Interpelacja nr 5388

do ministra klimatu i środowiska

w sprawie bezpieczeństwa liczników zdalnego odczytu

Zgłaszający: Małgorzata Gromadzka

Data wpływu: 10-10-2024

Biłgoraj, 4.10.2024 r.

Szanowna Pani Ministro,

cyfrowa transformacja sektora energetycznego niesie ogromne szanse, ale także zagrożenia związane z koniecznością zapewnienia cyberbezpieczeństwa państwa. Istotnym elementem mającym wpływ na powyższe są liczniki zdalnego odczytu.

Liczniki smart mają wiele niezaprzeczalnych zalet, jednak ich dodatkowe funkcje niosą także pewne zagrożenia:

Jednym z największych i niezaadresowanych obecnie w Polsce ryzyka w kontekście liczników inteligentnych jest atak na łańcuch dostaw – możliwość zaszycia złośliwych funkcji (niekoniecznie przez producenta licznika) w licznikach dostarczanych operatorom systemów dystrybucyjnych (OSD).

Złośliwe funkcje mogą występować w postaci np. backdoor’ów (luka w zabezpieczeniach systemu) lub bomb logicznych zaimplementowanych w oprogramowaniu układowym poszczególnych chipset’ów licznika podczas procesu produkcyjnego elementów składowych urządzenia m.in. przez poddostawców.

Może to potencjalnie umożliwiać nieuprawniony dostęp do danych przesyłanych z i do licznika lub jego funkcji, nieuprawnione odłączenie klientów, potencjalne uszkodzenie lub wyłączenie licznika, a także atak na inne elementy systemu.

Według przeprowadzonej przez ekspertów cybersecurity analizy łańcuch dostaw to najsłabiej chroniony obszar w produkcji liczników.

W związku z powyższym uprzejmie proszę o odpowiedź na pytania:

1. Czy ministerstwo planuje wprowadzenie schematów oraz określenie podmiotów certyfikujących dla komponentów AMI (Advanced Metering Infrastructure), w tym w szczególności liczników inteligentnych?

2. Czy ministerstwo planuje wprowadzenie przepisów regulujących lub wykluczających dostawców wysokiego ryzyka z rynku liczników inteligentnych?

3. Czy będą wspólne porozumienia OSD w zakresie bezpieczeństwa komponentów AMI?

4. Czy ministerstwo planuje wprowadzenie zasady obligatoryjnego podziału dostarczanych w ramach przetargów urządzeń?

5. Czy ministerstwo planuje opracowanie metodyki i narzędzi testowania wymagań bezpieczeństwa?

6. Czy ministerstwo planuje wprowadzenie ścisłych regulacji prawnych określających odpowiedzialność dostawców za zabezpieczenie łańcucha dostaw?

7. Czy jest w planach Nowelizacja Prawa Zamówień Publicznych w zakresie pochodzenia produktu?

8. Czy są rekomendacje pełnomocnika ds. cyberbezpieczeństwa dotyczące dostawców wysokiego ryzyka w obszarze inteligentnych liczników energii?

9. Czy jest brane pod uwagę wprowadzenie zmiany ustawy o krajowym systemie cyberbezpieczeństwa (UKSC), obejmująca m.in.:

10. Czy planowane jest zarekomendowanie pełnomocnika rządu ds. cyberbezpieczeństwa, aby w krajowym systemie energetycznym nie stosować urządzeń lub oprogramowania pochodzących spoza Europejskiego Obszaru Gospodarczego?

Z poważaniem

Małgorzata Gromadzka