Podczas gdy energia odnawialna jest kluczowym elementem do osiągnięcia światowych celów zerowej emisji netto, w rzeczywistości wciąż pozostaje wiele do zrobienia, aby mieć pewność, że można na niej polegać jako na bezpiecznym źródle energii. Uri Sadot, dyrektor ds. cyberbezpieczeństwa w SolarEdge Technologies i wieloletni specjalista ds. cyberbezpieczeństwa, wyjaśnia, dlaczego zwiększony nacisk na cyberbezpieczeństwo wśród sprzedawców, firm komercyjnych, operatorów sieci i rządów ma kluczowe znaczenie dla zapewnienia przyszłego bezpieczeństwa energetycznego.
Gwałtowny wzrost popularności energii słonecznej w ostatnich latach sprawił, że stała się ona coraz ważniejszym elementem globalnego krajobrazu energetycznego, oferując właścicielom domów i firmom źródło czystej energii w celu obniżenia rachunków za energię, jednocześnie umożliwiając operatorom sieci wykorzystanie ogromnego rozproszonego źródła energii do wspierania sieci. Do 2022 r. na całym świecie ponad 1300 TWh energii zostało wygenerowane przy użyciu systemów solarnych, co stanowiło nieco ponad 5% globalnego zużycia energii elektrycznej. Od tego czasu zaobserwowaliśmy szereg czynników, które jeszcze bardziej przyspieszyły wdrażanie energii słonecznej, a tempo instalacji solarnych niemal podwaja się każdego roku.
Zapotrzebowanie na energię w sieci nigdy nie było tak wysokie i prawdopodobnie będzie tylko rosło w miarę, jak świat będzie przechodził od paliw kopalnych do elektryfikacji i innych energochłonnych zastosowań. Cyfryzacja, centra danych i rozwój sztucznej inteligencji, a także masowe wdrażanie pojazdów elektrycznych i elektryfikacja ogrzewania pozwalają rządom na całym świecie na dalsze zwiększanie inicjatyw w zakresie zrównoważonego rozwoju, aby osiągnąć cele zerowego zużycia energii netto. Tymczasem inwazja na Ukrainę przyczyniła się do globalnego przebudzenia w kwestii egzystencjalnego zagrożenia dla bezpieczeństwa energetycznego, gdy zależność od dostaw energii leży poza granicami kraju.
Wszystkie te czynniki sprawiły, że odnawialne źródła energii, takie jak energia słoneczna, znalazły się w czołówce przyszłych strategii bezpieczeństwa energetycznego, ale wraz z przesunięciem ciężaru zależności z ropy i gazu na odnawialne źródła energii należy zadać sobie pytanie, jak bezpieczne są dostawy energii odnawialnej? Jak bezpieczne są te systemy podłączone do domów, firm i infrastruktury sieciowej? I kto jeszcze ma do nich dostęp?
Nowa era zagrożeń cyberbezpieczeństwa
Rozwój zagrożeń cyberbezpieczeństwa w branży solarnej ściśle odzwierciedla to, co widzieliśmy wraz z rozwojem Internetu trzy dekady temu. Gdybyśmy zatrzymali się w 1995 roku i poświęcili czas na zaprojektowanie podstawowych protokołów internetowych tak, aby były cyberbezpieczne od podstaw, globalna branża zaoszczędziłaby setki miliardów dolarów na reaktywnych poprawkach. Z perspektywy czasu branża solarna powinna projektować swoje produkty z myślą o cyberbezpieczeństwie jako standardzie, zanim dojdzie do masowego wdrożenia i będzie za późno, aby zapobiec katastrofalnym zdarzeniom cybernetycznym, lub ponieść wygórowane koszty wdrożenia retrospektywnych środków bezpieczeństwa cybernetycznego. Niestety, obecnie brakuje mandatu lub zarządzania, które egzekwowałyby to od producentów energii słonecznej.
W ciągu ostatnich lat wzrosła liczba zaawansowanych cyberataków, takich jak ataki wykorzystujące sztuczną inteligencję, botnety, ataki 0-day oraz ataki sponsorowane przez państwa jako narzędzie w agresji geopolitycznej. Celem tych ataków jest często paraliżowanie sieci energetycznych i infrastruktury sieciowej. Niedawne wydarzenia, takie jak cyberatak na dużą firmę zajmującą się komunikacją satelitarną podczas wojny w Ukrainie, spowodowały odłączenie 11 GW niemieckich turbin wiatrowych. Podobne ataki były wymierzone w inne odnawialne źródła energii, a także podstacje sieciowe, o czym świadczą incydenty w Ukrainie, gdzie zaatakowano wiele podstacji, powodując rozległe przerwy w dostawie prądu w Kijowie.
Zagrożenia cybernetyczne dla energii słonecznej
Falownik jest kluczowym elementem systemu. Jest to również część, która łączy się z siecią energetyczną domu lub firmy, a także z siecią elektroenergetyczną, ponieważ kraje przechodzą na bardziej rozproszone źródła energii w celu wspierania dywersyfikacji sieci. Jeśli cyberbezpieczeństwo nie jest traktowane poważnie, otwiera to drzwi do potencjalnego włamania do falownika, co może prowadzić do zdalnego sterowania dostawami energii i narażenia ich na niebezpieczeństwo. Niezależnie od tego, czy jesteś właścicielem domu, właścicielem firmy czy operatorem sieci, należy rozważyć, kto ma dostęp do tych falowników, i zweryfikować producentów technologii pod kątem bezpieczeństwa cybernetycznego.
W ostatnich latach widzieliśmy na własne oczy niszczycielski wpływ awarii sieci z powodu zdarzeń pogodowych, takich jak głębokie mrozy w Teksasie w 2021 r. i letnia fala upałów w Kalifornii w 2022 r., z powszechnymi przerwami w dostawie prądu, które dotknęły miliony domów i firm oraz zdestabilizowały źródła utrzymania ludzi. Gdy sieć ulegnie awarii, przywrócenie zasilania może potrwać kilka dni lub dłużej. Jeśli w grę wchodzi cyberatak, może to potrwać jeszcze dłużej, ponieważ operatorzy sieci muszą najpierw zidentyfikować przyczynę i lokalizację problemu, zanim oczyszczą system z intruzów. Po całkowitym lub częściowym wyłączeniu elektrowni, sieci elektroenergetycznej lub zakładu przemysłowego można rozpocząć proces tzw. czarnego startu (z ang. Black Start). Polega on na stopniowym przywracaniu sprawności sieci i ostrożnym włączaniu aktywów do sieci, aby utrzymać równowagę podaży i popytu. Warto zaznaczyć, że ten proces jest kluczowy dla przywrócenia normalnej pracy po awarii. Kiedy konsekwencje cyberataku na sieć zostaną przedstawione w ten sposób, 5% globalnej produkcji energii nagle brzmi bardziej znacząco, podkreślając krytyczną potrzebę nadania cyberbezpieczeństwu priorytetu z góry na dół.
Co należy zrobić, aby zwiększyć cyberbezpieczeństwo energii słonecznej?
Obrona przed dzisiejszymi, wysoce wyrafinowanymi i zautomatyzowanymi cyberatakami wymaga przede wszystkim zwiększenia świadomości wśród właścicieli domów, firm, operatorów sieci i rządów, że cyberbezpieczeństwo produktów solarnych różni się znacznie w zależności od producenta. Rozumiejąc ryzyko, jakie stwarza to dla bezpieczeństwa energetycznego, należy zmienić sposób myślenia w całym łańcuchu wartości energii na podejście „lepiej zapobiegać niż leczyć” – nie inaczej niż w przypadku solidnych środków bezpieczeństwa cybernetycznego wbudowanych standardowo w telefony lub samochody.
Zaczyna się to od samych producentów, którzy obecnie w większości indywidualnie określają poziomy bezpieczeństwa swoich produktów bez żadnych regulacji, co prowadzi do rozbieżności w standardach. Jest to równoznaczne z tym, że producenci samochodów indywidualnie decydują o swoich standardach bezpieczeństwa. Istnieją możliwości technologiczne pozwalające na zwiększenie cyberbezpieczeństwa podczas opracowywania produktów, dlatego też konieczne jest, aby sprzedawcy priorytetowo traktowali inwestycje w te technologie, a nie cięcie kosztów i wyższe marże. Nie powinno to podlegać negocjacjom, podobnie jak bezpieczeństwo przeciwpożarowe czy elektryczne.
Regulacje rządowe są niezbędne do egzekwowania tego, ustanawiając rygorystyczne standardy jakości w zakresie cyberbezpieczeństwa, których branża musi przestrzegać. Zaczyna się to od narzucenia podstawowych standardów cyberbezpieczeństwa dla wszystkich podłączonych urządzeń, w tym rozproszonych zasobów energii (DER), ale także dążenia do udziału producentów energii słonecznej poprzez wdrażanie fizycznych i programowych środków bezpieczeństwa oraz możliwości monitorowania bezpieczeństwa, wraz z planami łagodzenia skutków potencjalnych cyberataków.
Niedawne wprowadzenie przez Wielką Brytanię standardu cyberbezpieczeństwa PSTI ustanowiło globalny precedens, wymagając zgodności od wszystkich producentów podłączonych urządzeń konsumenckich – w tym falowników solarnych – w zakresie siły hasła, okresu wsparcia i dokumentacji technicznej. W Unii Europejskiej, rozporządzenie o cyberodporności (Cyber Resilience Act), które ma wejść w życie jeszcze w tym roku, ma narzucić dłuższą listę wymogów w zakresie cyberbezpieczeństwa obowiązujących od 2027 roku. Projekt ustawy dotyczy tysięcy produktów IoT, a jednym z nich są falowniki solarne.
Nie mniej ważna jest dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii – tzw. dyrektywa NIS 2. Dyrektywa NIS 2 różni się od swojej poprzedniczki – dyrektywy NIS 1 – tym, że rozszerza liczbę krytycznych dla cyberbezpieczeństwa państw i Unii Europejskiej sektorów gospodarki oraz zwiększa liczbę podmiotów, które muszą spełniać wymogi dotyczące bezpieczeństwa IT. Do polskiego porządku prawnego ma ją zaimplementować znowelizowana ustawa o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw, która jest świeżo po konsultacjach społecznych, a ich rezultaty są procedowane przez Ministerstwo Cyfryzacji. Zakłada ona wzmocnienie środków odporności w najważniejszych sferach działalności państwa i społeczeństwa w oparciu o analizę ryzyka uwzględniającą zarówno kryteria techniczne, jak i nietechniczne. Polska ma czas do 17 października 2024 r., aby zaimplementować dyrektywę NIS 2 do polskiego ustawodawstwa, a już w 18 miesięcy od przyjęcia dyrektywy, organizacje, których ona dotyczy, muszą być w stanie się do niej dostosować. Za niedostosowanie się do NIS 2 grozi kara grzywny w wysokości do 10 milionów euro lub 2% całkowitego rocznego światowego obrotu firmy.
Chociaż jest to dobry punkt wyjścia, poprawa cyberbezpieczeństwa energii słonecznej wymaga własnej kategorii legislacyjnej i priorytetowego ukierunkowania – szczególnie w regionie, w którym energia słoneczna jest postrzegana jako jedno z kluczowych źródeł energii w celu zmniejszenia zależności od zagranicznej ropy i gazu. Istnieje potrzeba stworzenia certyfikacji dotyczącej cyberbezpieczeństwa dedykowanej dla sektora energetycznego, aby obiektywnie ocenić ryzyko pod kątem kryteriów nietechnicznych oraz zagwarantowania pewności prawa z perspektywy biznesowej. Pewne pozytywne trendy można zaobserwować w Stanach Zjednoczonych, gdzie stowarzyszenia branżowe i laboratoria certyfikujące produkcję poczyniły pierwsze kroki w kierunku zainicjowania standardów certyfikacji.
W miarę jak Polska kontynuuje cyfrową transformację w sektorze energii odnawialnej, konieczność stosowania rygorystycznych środków cyberbezpieczeństwa staje się coraz bardziej krytyczna. Cyberbezpieczne rozwiązania powinny być standardem, a nie opcją, w zabezpieczaniu naszej rozwijającej się infrastruktury energii słonecznej. W SolarEdge staramy się być liderem, projektując nasze produkty tak, aby spełniały najwyższe standardy cyberbezpieczeństwa. Takie podejście ma kluczowe znaczenie dla ochrony inwestycji oraz zapewnienia niezawodności i stabilności zasobów energetycznych w całym kraju. Nadając priorytet cyberbezpieczeństwu, staramy się wspierać większe zaufanie i zachęcać do szerszego stosowania technologii czystej energii – komentuje Michał Marona, Country Manager SolarEdge Technologies Poland.
Niezależnie od tego, czy chodzi o energię słoneczną, wiatrową czy inne źródła odnawialne, oczywiste jest, że obfitość czystej energii ma kluczowe znaczenie dla poprawy naszego życia i zdrowia naszej planety. Jednak wraz ze wzrostem jej zużycia poprawa bezpieczeństwa technologii leżącej u jej podstaw teraz, zanim będzie za późno, jest niezbędna do ochrony infrastruktury energetycznej i sieciowej przed potencjalnymi zagrożeniami. Nawet jeśli prawdopodobieństwo wystąpienia takiej potrzeby jest rzadkie, ma ona na celu złagodzenie możliwych tragicznych konsekwencji w przypadku wystąpienia takiego zdarzenia. Podczas gdy rządy zdają sobie z tego sprawę, walka z cyberbezpieczeństwem w odnawialnych źródłach energii nie będzie działać bez współpracy międzynarodowej – szczególnie w Europie, gdzie powszechny jest transgraniczny handel energią elektryczną. Odgórne ustawodawstwo musi być w połowie zaspokojone oddolną presją, wymagając zarówno od właścicieli domów, jak i firm inwestujących w energię słoneczną, aby wymagali wysokich standardów cyberbezpieczeństwa jako warunku wstępnego.
Nowe brytyjskie rozporządzenie w sprawie cyberbezpieczeństwa PSTI stanowi precedens w zakresie bezpieczeństwa urządzeń konsumenckich – jest to kamień milowy w kierunku stworzenia wzorca cyberbezpieczeństwa dla wszystkich producentów fotowoltaiki działających na rynku brytyjskim. Z niecierpliwością oczekujemy wprowadzenia podobnych regulacji w Unii Europejskiej oraz w Polsce. Ujednolicone standardy i przepisy dla branży, które będą obowiązywać po wejściu w życie znowelizowanej ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw pozwolą zainteresowanym stronom współpracować w walce z zagrożeniami i identyfikować ryzyko – dodaje Michał Marona.