MC: Komunikat Pełnomocnika Rządu do spraw Cyberbezpieczeństwa ws. OZE (komunikat)

- Ministerstwo Cyfryzacji informuje:

Komunikat Pełnomocnika Rządu do spraw Cyberbezpieczeństwa dotyczący cyberbezpieczeństwa OZE

Pełnomocnik Rządu do spraw Cyberbezpieczeństwa wydał zalecenia, które są odpowiedzią na konieczność zapewniania odpowiedniego poziomu cyberbezpieczeństwa sektora energii, szczególnie w obszarze odnawialnych źródeł energii (OZE). Dokument powstał dzięki współpracy Ministerstwa Cyfryzacji z zespołami reagowania na incydenty bezpieczeństwa komputerowego poziomu krajowego: CSIRT NASK i CSIRT GOV.

Praca farm wiatrowych i fotowoltaicznych jest monitorowana i sterowana przez rozwiązania automatyki przemysłowej. Z powodu rozproszenia geograficznego urządzenia zainstalowane na tego typu obiektach umożliwiają zdalne zarządzanie parametrami pracy, diagnostykę, planowanie serwisu i reagowanie na zdarzenia – często z centralnych dyspozytorni lub przez zewnętrznych dostawców utrzymania. Mimo, że pojedynczo są to źródła o stosunkowo małych mocach, skoordynowane zakłócenie ich pracy może mieć poważne konsekwencje dla stabilności systemu elektroenergetycznego.

Cyberbezpieczeństwo farm OZE ma więc znaczenie nie tylko dla pojedynczych firm będącej ich właścicielami, ale również dla operatorów sieci dystrybucyjnej i systemu przesyłowego oraz dla obywateli.

Zalecenia bazowe

- Dostęp zdalny do obiektu powinien być realizowany wyłącznie z wykorzystaniem tunelu VPN site-to-site do zaufanych połączeń wymaganych na stałe, lub serwisowy z wykorzystaniem wieloskładnikowego uwierzytelniania. Wszelkie inne formy dostępu zdalnego, np. przez oprogramowanie wsparcia technicznego, powinny być zablokowane.

- Żadne urządzenia OT ani oprogramowanie z nimi związane w obrębie obiektu nie powinny być osiągalne bezpośrednio z internetu.

- W przypadku urządzeń brzegowych interfejsy administracyjne, jak np. konsola webowa koncentratora VPN, nie powinny być dostępne z internetu.

- Należy zmienić wszystkie domyślne hasła uwierzytelniające, włącznie z urządzeniami OT. Wykorzystywane hasła powinny być tworzone według zaleceń na stronie cert.pl/hasla oraz unikalne w obrębie farmy, jak i innych posiadanych, lub wdrażanych obiektów. Wykorzystanie kont powinno zapewniać rozliczalność - konta nie powinny być współdzielone.

- Należy wyznaczyć osobę odpowiedzialną za cyberbezpieczeństwo instalacji oraz utrzymywanie stałego kontaktu z podmiotami krajowego systemu cyberbezpieczeństwa.

- Należy podać i zweryfikować wszystkie zakresy zewnętrznej adresacji IP oraz wykorzystywane przez organizacje domeny w portalu moje.cert.pl, co umożliwi monitorowanie bezpieczeństwa tych zasobów. Wyznaczona osoba odpowiedzialna za cyberbezpieczeństwo powinna być wskazana w portalu jako osoba do kontaktu.

- Wykorzystywany sprzęt i oprogramowanie powinny być zinwentaryzowane z informacją o dostępnych interfejsach administracyjnych, użytkownikami i ich uprawnieniami, adresacją IP, numerami seryjnymi oraz wersją oprogramowania.

- Należy stosować segmentację sieci obiektu (co najmniej z wykorzystaniem technologii VLAN) oraz wdrażać reguły dostępu dla uprawnionych użytkowników i urządzeń w oparciu o zasadę minimalnych uprawnień.

- Po każdej zmianie konfiguracji wykorzystywanych urządzeń należy sporządzić jej kopię zapasową i przechowywać ją w odizolowanym środowisku offline.

- Należy monitorować komunikaty bezpieczeństwa na temat używanych urządzeń brzegowych i dokonywać ich aktualizacji zgodnie z rekomendacjami producenta. W przypadku urządzeń OT wewnątrz sieci należy analizować ryzyko dla pojawiających się podatności i podejmować decyzje dotyczące aktualizacji na jego bazie, a wszystkie urządzenia regularnie aktualizować zgodnie z planowanym harmonogramem prac serwisowych.

- W przypadku zaobserwowania nietypowego zachowania oprogramowania lub urządzeń należy niezwłocznie powiadomić odpowiedni CSIRT poziomu krajowego:

- CSIRT GOV — administracja rządowa i infrastruktura krytyczna,

- CSIRT MON — instytucje wojskowe,

- CSIRT NASK — wszystkie pozostałe.

Szczegółowy zakres właściwości poszczególnych CSIRT poziomu krajowego określa art. 26 ust. 5-7 ustawy o krajowym systemie cyberbezpieczeństwa.

Zalecenia dodatkowe

- Zapewnienie retencji zdarzeń (logów) z urządzeń brzegowych, które odpowiadają za separację sieci wewnętrznej od internetu, lub innych obiektów.

- W przypadku dostępu serwisowego wdrożenie zawężonej listy adresów IP uprawnionych do komunikacji.

- Wykorzystywanie prywatnych sieci APN do przesyłania danych telemetrycznych i sterujących w przypadku korzystania z łączności komórkowej GSM/LTE

- Sporządzenie planu postępowania w razie incydentu i systematyczne aktualizowanie go.

- Nagrywanie sesji dostępu zdalnego.

- Wdrożenie systemów monitoringu wizyjnego (CCTV) oraz kontroli dostępu (KD) w celu ochrony infrastruktury fizycznej przed ingerencją osób nieuprawnionych.

UWAGA: komunikaty publikowane są w serwisie PAP bez wprowadzania przez PAP SA jakichkolwiek zmian w ich treści, w formie dostarczonej przez nadawcę. Nadawca komunikatu ponosi odpowiedzialność za jego treść – z zastrzeżeniem postanowień art. 42 ust. 2 ustawy prawo prasowe. (PAP)

kom/ kpr/ ktl/