Producătorii de energie din panouri fotovoltaice vor fi nevoiți să scoată bani din buzunar pentru auditarea cibernetică anuală și periodică a invertoarelor și tuturor sistemelor și rețelelor informatice asociate centralelor electrice fotovoltaice. Ministerul Energiei a concluzionat că panourile și sistemele din China ar putea fi dotate cu firmware care transmit date către terți (din spațiul asiatic). Mai exact, există pericolul, susține ministerul, ca acestea să spioneze producția și consumul de energie ale României. Și, eventual, să se tăvălească pe jos de râs, am adăuga noi.
Ca să le mai taie din profituri sau, mai degrabă, să le redistribuie și altora, Ministerul Energiei a decis ca firmele care dețin parcuri fotovoltaice să plătească pentru auditul cibernetic, atât periodic, cât și anual. Motivul este legat de probabilitatea dotării invertoarelor și tuturor sistemelor și rețelelor informatice asociate centralelor electrice fotovoltaice cu firmware care transmit date către terți (din spațiul asiatic), susține ministerul. Cum peste 90% din echipamentele din Europa, nu numai din România, provin din China, aproape toți producătorii de energie fotovoltaică trebuie să se conformeze. Motivul absolut hilar invocat de Ministerul Energiei este că asiaticii, în special chinezii, ar spiona prin acest firmware și ar urmări producția și consumul de energie fotovoltaică din România. Așa, ca o paranteză, datele sunt cât se poate de publice în acest sens, fiind afișate, pe intervale orare, de către Transelectrica. La echilibrul precar al sistemului energetic național, lăsat, tot mai mult, la mâna regenerabilelor, spionii care stau cu ochii pe producția de energie a României, dacă ar avea vreun ghimpe împotriva noastră, în cel mai rău caz s-ar tăvăli pe jos de râs. ” Se propune obligația auditării cibernetice anuale și periodice a invertoarelor și tuturor sistemelor și rețelelor informatice asociate centralelor electrice fotovoltaice, în condițiile stabilite prin ordin comun al președintelui ANRE și al directorului Directoratului Național de Securitate Cibernetică. Motivul este generat de constatări privind existența unor invertoare fotovoltaice și controlere energetice cu materii prime din China care sunt frecvent echipate cu firmware care transmit date către terți (din spațiul asiatic) fără ca utilizatorul să știe și care poate permit atacatorilor să preia controlul asupra dispozitivului/ rețelei energetice. Aceste dispozitive, conectate la rețele locale, pot fi vulnerabile la spionaj dacă sunt compromise”, se arată în nota de fundamentare a unui proiect de ordonanță de urgență emis de Ministerul Energiei.
Actori rău intenționați
Aceste programe-spion transmit date despre consumul de energie, iar, în scenarii nefericite, pot fi manipulate pentru a trimite aceste date către actori rău intenționați, consideră Ministerul Energiei. ”Există date și informații clare că unele invertoare și controle de energie pentru panourile solare, produse în China, ar putea avea software care permite monitorizarea de la distanță a consumului și producției energetice. Printre modalitățile de colectare și transmitere a datelor din invertoare și controlere de energie în China s-au numărat: dispozitive IoT (Internet of Things) și module de comunicație precum modemuri GSM, module Wi-Fi, Bluetooth, sau tehnologii Zigbee/Z-Wave”, precizează Ministerul Energiei. Instituția reiterează faptul că auditul de securitate cibernetică este o componentă esențială a gestionării riscurilor cibernetice și că, având în vedere vulnerabilitățile crescute ale sectorului energetic, introducerea auditului ca o condiție obligatorie pentru accesarea fondurilor publice și este o măsură necesară pentru a asigura protecția infrastructurii critice.
Pregătiți pentru atacuri
Auditul va garanta că operatorii din sectorul energetic adoptă măsuri adecvate și eficiente de securitate cibernetică, prevenind astfel eventualele atacuri care ar putea perturba funcționarea sistemelor energetic, consideră Ministerul Energiei. Acesta arată că Legea nr. 58/2023 definește auditul de securitate cibernetică ca o evaluare sistematică a politicilor, procedurilor și măsurilor de protecție implementate la nivelul rețelelor și sistemelor informatice, având ca scop identificarea disfuncționalităților și vulnerabilităților și furnizarea soluțiilor de remediere. ”Operatorii economici din sectorul energetic au deja obligația de a furniza autorităților competente, la cerere, documentațiile necesare, inclusiv rapoarte de audit, în conformitate cu Legea nr. 362/2018. Introducerea auditului cibernetic obligatoriu în ghidurile de finanțare nu ar adăuga o povară semnificativă, ci doar ar alinia aceste obligații la cerințele existente în materie de securitate cibernetică”, a conchis Ministerul Energiei.