Saulės elektrinės ir energijos kaupikliai per pastaruosius metus tapo neatsiejama verslo energetikos dalimi. Tačiau sparčiai augant decentralizuotai gamybai, vis dažniau iškyla klausimas, kuris iki šiol buvo paliktas paraštėse – kibernetinis saugumas. Ar verslo elektrinių saugumo spragos gali tapti vartais į kritinę infrastruktūrą ir sukelti pasekmes visai valstybei?
Solet generalinis direktorius Andrius Karazinas pabrėžia, kad šiandien saulės elektrinė nebėra vien inžinerinis objektas – tai ir skaitmeninė sistema, galinti priimti komandas, būti valdoma nuotoliniu būdu ir, jei nėra tinkamai apsaugota, tapti patraukliu taikiniu nusikaltėliams.
Kaip elektrinių įranga kelia kibernetinį pavojų?
Elektrinių komponentai – inverteriai, valdikliai, kaupikliai – yra elektroniniai įrenginiai, turintys programinę įrangą. Ten, kur yra programinė įranga ir nuotolinis valdymas, atsiranda ir kibernetinių atakų rizika. Ši problema aktuali ne tik Lietuvoje – tai pasaulinė tendencija.
Lietuva šią grėsmę oficialiai pripažino dar 2024 m., kai buvo pakeistas Atsinaujinančių energijos išteklių įstatymas, įpareigojantis suvaldyti nesankcionuoto prisijungimo ir valdymo rizikas. Vėliau šie reikalavimai buvo detaliai išplėsti elektros tinklų prijungimo aprašuose.
Iki 2026 m. gegužės 31 d. veikiančios saulės elektrinės, virš 100 kW galios, privalo įgyvendinti kibernetinio saugumo reikalavimus ir pateikti saugumo atitikties deklaraciją. ESO jau išsiuntė priminimus rinkos dalyviams, todėl tema tapo itin aktuali visam sektoriui.
Kiek reali yra kibernetinių atakų grėsmė saulės elektrinėms?
Tarptautinė praktika rodo, kad rizika yra labai reali ir netgi yra fiksuoti atvejai pastaraisiais metais, kai:
JAV buvo prarasta galimybė valdyti apie 0,5 GW vėjo parkų,
Vokietijoje kibernetinės atakos metu atjungta apie 6 000 vėjo jėgainių,
Kinijos gamintojas nuotoliniu būdu atjungė inverterius keliuose regionuose dėl ginčų dėl įrangos kilmės.
Lietuvoje taip pat yra fiksuotas atvejis, kai 2024 m. buvo perimta daugiau nei 20 klientų elektrinių monitoringo kontrolė.
Didžiausia grėsmė – sinchroninis didelio kiekio elektrinių atjungimas. Elektros tinklas turi būti subalansuotas kiekvieną sekundę. Jei netikėtai dingtų didelė dalis gamybos pajėgumų, tinklo subalansuoti būtų neįmanoma, o tai realiai gali sukelti „blackout“ scenarijų.
„Jeigu vienu metu būtų atjungti dideli gamybos pajėgumai, tinklo subalansuoti tiesiog nepavyktų“, – pabrėžia A. Karazinas.
Kokios rizikos pačiam verslui?
Kibernetinės atakos poveikis verslui gali būti tiesioginis:
sugadinta įranga,
trumpieji jungimai,
gaisro rizika (ypač kaupiklių atveju),
duomenų vagystės,
šantažas ar išpirkos reikalavimai,
elektrinės veiklos sustabdymas.
Ypač pavojingi energijos kaupikliai – ličio jonų technologijos yra degios, o gaisrai dažnai sunkiai suvaldomi.
Kokie reikalavimai taikomi saulės elektrinių kibernetiniam saugumui iki 2026 m. gegužės 31 d.?
Reikalavimai skirstomi į dvi pagrindines grupes:
Techniniai reikalavimai:
bevielio ryšio ribojimas,
nenaudojamų prievadų uždarymas,
ugniasienių diegimas,
programinės įrangos kontrolė.
Procedūriniai reikalavimai:
prieigų valdymas,
naudotojų registravimas,
saugumo incidentų tyrimas,
periodiniai auditai pagal Nacionalinio kibernetinio saugumo centro metodiką (ne rečiau nei kas 1 metus).
Taip pat auditorius turi turėti tarptautinį informacinių sistemų saugumo atitikties auditoriaus sertifikatą, pavyzdžiui: ISACA – CISA, ISC – CISSP arba ISO/IEC 27001 Lead Auditor. Šie sertifikatai patvirtina kompetenciją vertinti informacinių sistemų saugumą pagal tarptautinius standartus ir gerąją praktiką.
Svarbu suprasti, kad ne viskas išsprendžiama vien technologijomis – dalis atsakomybės tenka ir elektrinės savininkui: darbuotojų mokymams, vidinėms procedūroms, IT higienai.
Kas nutiks neįgyvendinus reikalavimų?
Neįvykdžius reikalavimų iki nustatyto termino, leidimas gamybai gali būti sustabdytas. Tai reiškia:
elektrinės atjungimą,
prarastą vasaros generacijos sezoną,
tiesioginius finansinius nuostolius.
Pasak A. Karazino, viena dažniausių ir pavojingiausių klaidų šiandien – palikti gamyklinius slaptažodžius.
„Tai kvietimas įsilaužti, parašytas didžiosiomis raidėmis.“ – įspėja A. Karazinas. Todėl verslui svarbu nepalikti savo elektrinių neapsaugotų – tinkamai įgyvendintas kibernetinis saugumas apsaugo tiek įrangą, tiek verslą, tiek visą elektros tinklą. Mes galime įvertinti Jums padėti įgyvendinti naujus reikalavimus ir įdiegti reikiamus sprendimus. Kreipkitės jau dabar, kad spėtumėte pasiruošti iki gegužės 31 d.
Kibernetikos saugumo pasiūlymas sukurtas remiantis pasinaudojimo elektros skirstomaisiais tinklais tvarkos aprašo, patvirtinto Valstybinės energetikos reguliavimo tarybos 2025 m. lapkričio 24 d. nutarimu Nr. O3E-1741, nuostatos, įgyvendinančios Elektros energetikos įstatymo 733 straipsnio nuostatas.
