do ministra klimatu i środowiska
w sprawie bezpieczeństwa liczników zdalnego odczytu
Zgłaszający: Małgorzata Gromadzka
Data wpływu: 10-10-2024
Biłgoraj, 4.10.2024 r.
Szanowna Pani Ministro,
cyfrowa transformacja sektora energetycznego niesie ogromne szanse, ale także zagrożenia związane z koniecznością zapewnienia cyberbezpieczeństwa państwa. Istotnym elementem mającym wpływ na powyższe są liczniki zdalnego odczytu.
Liczniki smart mają wiele niezaprzeczalnych zalet, jednak ich dodatkowe funkcje niosą także pewne zagrożenia:
Jednym z największych i niezaadresowanych obecnie w Polsce ryzyka w kontekście liczników inteligentnych jest atak na łańcuch dostaw – możliwość zaszycia złośliwych funkcji (niekoniecznie przez producenta licznika) w licznikach dostarczanych operatorom systemów dystrybucyjnych (OSD).
Złośliwe funkcje mogą występować w postaci np. backdoor’ów (luka w zabezpieczeniach systemu) lub bomb logicznych zaimplementowanych w oprogramowaniu układowym poszczególnych chipset’ów licznika podczas procesu produkcyjnego elementów składowych urządzenia m.in. przez poddostawców.
Może to potencjalnie umożliwiać nieuprawniony dostęp do danych przesyłanych z i do licznika lub jego funkcji, nieuprawnione odłączenie klientów, potencjalne uszkodzenie lub wyłączenie licznika, a także atak na inne elementy systemu.
Według przeprowadzonej przez ekspertów cybersecurity analizy łańcuch dostaw to najsłabiej chroniony obszar w produkcji liczników.
W związku z powyższym uprzejmie proszę o odpowiedź na pytania:
1. Czy ministerstwo planuje wprowadzenie schematów oraz określenie podmiotów certyfikujących dla komponentów AMI (Advanced Metering Infrastructure), w tym w szczególności liczników inteligentnych?
2. Czy ministerstwo planuje wprowadzenie przepisów regulujących lub wykluczających dostawców wysokiego ryzyka z rynku liczników inteligentnych?
3. Czy będą wspólne porozumienia OSD w zakresie bezpieczeństwa komponentów AMI?
4. Czy ministerstwo planuje wprowadzenie zasady obligatoryjnego podziału dostarczanych w ramach przetargów urządzeń?
5. Czy ministerstwo planuje opracowanie metodyki i narzędzi testowania wymagań bezpieczeństwa?
6. Czy ministerstwo planuje wprowadzenie ścisłych regulacji prawnych określających odpowiedzialność dostawców za zabezpieczenie łańcucha dostaw?
7. Czy jest w planach Nowelizacja Prawa Zamówień Publicznych w zakresie pochodzenia produktu?
8. Czy są rekomendacje pełnomocnika ds. cyberbezpieczeństwa dotyczące dostawców wysokiego ryzyka w obszarze inteligentnych liczników energii?
9. Czy jest brane pod uwagę wprowadzenie zmiany ustawy o krajowym systemie cyberbezpieczeństwa (UKSC), obejmująca m.in.:
10. Czy planowane jest zarekomendowanie pełnomocnika rządu ds. cyberbezpieczeństwa, aby w krajowym systemie energetycznym nie stosować urządzeń lub oprogramowania pochodzących spoza Europejskiego Obszaru Gospodarczego?
Z poważaniem
Małgorzata Gromadzka