Statul român vrea să le impună operatorilor de distribuție a energiei electrice obligația de a efectua anual un audit cibernetic al invertoarelor și al tuturor rețelelor informatice asociate centralelor electrice fotovoltaice, inclusiv ale prosumatorilor, relevă date analizate de Profit.ro.
Auditarea ar urma să se facă ″în condițiile stabilite prin ordin comun al președintelui ANRE și al directorului Directoratului Național de Securitate Cibernetică″, potrivit unui proiect legislativ.
28 noiembrie - Profit Financial.forum
″Motivul este generat de constatări privind existența unor invertoare fotovoltaice și controlere energetice cu materii prime din China care sunt frecvent echipate cu firmware care transmit date către terți (din spațiul asiatic) fără ca utilizatorul să știe și care pot permite atacatorilor să preia controlul asupra dispozitivului/rețelei energetice. Aceste dispozitive, conectate la rețele locale, pot fi vulnerabile la spionaj dacă sunt compromise. Ele transmit date despre consumul de energie, iar în scenarii nefericite, pot fi manipulate pentru a trimite aceste date către actori rău intenționați. Există date și informații clare că unele invertoare și controlere de energie pentru panourile solare, produse în China, ar putea avea software care permite monitorizarea de la distanță a consumului și producției energetice″, notează sursa citată.
În draft se arată că printre modalitățile de colectare și transmitere a datelor din invertoare și controlere de energie în China s-au numărat: dispozitive IoT (Internet of Things) și module de comunicație precum modemuri GSM, module Wi-Fi, Bluetooth, sau tehnologii Zigbee/Z-Wave.
″Auditul de securitate cibernetică este o componentă esențială a gestionării riscurilor cibernetice. Având în vedere vulnerabilitățile crescute ale sectorului energetic, introducerea auditului ca o condiție obligatorie pentru accesarea fondurilor publice este o măsură necesară pentru a asigura protecția infrastructurii critice. Auditul va garanta că operatorii din sectorul energetic adoptă măsuri adecvate și eficiente de securitate cibernetică, prevenind astfel eventualele atacuri care ar putea perturba funcționarea sistemelor energetice″, se mai spune în document.
Conform acestuia, având în vedere vulnerabilitățile crescute ale sectorului energetic, introducerea auditului ca o condiție obligatorie pentru accesarea fondurilor publice este o măsură necesară pentru a asigura protecția infrastructurii critice.
Legea nr. 58/2023 definește auditul de securitate cibernetică ca o evaluare sistematică a politicilor, procedurilor și măsurilor de protecție implementate la nivelul rețelelor și sistemelor informatice, având ca scop identificarea disfuncționalităților și vulnerabilităților și furnizarea soluțiilor de remediere. Această lege stabilește cadrul necesar pentru implementarea auditului de securitate cibernetică ca măsură proactivă, destinată prevenirii incidentelor și consolidării apărării împotriva atacurilor cibernetice.
După cum a relatat Profit.ro, autoritățile pregătesc și înființarea și operaționalizarea unei structuri denumite Centrul de Răspuns la Incidente de Securitate Cibernetică în Energie (CRISCE), pentru protejarea infrastructurii critice din domeniul energetic național.
