VLOGA REGULATORJA NA PODROČJU KIBERNETSKE VARNOSTI ELEKTROENERGETSKEGA SISTEMA JANEZ STERGAR, DAVID BATIČ Agencija za energijo e-pošta Janez.Stergar@agen-rs.si Povzetek Energetski sistem, kot eden od pomembnejših sektorjev kritične infrastrukture, danes ne okarakterizira zgolj, tako kot nekoč, izolirano okolje s specifično infrastrukturo ampak kompleksna povezana struktura»pametnih«povezav/omrežij in krmilnih sistemov/podsistemov s pripadajočo IKT infrastrukturo, ki jo uvrščamo med kritično informacijsko infrastrukturo. Kibernetska varnost je tako iz vidika zaščite kritične infrastrukture (CIP) kot vidika zaščite kritične informacijske infrastrukture (CIIP) za omenjene sisteme izjemnega pomena. Aktualna poročila opozarjajo na vse večjo izpostavljenost EES iz vidika kibernetskih napadov - ENISA poroča o 60% izpostavljenosti sektorja. Zaradi povečanega trenda groženj je bistveno, da se vzpostavijo ustrezne medsebojne relacije med deležniki v omenjenem sektorju in povezave s pristojnimi ustanovami, ter okrepijo aktivnosti na področju CIP in CIIP. V prihodnosti je pomembno izvesti analizo obstoječe varnostne infrastrukture, analizo tveganja ter intenzivirati aktivnosti usklajenega načrtovanja nujnih varnostnih posodobitev infrastrukture sektorja. Pomembno vlogo pri spremljanju in načrtovanju aktivnosti v energetskem sektorju imajo tudi regulatorji. Agencija za energijo se je začela intenzivneje ukvarjati s področjem kibernetske varnosti s povabilom CEER na poziv ENISA, v 2014. Aktivnosti je v začetku 2015 razširila na CEER Cyber Security Work Stream v katerem sodeluje kot opazovalec. V prispevku bomo izpostavili aktivnosti na področju kibernetske varnosti in najpomembnejše vidike kibernetske varnosti v sektorju. Ključne besede: kibernetska varnost, vloga regulatorja, energetski sektor THE POWER SYSTEM REGUATOR ROLE IN THE FIELD OF CYBER- SECURITY JANEZ STERGAR, DAVID BATIČ Energy Agency e-mail Janez.Stergar@agen-rs.si Abstract - The energy system, as one of the most important sectors of critical infrastructure, today is not merely characterised, as in the past, solely as an isolated environment with specific infrastructure but as a complex structure related to "smart" links / networks and control systems / subsystems and associated ICT infrastructure, which is ranked among the critical IT infrastructure. Cyber-security is both in terms of critical infrastructure protection (CIP) as an aspect of critical information infrastructure protection (CIIP) for these systems of utmost importance. Current reports point to the increasing exposure of the EES in terms of cyber-attacks. ENISA reports on 60% exposure to the sector. Due to the increasing trend of threats, it is essential to establish adequate inter-relationships between stakeholders of the sector, and links to relevant institutions with strengthening activities in the field of CIP and CIIP. In the future, it is important to carry out an assessment of the existing security infrastructure, risk analysis and intensify activities for coordinated planning of emergency security updates in infrastructure sector. Nowadays in the energy sector regulators have an important role in monitoring and investment planning activities including the field of cyber-security. The Energy Agency began to focus more intensely with the field of cyber-security by CEER invitation in regard to ENISA call in 2014. Activities at the beginning of 2015 were extended to the CEER Cyber Security Work Stream in which the Agency participates as an observer. In this article we will highlight activities in the field of cyber security and the most important aspects of cyber-security in the sector. Key words: cyber-security, regulator role, power system
UVOD Nedavni primer kibernetskega napada na francosko televizijsko hišo v začetku aprila [1], s prekinitvijo oddajanja celotnega programa za obdobje 24 ur (TV5 Monde) in masivni izpad električne energije v Turčiji, ki je z veliko verjetnostjo posledica kibernetskega napada, nakazujeta na povečan obseg kibernetskih incidentov in njihove kolateralne razsežnosti. Najnovejša poročila opozarjajo na izjemno izpostavljenost energetskega sektorja kibernetskim napadom (slika 1). Ker se tveganja kibernetskih napadov povečujejo je za učinkovito zaščito potrebno vzpostaviti ustrezna pravila in jih podpreti z ustrezno zakonodajo in regulativo. V Sloveniji se pripravlja strategija kibernetske varnosti (Strategija) kot eden pomembnejših okvirov za sistemski pristop h kibernetski varnosti. Prav tako se pripravljajo smernice za priporočila na ravni EU oziroma CEER za regulatorje v energetskem sektorju. Agencija za energijo (v nadaljevanju Agencija) se je začela ukvarjati s področjem kibernetske varnosti s povabilom CEER na poziv ENISA, v letu 2014. Dejavnosti je v začetku 2015 razširila na aktivnosti v CEER Cyber Security Work Stream v katerem sodeluje kot opazovalec. Agencija je v začetku leta sodelovala tudi v posvetovanju glede strategije kibernetske varnosti, kjer je izpostavila pomembnost energetskega sektorja v kritični infrastrukturi kot tudi njegovega vpliva na ostale sisteme kritične infrastrukture. Ob podpori regulatorjev se morajo ponudniki storitev in operaterji kritične infrastrukture zavedati potencialnih groženj prenosnim in distribucijskim omrežjem, ki jih upravljajo oziroma groženj v omrežja povezanih sistemov, kakor tudi kritične soodvisnosti z drugimi tržnimi udeleženci in ostalimi subjekti ne samo na trgu z energenti, ter k blažitvi Slika 1: Izpostavljenost energetskega sektorja kibernetskim napadom. potencialnih nevarnosti prispevati z ustreznimi investicijami. Kibernetska prožnost (v smislu prilagajanja varnostnih ukrepov grožnjam) zahteva kolektivni pristop, saj lahko motnje delovanja enega subjekta povzročijo hiter in razširjen učinek na druge ali celo družbo kot celoto (slika 3). Regulatorji imajo zato zahtevno nalogo spremljanja področja kibernetske varnosti in opozarjanja h koordiniranemu delovanju ter vzpodbujanju usklajenih aktivnostih deležnikov. Vloga regulatorjev formalno sicer ni določena, razen na pri izmenjavi podatkov in nekaterih tržnih področjih, je pa v večini priporočil izpostavljena kot pomembna iz več vidikov [19], [21]. I. KIBERNETSKA VARNOST V EES V zadnjem desetletju opazujemo funkcijske spremembe pri vlogah akterjev v elektroenergetskem sektorju [6]: potrošniki so z uporabo tehnologij distribuirane proizvodnje postali hkrati tudi proizvajalci, t. i. prevzemnopredajni uporabniki (angl. prosumers). Te spremembe narekujejo nove odgovornosti posameznim akterjem pri zagotavljanju varnosti in zanesljivosti obratovanja omrežij (slika 2) ne samo v hrbtenici, ko gre za transportni del, ampak tudi v distribucijskem delu, ko gre za t. i. pametna omrežja in pridobivanje podatkov končnih uporabnikov. Ne nazadnje je zaslediti trend pokrivanja energetike tudi pri velikih igralcih, kot je npr. Google, ki je z nakupom podjetja NEST vstopil na trg z energijo vsaj v kontekstu pridobivanja/upravljanja podatkov končnega uporabnika o porabi električne energije za ogrevanje/klimatizacijo, in kar je prav tako pomembno, pri analitiki množičnih podatkov (angl. big data).
Slika 2: Različni varovani komunikacijski tokovi EES. V kontekstu EES obravnava kibernetska varnost različne vidike varnosti z vsemi pripadajočimi ukrepi, ki preprečujejo oziroma zmanjšujejo nenačrtovan oziroma nepooblaščen dostop do infrastrukture ali storitev, prestrezanje, poneverbo ali uničenje podatkov/informacij oziroma zavrnitev storitev. Kibernetska varnost obravnava tako nedotakljivost/nespremenljivost podatkov kot tudi problematiko njihove zaščite, kot so npr. dostop do podatkov/informacij in s tem povezanih operacij, preprečevanje zlonamernih elektronskih napadov na kritično/nekritično energetsko infrastrukturo oziroma sisteme in sistemske naprave z namero povzročiti fizične/logične motnje, npr. preprečiti dostop do spletnih storitev ali baz za vnos/posodabljanje podatkov [6]. II. KIBERNETSKI NAPADI V EES IN POMEMBNEJŠI VIDIKI KIBERNETSKE VARNOSTI Kibernetska varnost je v zadnjem času zaradi kibernetskih napadov na nekatere sistemske operaterje in z njimi povezane deležnike, npr. borze, katerih delovanje je bilo zaradi kibernetskih napadov ogroženo, s tem pa je neposredno povezana dobava električne energije, osrednja tema na srečanjih regulatorjev iz EU in ZDA in dobiva tudi politične razsežnosti. V ZDA je kibernetska varnost sicer že dlje časa osrednja tema tako na zvezni ravni kot tudi na državni, regulatorji pa so intenzivno vključeni v posvetovanja. Aktivni so tako NARUC, ki je objavil publikacijo z osnovnimi informacijami o kibernetski varnosti za državne regulatorje [21], kot tudi NESCOR (US National Electric Sector Cybersecurity Organization Resource), ki je objavil navodila za testiranje Slika 3: Izpostavljenost energetskega sektorja iz vidika soodvisnosti [7].
vdora v sisteme IKT EES [22], ter NIST (National Institute of Standards and Technology), ki je izdelal ogrodje za izboljšanje kibernetske varnosti [24]. Po pregledu obstoječih javno dostopnih nacionalnih strategij kibernetske varnosti držav v evropskem prostoru in širše [2], ter izpostavljenosti energetskega sektorja kibernetskim napadom ([8] - [24]) je potrebno obravnavati več vidikov kibernetske varnosti. Ker je Slovenija med zadnjimi izmed držav članic (EU-28), ki še ni sprejela Strategije kibernetske varnosti [2] je pomembno, da se v strategiji eksplicitno izpostavi energetski sektor. Glede na poročila ENISA je energetski sektor med najbolj izpostavljenimi med sektorji kritične infrastrukture [5]. Izpostavljenost energetskega sektorja na kibernetske napade (59%, slika 1) evidentno dokumentirajo poročila ENISA. Prav tako je iz zadnjih poročil razbrati porast incidentov v omenjenem sektorju (> 5%) v relativno kratkih časovnih intervalih (kvartalno) [4]. Bistveno je tudi izpostaviti povezanost omenjenega sektorja z ostalimi kritičnimi sektorji in verižnim učinkom v korelaciji s kibernetskimi napadi (slika 3). V priporočilih zaščite elementov kritične infrastrukture [7] je energetski sektor izpostavljen kot ključen, zato je pomembno da je v Strategiji izpostavljen. Na posvetih CEER Cyber Security WS, ki se jih Agencija udeležuje kot opazovalec, je zaslediti aktivnosti k ustanovitvi specializiranih CERT zgolj za obravnavanje kibernetskih incidentov v energetskem sektorju. Nekateri izmed deležnikov, s povečanim številom kibernetskih incidentov namreč opozarjajo, da je obravnava kibernetskih groženj na strateškem nivoju sicer pomembna, vendar ni zadostna. Učinkovito se je mogoče kibernetskim grožnjam zoperstaviti s specializiranimi E-CERT-ti, ki so osredotočeni zgolj na napade v energetskem sektorju in delujejo na operativnem nivoju. Menimo, da je obseg nalog, ki jih bo moral v bodoče prevzeti SI-CERT preobsežen, da bi lahko učinkovito deloval v energetskem sektorju zato Agencija vidi rešitve v izvedencih znotraj SI-CERT (ali drugih regionalnih CERT), ki bi se v okviru nacionalnega odzivnega centra za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij tudi za CIP in CIIP, specializirali za obravnavo incidentov v energetskem sektorju. Smatramo, da bi bilo ta vidik pomembno izpostaviti v Strategiji. Pomemben vidik v kontekstu blažitev incidentov vidimo tudi v ažurnem in kompetentnem informiranju deležnikov. Vzpostavitev hierarhične komunikacije in namenskega zvezdišča s koordinirano zaupno izmenjavo informacij kibernetskih incidentov CIP in CIIP, vidimo kot pomemben korak k proaktivnemu pristopu reševanja in blažitev incidentov povezanih s kibernetsko varnostjo. Zaradi učinkovitosti obveščanja je centraliziran in usmerjan način pooblaščenega obveščanja izjemno pomemben. Nekoordinirana izmenjava informacij v primeru kibernetskih incidentov ni ustrezna [14]. Koncept centraliziranega, zaupnega in zanesljivega obveščanja deležnikov v energetskem sektorju predvidevajo že obstoječe strategije in menimo, da bi morali obveščanje in sodelovanje izpostaviti kot prioritetno. III. PROBLEMATIKA KIBERNETSKE VARNOSTI IZ VIDIKA REGULATORJA Delo Agencije za energijo temelji na podatkih, ki jih pridobiva od akterjev na trgu z električno energijo in zemeljskim plinom. Kakovost in ažurnost podatkov je ključna za učinkovito delo. V sektorjih Agencije je opredeljen nabor podatkov, ki jih le-ti zbirajo in potrebujejo za svoje delovanje na področju določitve in spremljanja regulatornega okvira ter priprave poročil. Nov Energetski zakon (EZ-1) Agenciji nalaga razširjene pristojnosti in vrsto novih nalog. V smislu zagotavljanja kibernetske varnosti je treba izpostaviti naslednje ključne naloge: po 434. in 435. členu EZ-1: agencija je zadolžena za izvajanje monitoringa delovanja trga, ki ga lahko razdelimo na začasno t.i.»ad-hoc«in stalno izvajanje aktivnosti spremljanja trga, izvajanje aktivnosti po REMIT (Uredba (EU) št. 1227/2011 Evropskega parlamenta in Sveta z dne 25. oktobra 2011 o celovitosti in preglednosti veleprodajnega energetskega trga), izvajanje sektorskih raziskav trga in izvajanje preiskovalnih postopkov na podlagi utemeljenega suma kršitev oziroma zlorab. Pogoj za monitoring je pridobivanje podatkov, ki pa so lahko poslovno občutljivi oziroma zaupni. Agencija zbira podatke o trgu z energijo za potrebe spremljanja ravni transparentnosti in konkurenčnosti v bližnji prihodnosti pa bo za potrebe ugotavljanja tržnih zlorab in manipulacij pridobivala tudi podatke o transakcijah na organiziranih trgih, v okviru OTC (angl. over-the-counter) izven organiziranega borznega trga ter t.i. temeljne podatke (angl. fundamental data) od katerih so nekateri podani v spodnji preglednici (tabela 1). Sorodni podatki se bodo pridobivali tudi za zemeljski plin. Ključno pri tem je zagotavljati ustrezno raven informacijske varnosti, saj so določeni podatki poslovna skrivnost (zgolj nekateri so javni).
Tabela 1: Primer nekaterih nadziranih podatkov. Trg Elektrika Podatki o trgu (konkurenčnost, transparentnost) cenovni indeksi, količine prodane energije, strukturni podatki ipd. Podatki o transakcijah (zlorabe in manipulacije) produkti na borzah (pasovna/trapezna energija, moč ipd.), cene, količine, sodelujoči subjekti na borzah, za OTC trgovanje ipd. Temeljni podatki (zlorabe in manipulacije) napovedana in trenutna razpoložljivost proizvodnje, napovedi porabe, čezmejni pretoki, cena CO2, nakup energije za pokritje izgub (avkcije), ipd. IKT in obratovalna varnost, ki vključuje kibernetsko varnost temeljita na treh vidikih: a) pravnih b) tehničnih in c) upravljavskih. Pravni vidik Ob internih pravilnikih, smernicah EU (npr. ENISA) in razpoložljivih standardih je treba upoštevati tudi določila na področju REMIT. Npr. uredba REMIT vsebuje konkretna določila glede zagotavljanja informacijske varnosti: Člen 12 - Zanesljivost delovanja (ACER, nacionalni regulatorni organi (NRA), Agencija za energijo) ACER zagotavlja zaupnost, celovitost in varstvo informacij, prejetih skladno s členom 4(2) ter členoma 8 in 10. ACER sprejme vse potrebne ukrepe za preprečevanje vsake zlorabe in nepooblaščenega dostopa do informacij, ki jih hrani v svojih sistemih. NRA, pristojni finančni organi držav članic, nacionalni organi za konkurenco, ESMA ter drugi zadevni organi zagotovijo zaupnost, celovitost in varstvo informacij, ki jih prejmejo, v skladu s členom 4(2), členom 7(2), členom 8(5) ali členom 10 ter sprejmejo ukrepe, s katerimi preprečijo zlorabo takih informacij. ACER ugotovi vire operativnega tveganja in jih zmanjša na najnižjo raven s pomočjo razvoja ustreznih sistemov, kontrol in postopkov. Ob upoštevanju 17. člena lahko Agencija odloči o delnem dostopu do nekaterih svojih informacij javnosti pod pogojem, da se poslovno občutljive informacije o posameznih udeležencih na trgu, posameznih transakcijah ali posameznih mestih trgovanja ne razkrijejo (in niti ne povzamejo). Agencija, ob upoštevanju zahtev glede zaupnosti, da svojo podatkovno zbirko poslovno neobčutljivih informacij na razpolago za znanstvene namene. Informacije se objavijo ali dajo na razpolago z namenom izboljšanja preglednosti veleprodajnih energetskih trgov in pod pogojem, da ni verjetnosti povzročitve kakršnega koli izkrivljanja konkurence na teh energetskih trgih. Agencija razširja informacije pravično po preglednih pravilih, ki jih sestavi in objavi.«iz arhitekture v nadaljevanju (slika 4) so posredno razvidni podatkovni tokovi (vhodni, izhodni), ki izhajajo iz obveze registracije in poročanja po REMIT in sicer zagotavljanja podatkov v sistem ARIS (ACER). Pri tem sodeluje vrsta akterjev, poleg zavezancev za poročanje (udeležencev na veleprodajnem trgu - trgovcev, večjih odjemalcev) tudi regulatorni organi. Tehnični vidik Zaradi obsežnosti in kompleksnosti politik varovanja (slika 4) izpostavljamo v kontekstu varne obdelave podatkov, ki vključuje kibernetsko varnost, zgolj dva pomembnejša vidika: a) Ustrezno zaščito podatkovnih tokov npr. prenosa podatkov med Agencijo in drugimi organizacijami (zavezanci za poročanje, organizatorjem trga, borzami ipd.) b) Zaščito shranjenih podatkov Agencije, torej zaščito internih baz podatkov. Vidik upravljanja Gre za procesne in upravljavske vidike znotraj organizacije, ki jih je treba ustrezno načrtovati, vpeljati, izvajati in posodabljati: postopki, s katerimi se zagotavlja uporaba varnih komunikacijskih kanalov pri posredovanju podatkov
Varnostna politika Splošna varnost Omrežna varnost Varovanje strežnikov Aplikacijska varnost Politika sprejemljivega šifriranja Politika sprejemljive uporabe Politika delovnega mesta Politika sprejemljivosti digitalnih podpisov Politika e-pošte Politika etičnih standardov Politika odzivanja na pandemične okoliščine Smernice tvorjenja gesel Politika varovanja gesel Politika varnostnega odzivanja Politika varovanja šifrirnih ključev Politika okrevanja v primeru višje sile Politika (poslovnega) pridruževanja Izhodiščna Bluetooth politika Politika oddaljenega dostopa Politika orodij oddaljenega dostopa Politika omrežnih naprav Politika brezžičnih komunikacij Standardi brezžičnih komunikacij Politika upravljanja poverilnic podatkovnih baz Politika odstranjevanja amortizirane opreme Standardi beleženja informacij Prostorska varnostna politika Politika varovanja strežnikov Politika nameščanja programske opreme Varnostna politika naprav končnih uporabnikov Varnostna politika spletnih aplikacij Slika 4: Kompleksnost tehničnega vidika varovanja. postopki in mehanizmi s katerimi se zagotavlja in omogoča dostop do baze podatkov za monitoring trga (omejenemu številu zaposlenih) namenska izobraževanja zaposlenih o zagotavljanju varnosti pri uporabi baze podatkov Ti vidiki so ključni, da se ob upoštevanju ostalih politik varovanja maksimira učinkovitost tehničnih rešitev, poveča zavedanje o nevarnostih in ukrepih za zagotavljanje kibernetske varnosti znotraj organizacije. IV. SMERNICE IN AKTIVNOSTI REGULATORJA ENISA je v okviru področja groženj (angl. Threat Landscape) objavila smernice o dobrih praksah na področju varnostnih ukrepov v pametnih omrežjih [17]. Publikacija je namenjena lastnikom osnovnih sredstev (sistemskim operaterjem) ter opredeljuje osnovna sredstva pametnih omrežij in groženj, tipičnih za ta okolja. Problematika je pomembna tudi za regulatorje s področja energijskih sistemov, ki po navadi nadzirajo upravičene stroške delovanja sistemskih operaterjev, ki obsegajo tako stroške kapitala kot obratovalne stroške ter spodbujajo naložbe v pametna omrežja in strukture varovanja. Brez učinkovitega nadzora (in ustrezne ravni zagotavljanja povrnitve stroškov, kot je to navedeno v smernicah regulatorjem ZDA [21]), obstaja tveganje, da bodo operaterji obravnavali naložbe v kibernetsko varnost kot stroške, ki jih je mogoče zmanjšati. CEER izpostavlja izzive, ki zahtevajo razpravo in vključujejo naslednja odprta vprašanja: način reguliranja: pregled nad delovanjem procesov ali reguliranje učinkov, določitev najboljših praks, primerjalne analize stroškov naložb, povezanih s kibernetsko varnostjo, metodologije analize stroškov in koristi, pomen kibernetske varnosti pri uvajanju pametnih omrežij. Med vidiki, pomembnimi v obravnavanem okviru kibernetske varnosti z vidika regulatorja EES, lahko izpostavimo: vzpostavitev strokovnega dialoga o kibernetski varnosti z udeleženci na trgu z energijo: - okvir za dialog med deležniki (npr. Sekcija IPET, saj deluje v Energetski zbornici Slovenije in sodeluje s SIST in Sekcijo EURELECTRIC), - okvir letnega dogodka, ki sovpada z obravnavano tematiko (npr. PIES),
aktivnosti v ustreznih delovnih skupinah CEER (CEER Cyber Security WS, CEER Smart Grid TF itd.), aktivnosti v okviru nalog, ki jih agencija izvaja v sodelovanju z ACER na področju izvajanja uredbe REMIT, sodelovanje z ENISA, CEER in ustreznimi državnimi službami (SI-CERT, Nacionalni organ za kibernetsko varnost, Ministrstvo za javno upravo Direktorat za informatiko in e-storitve, Ministrstvo za izobraževanje, znanost in šport Direktorat za informacijsko družbo, Urad informacijske pooblaščenke ), aktivno vključevanje v preventivne scenarije, ki jih izvaja ENISA (npr. CyberSecurity Europe), nadgradnjo kompetence na področju kibernetske varnosti znotraj ustanov in ozaveščanje deležnikov o pomembnosti kibernetske varnosti (!PET, CIGRE, PIES ), izvajanje periodične analize stanja kibernetske varnosti v EES; sprotna analiza, posodabljanje in dopolnjevanje, okvirne smernice o minimalnih zahtevah pri zagotavljanju kibernetske varnosti na področju uvajanja pametnih omrežij na podlagi ugotovitev CEER, spremljanje ravni kibernetske varnosti z vidika nadziranja kakovosti oskrbe (neprekinjenosti napajanja), kjer se v klasifikacijo vzrokov za prekinitve doda ustrezen klasifikator za izpad kibernetskega izvora, v metodologijo spremljanja (triletnih) naložbenih načrtov se vključi zahtevek za vsebinsko in stroškovno opredelitev namenskih investicij za zagotavljanje kibernetske varnosti, ločeno za prenosno in distribucijsko omrežje. V. ZAKLJUČKI Vloga regulatorja je, v državah članicah EU, iz vidika kibernetske varnosti različno definirana/nedefinirana. Navkljub temu pa so mnenja CEER CS WS enotna in sicer, da igra regulator pomembno vlogo tako pri ozaveščanju deležnikov kot udejanjanju strategij kibernetske varnosti s posrednim monitoringom in potrjevanjem investicij na tem področju za energetski sektor. Zaradi stroškovne učinkovitosti je pomembno, da so iniciative na področju kibernetske varnosti usklajene, koordinirane in da potekajo fazno usklajene. Potrebno je klasificirati prioritete investicij, od prioritet, ki zadevajo operaterja transportnega omrežja in varovanje ICS do prioritet, ki zadevajo operaterje distribucijskih omrežij in varovanje manjših komercialnih odjemalcev ter v prihodnosti tudi rezidenčnih odjemalcev z nameščenimi pametnimi sistemi. Zaradi specifičnosti okolja z industrijskimi krmilnimi sistemi (ICS) ostaja še veliko odprtih vprašanj pri učinkovitem reševanju kibernetske problematike v EES. Najaktualnejša so [15]: sistemski koncept obravnavanja kibernetske varnosti za zaščito kritične infrastrukture (CIP) in zaščito kritične informacijske infrastrukture (CIIP) v evropskem prostoru še ni vzpostavljen; v prostoru EU ni ustanove, ki bi bila odgovorna za industrijske krmilne sisteme (ICS) in skrbela za enotne standarde, pravila, priporočila in regulativo, povezano s kibernetsko varnostjo ICS; brez integriranega pristopa varnostnega upravljanja, ki obsega različne varnostne vidike (fizični, logični, okoljski, varnostni), lahko določene izpostavljenosti spregledamo; brez odločanja na najvišji ravni (vodstvo elektroenergetskega sistema) z jasnimi zavezami varnost ICS ne more biti ustrezno upravljana; sekundarna skrb industrije ICS za razvoj ustreznih varnostnih mehanizmov; razlika med varnostnimi paradigmami: - IKT (zaupnost/integriteta/razpoložljivost), - ICS (varnost/zanesljivost/razpoložljivost). Odprta ostajajo pomembna vprašanja upravljanja podatkov tudi iz vidika zasebnosti oz. anonimizacije. REFERENCE [1] Council of Europe. IFJ and EFJ denounce the cyberattack against TV5 Monde. Pridobljeno 10. april 2015 1. [2] ENISA, National Cyber Security Strategies in the World. [3] ACER. ACER's annual report on its activities under REMIT in 2013 2. [4] ENISA, ICS-CERT Monitor. Incident Response Activity, Apr.-Jun., 2013 3. [5] ENISA, ICS-CERT Monitor. Incident Response Activity, Oct.-Dec., 2013 4. 1 http://www.coe.int/en/web/media-freedom/-/ifj-and-efj-denounce-the-cyber-attack-against-tv5-monde 2 http://www.acer.europa.eu/official_documents/acts_of_the_agency/publication/remit%20annual%20report%202014.pdf 3 https://ics-cert.us-cert.gov/sites/default/files/monitors/ics-cert_monitor_apr-jun2013.pdf 4 https://ics-cert.us-cert.gov/sites/default/files/monitors/ics-cert_monitor_oct-dec2013.pdf
[6] J. Stergar, D. Batič. Aktivnosti na področju kibernetske varnosti elektroenergetskih sistemov, Posvetovanje o informatiki v energetiki Slovenije, Zbornik / 07. PIES. [7] Klaver, M.H.A., et al., RECIPE: Good practices manual for CIP policies, for policy makers in Europe, TNO, 2011 5. [8] BUDKA, K. C., DESHPANDE, Jayant G., THOTTAN, Marina: Communication Networks for Smart Grids, Computer Communications and Networks, 2014, Springer London. [9] KRUTZ, R. L., Securing SCADA Systems, WILEY, 2006. [10] TURK, R. J., Cyber Incidents Involving Control Systems, US-CERT, 2005. [11] ENISA: Appropriate security measures for smart grids, 2012 6. [12] ENISA: Can we learn from SCADA security incidents?, 2013 7. [13] ENISA: ce2014 background information, 2014 8. [14] ENISA: Good Practices for an EU ICS Testing Coordination Capability, 2013 9. [15] ENISA: Protecting Industrial Control Systems. Recommendations for Europe and Member States, 2011 10. [16] ENISA: Smart Grid Security: Recommendations for Europe and Member States, 2012 11. [17] ENISA: Smart Grid Threat Landscape and Good Practice Guide, 2013 12. [18] ENISA: Window of Exposure - A real problem for SCADA systems, 2013 13. [19] ENISA: Cyber Europe 2012 - Ključne ugotovitve in priporočila, 2012 14. [20] KUSHNER, D.: The real story of stuxnet, IEEE Spectrum, Vol. 50, Issue 3, pp 48-53, IEEE, 2013. [21] NARUC: Cybersecurity for State regulators 2.0 With Sample Questions for Regulators to Ask Utilities, 2013 15. [22] NESCOR: Guide to Penetration testing for Electrical Utilities, 2014 16. [23] NIST: NIST Framework and Roadmap for Smart Grid Interoperability Standards (Release 3.0), 2014 17. [24] NIST: Framework for Improving Critical Infrastructure Cybersecurity, 2014 18. 5 http://repository.tudelft.nl/view/tno/uuid%3a29f15365-8885-4278-82fe-996567858ae9/ 6 http://www.enisa.europa.eu/activities/resilience-and-ciip/critical-infrastructure-and-services/smart-grids-and-smart-metering/appropriatesecurity-measures-for-smart-grids 7 https://www.enisa.europa.eu/activities/resilience-and-ciip/critical-infrastructure-and-services/scada-industrial-control-systems/can-welearn-from-scada-security-incidents 8 https://www.enisa.europa.eu/activities/resilience-and-ciip/cyber-crisis-cooperation/cce/cyber-europe/ce2014/cyber-europe-2014- information/briefing-pack 9 https://www.enisa.europa.eu/activities/resilience-and-ciip/critical-infrastructure-and-services/scada-industrial-control-systems/goodpractices-for-an-eu-ics-testing-coordination-capability 10 https://www.enisa.europa.eu/activities/resilience-and-ciip/critical-infrastructure-and-services/scada-industrial-control-systems/protectingindustrial-control-systems.-recommendations-for-europe-and-member-states 11 https://www.enisa.europa.eu/activities/resilience-and-ciip/critical-infrastructure-and-services/smart-grids-and-smart-metering/enisasmart-grid-security-recommendations 12 https://www.enisa.europa.eu/activities/risk-management/evolving-threat-environment/sgtl/smart-grid-threat-landscape-and-good-practiceguide 13 https://www.enisa.europa.eu/activities/resilience-and-ciip/critical-infrastructure-and-services/scada-industrial-control-systems/windowof-exposure-a-real-problem-for-scada-systems 14 https://www.enisa.europa.eu/activities/resilience-and-ciip/cyber-crisis-cooperation/cce/cyber-europe/cyber-europe- 2012/ENISA_2012_00490000_SL_TRA.pdf 15 http://energy.gov/sites/prod/files/naruc%20cybersecurity%20for%20state%20regulators%20primer%20-%20june%202012.pdf 16 http://smartgrid.epri.com/doc/nescorguidetopenetrationtestingforelectricutilities-v3-final.pdf 17 http://dx.doi.org/10.6028/nist.sp.1108r3 18 http://www.nist.gov/cyberframework/upload/cybersecurity-framework-021214-final.pdf