaos, wzrost przestępczości i ogólne problemy z zaprowadzeniem porządku społecznego. Zdaniem Douris wszystkie amerykańskie przedsiębiorstwa świadczące usługi dla ludności zwracają coraz większą uwagę na tę kwestię, ale teraz powinny skierować więcej sił i środków na poprawę swojego cyberbezpieczeństwa.
Organizacją ustalającą standardy cyberbezpieczeństwa dla systemów przesyłowych jest Federalna Komisja Regulacji Energetyki. Nie ma ona jednak wpływu na decyzje podejmowane przez prywatne przedsiębiorstwa energetyczne, działające w ramach państwowych komisji użyteczności publicznej, gdyż te nie podlegają kontroli Komisji. W konsekwencji brakuje jednolitych standardów cyberbezpieczeństwa w systemach dostarczających energię i ciepło do poszczególnych klientów. Czerpiąc dochody z eksploatacji zasobów energetycznych, takie firmy powinny poszukiwać nowych rozwiązań chroniących przed cyberatakami na sprzęt i finansować je oraz zapewnić stały dostęp do elektryczności, uważa Douris.
W artykule dla Forbesa, wiceprezes Lexington Institute wymienia kilka przedsiębiorstw, które aktywnie dążą do zwiększenia bezpieczeństwa cybernetycznego. Jedną ze spółek jest Baltimore Gas and Electric, która dzieli się z innymi partnerami biznesowymi i rządowymi informacjami na temat potencjalnych zagrożeń cybernetycznych, z którymi miała do czynienia.
Kolejna firma to Duke Energy, która stworzyła specjalny zespół ds. reagowania na incydenty korporacyjne i powołała grupę specjalistów ds. cyberbezpieczeństwa pracującą przez całą dobę. Działy te współpracują ściśle z lokalnym, stanowym i krajowym urzędem ds. zarządzania w sytuacjach kryzysowych oraz urzędem ścigającym cyberprzestępców.
Standardy cyberbezpieczeństwa
Ponieważ wiele przedsiębiorstw zapewniających usługi dla ludności nie ma wiedzy i umiejętności niezbędnych, by samodzielnie określić zasady, na których ma się opierać ich cyberbezpieczeństwo, musi dostać fachowe wsparcie ze strony amerykańskich komisji użyteczności publicznej, istniejących w każdym stanie. Minimalne standardy cyberbezpieczeństwa powinny zapewnić stały dostęp do energii elektrycznej dla wszystkich jej użytkowników, pisze Douris.
W New Jersey przedsiębiorstwa użyteczności publicznej muszą opracować programy i standardy działań, dzięki którym możliwe będzie szybkie zidentyfikowanie i zmniejszenie potencjalnego zagrożenia cybernetycznego. Firmy te zobowiązane są również do zgłaszania wszelkich incydentów i podejrzeń o prowadzenie działalności przestępczej, tworzenia planów reagowania na cyberataki oraz zapewnienia odpowiednich programów szkoleniowych. W Pensylwanii spółki świadczące usługi dla ludności muszą utrzymywać fizyczne i cybernetyczne bezpieczeństwo. Tworzą plany reagowania kryzysowego i przygotowują scenariusze działań na wypadek nieprzewidzianej awarii oraz zgłaszają wszystkie cyberataki, powodujące poważne szkody. Natomiast komisja użyteczności publicznej w Teksasie przeprowadza coroczne audyty bezpieczeństwa.
Gdy komisje użyteczności publicznej nie chcą stworzyć choćby minimalnych standardów cyberbezpieczeństwa, gubernatorzy i ustawodawcy państwowi powinni, zdaniem Douris, wypracować odpowiednie narzędzia, aby wymusić na komisjach zajęcie się tymi kwestiami.
Upłynie jeszcze sporo czasu, zanim komisje użyteczności publicznej będą umiały samodzielnie tworzyć i wdrażać standardy cyberbezpieczeństwa. Pomocą przy określaniu takich procedur może służyć Narodowy Instytut Standardów i Technologii Cyberbezpieczeństwa. A na razie przedsiębiorstwa użyteczności publicznej muszą ściślej współpracować z sektorem prywatnym, aby znaleźć najlepsze rozwiązania chroniące przed cyberatakami. Dzięki temu zmniejszy się zagrożenie brakiem dostępu do energii elektrycznej.
Euractiv.com/Roma Bojanowicz