Elektra gali dingti ne tik tada, kai audra pažeidžia linijas ar sugenda įranga. Vis dažniau energetikos saugumas priklauso ir nuo kur kas mažiau pastebimų veiksnių: kas turi prieigą prie valdymo sistemų, ar elektrinė apsaugota nuo nepageidaujamų prisijungimų iš interneto, ir ar organizacija žino, kaip elgtųsi įvykus incidentui.
Atliekant kibernetinio saugumo atitikties auditus elektros gamybos ir kaupimo objektuose Lietuvoje, išryškėja keletas pasikartojančių spragų. Pasak „OIXIO” IT ir kibernetinio saugumo paslaugų vadovo Povilo Domarko, dažniausia ir pavojingiausia iš jų — nevaldoma nuotolinė prieiga prie elektrinės valdymo sistemų.
Kodėl energetikos saugumas nebėra vien įrangos klausimas
Lietuvos energetikos sektoriuje sparčiai daugėja skaitmeninių sistemų, nuotolinio valdymo galimybių, išmaniosios apskaitos sprendimų ir atsinaujinančios energetikos objektų. Saulės bei vėjo elektrinių savininkai vis dažniau jungia savo objektus prie interneto — kad galėtų stebėti generaciją, gauti pranešimus apie sutrikimus ar valdyti įrangą nuotoliniu būdu. Tai patogu, bet kelia rizikų, kurių dalis savininkų tiesiog nesuvokia.
Kai kibernetinė ataka turi fizinių pasekmių
Vienas pirmųjų incidentų, aiškiai parodžiusių tokių rizikų mastą, įvyko 2015 m. Ukrainoje, kai buvo atakuotos elektros skirstymo bendrovės. Užsienio politikos tyrimų centro „Council on Foreign Relations” duomenimis, tuomet Vakarų Ukrainoje be elektros liko daugiau nei 230 tūkst. gyventojų, o kai kuriose vietovėse elektros nebuvo iki šešių valandų. Šis incidentas dažnai minimas kaip pirmasis patvirtintas atvejis, kai kibernetinė ataka tiesiogiai sutrikdė elektros tiekimą.
2016 m. Ukrainoje užfiksuotas dar vienas reikšmingas incidentas. Kibernetinio saugumo duomenų bazėje MITRE ATT&CK nurodoma, kad per ataką buvo panaudota „Industroyer” kenkėjiška programinė įranga, sukurta elektros tinklų įrangai trikdyti. Šis atvejis parodė, kad energetikos sektoriuje kibernetinės atakos gali būti nukreiptos ne tik į biuro sistemas ar duomenis, bet ir į operacines technologijas — sistemas, kurios valdo fizinius procesus, pavyzdžiui, elektros gamybą, skirstymą ar įrenginių darbą.
Jei IT incidentas gali sutrikdyti el. paštą, dokumentų valdymą ar klientų aptarnavimą, ataka prieš operacines technologijas gali turėti fizinių padarinių: sustoja įrenginiai, sutrinka procesai, o vien duomenų atkūrimo iš atsarginių kopijų nebepakanka.
Lietuva — jau realus taikinys
Šios grėsmės nebėra geografiškai tolimos. 2026 m. pavasarį paaiškėjo, kad iš Registrų centro Nekilnojamojo turto registro buvo neteisėtai pasisavinta daugiau nei 600 tūkst. įrašų — tarp jų asmens kodai, vardai, pavardės, turto adresai bei duomenys apie daiktines teises. Įsilaužimo į pačias Registrų centro sistemas nebuvo — tretieji asmenys prieigą gavo perėmę teisėto duomenų gavėjo, kitos valstybinės institucijos darbuotojų prisijungimus. Neteisėta veikla truko nuo sausio iki balandžio — apie keturis mėnesius, kol buvo pastebėta.
Šis incidentas svarbus dėl kelių priežasčių. Pirma, jis aiškiai parodė, kad Lietuvos valstybinė infrastruktūra yra realus, o ne hipotetinis taikinys — viešojoje erdvėje skambėjo svarstymai apie galimą Rusijos karinės žvalgybos GRU pėdsaką. Antra, silpniausia grandimi tapo ne pati saugoma sistema, o teisėto duomenų gavėjo paskyra, kurios prieigos kontrolės pasirodė nepakankamos. Trečia, įsibrovėliai galėjo veikti mėnesius paprasčiausiai todėl, kad neįprasta veikla nebuvo laiku pastebėta. Po incidento Registrų centras paskelbė įvesiantis dviejų faktorių autentifikaciją — priemonę, kurią daugumai kritinę infrastruktūrą valdančių subjektų derėtų turėti įdiegtą iš anksto, o ne kaip reakciją į įvykį.
Vos prieš kelias dienas paaiškėjo dar vienas reikšmingas incidentas. Iš Valstybinės akreditavimo sveikatos priežiūros veiklai tarnybos buvo neteisėtai pasisavinta apie 62 tūkst. įrašų apie Lietuvos medikus — profesinė ir kontaktinė informacija, o tikėtinai ir asmens kodai bei adresai. Pirminiais duomenimis, įsibrovėliai pasinaudojo trečiosios šalies atviro kodo įrankio „Apache Superset“, naudojamo ataskaitoms generuoti, žinoma spraga; pati pagrindinė akreditavimo sistema, anot tarnybos, įsilaužta nebuvo — duomenys nutekėjo iš jai pavaldžios ataskaitų posistemės. Incidentas suvaldytas per 41 valandą — kelis kartus greičiau nei Registrų centro atveju, tačiau ir per tą laiką spėta išpumpuoti reikšmingą duomenų kiekį. Šis atvejis išryškina papildomą rizikos dimensiją: net kai pagrindinė sistema yra gerai apsaugota, jos pagalbinės posistemės, dažnai paremtos trečiųjų šalių ar atviro kodo komponentais, gali tapti silpniausia grandimi — ypač jei jų saugumo atnaujinimai nėra valdomi disciplinuotai. Analogiškų posistemių apstu ir energetikoje: stebėsenos platformos, ataskaitų generavimo įrankiai, nuotolinio monitoringo sprendimai.
Energetikos kontekste šios pamokos yra tiesioginės. Jei valstybinio registro duomenis pavyko išgauti per teisėto vartotojo paskyrą, lygiai taip pat per silpnai apsaugotą rangovo, įrangos aptarnautojo ar nuotolinio operatoriaus prisijungimą gali būti pasiekta ir elektrinės valdymo sistema. Skirtumas tas, kad antruoju atveju pasekmės gali būti ne tik duomenų atskleidimas, bet ir fizinis elektros tiekimo sutrikdymas.
Pagrindinė spraga, kurią matome auditų metu — nevaldoma nuotolinė prieiga
Atliekant kibernetinio saugumo atitikties auditus privačiuose elektrinėse, ši problema pasikartoja dažniausiai. Didelė dalis elektrinių savininkų nesuvokia, kad pajungus elektrinę į internetą be ugniasienės, jie iš esmės nekontroliuoja, kas gali prisijungti prie jų įrangos.
„Tai tas pats, kas nusipirkus butą laikyti duris plačiai atidarytas. Stebėti generaciją ar valdyti elektrinę nuotoliniu būdu per internetą yra patogu, bet jei tarp interneto ir valdymo sistemos nėra ugniasienės — bet kas, kas nuskenuos jūsų IP adresą, gali bandyti prisijungti. O tokių automatinių skenavimų internete vyksta nepertraukiamai”, — paaiškina Povilas Domarkas.
Tinkamai sukonfigūruota ugniasienė blokuoja bet kokį nepageidaujamą prisijungimą prie elektrinės tinklo ir įrangos. Kiekvienas leistinas nuotolinis prisijungimas turėtų būti apsaugotas dviejų faktorių autentifikacija (2FA) — kad vien slaptažodžio nutekėjimas ar atspėjimas nebūtų pakankamas patekti prie valdymo sistemų. Be to, būtinas nuolatinis monitoringas, kuris fiksuoja prisijungimo bandymus ir neįprastą veiklą, leidžia laiku reaguoti dar prieš tai, kai įsibrovėlis pasiekia valdymo sistemas.
Fizinė prieiga — geriau, bet ne dėl gerų priežasčių
Auditų metu pastebima, kad fizinės prieigos kontrolė elektrinėse paprastai užtikrinama geriau nei nuotolinės. Yra tvoros, rakinamos spintos su įranga, raktų išdavimo tvarka, vaizdo stebėjimas.
Tačiau ši „pirmenybė” greičiausiai atspindi ne sąmoningą prioritetų pasirinkimą, o kompetencijų atotrūkį. Fizinis saugumas yra apčiuopiamas ir intuityvus — visi supranta, kam reikalinga tvora ir spyna. Tinklų saugumas, atvirkščiai, reikalauja specifinių IT žinių, kurių daugumai elektrinių savininkų paprasčiausiai trūksta. Todėl ten, kur reikia kompiuterinio raštingumo ir tinklų supratimo, atsiranda spragų.
Įrangos gamintojų rizikos: kaina nustelbia saugumą
Kita auditų metu pastebėta sisteminė problema — elektrinės valdymo sistemos perkamos vadovaujantis daugiausiai kainos kriterijumi. Įrangos kilmė, gamintojo šalis, programinės įrangos atnaujinimo politika ar galimi „back door” rizikų vertinimai retai patenka į pirkimo sprendimų svarstymų darbotvarkę.
Tai reiškia, kad Lietuvos energetikos infrastruktūroje gali atsidurti įranga, kurios gamintojai veikia jurisdikcijose, laikomose grėsmingomis nacionaliniam saugumui. Net jei pati įranga šiandien funkcionuoja korektiškai, jos programinė įranga, telemetrijos duomenys ar nuotolinio atnaujinimo kanalai gali tapti rizikos šaltiniu rytoj.
Atitikties reikalavimai — našta ar atsparumo investicija?
Bene jautriausias auditų metu pastebimas dalykas — savininkų požiūris į naujus kibernetinio saugumo reikalavimus, taikomus elektrinėms nuo 100 kW. Didelė dalis juos vertina kaip biurokratinę naštą ir papildomas išlaidas, kurias norisi minimizuoti.
Tačiau šis požiūris ignoruoja platesnį kontekstą. Lietuvos elektros tinklas — tai bendra sistema, kurioje šimtai mažų ir vidutinių elektrinių sudaro reikšmingą dalį generacijos. Viena nesaugiai sukonfigūruota elektrinė nėra tik atskiros įmonės problema — ji yra potenciali įėjimo į platesnę infrastruktūrą spraga. Atakuotojui dažnai lengviau prasiveržti per silpniausią grandį ir iš ten judėti toliau, nei iš karto pulti gerai apsaugotą stambų objektą.
„Atitikties reikalavimai nėra savitikslis. Jie egzistuoja todėl, kad energetika yra kritinė infrastruktūra, ir mažiausia spraga vienoje elektrinėje gali turėti pasekmių visam tinklui. Pamatuotos investicijos į ugniasienę, prieigos kontrolę ir monitoringą — tai ne sąnaudos, o draudimas nuo scenarijaus, kurio kaina, jam įvykus, būtų nepalyginamai didesnė”, — sako Povilas Domarkas.
Ką daryti elektrinės savininkui šiandien
Auditų patirtis rodo, kad daugumai elektrinių pirmieji žingsniai yra panašūs ir gana aiškūs. Pirmiausia — užtikrinti, kad tarp interneto ir elektrinės valdymo sistemos būtų tinkamai sukonfigūruota ugniasienė, blokuojanti viską, kas nėra eksplicitiškai leidžiama. Antra — kiekvienam nuotoliniam prisijungimui taikyti dviejų faktorių autentifikaciją. Trečia — užtikrinti, kad būtų stebimi prisijungimo bandymai ir kad apie neįprastą veiklą būtų pranešama atsakingam asmeniui. Ketvirta — turėti elementarų reagavimo planą: ką daryti, jei pastebėtas įsilaužimo bandymas ar sutriko valdymo sistemos veikimas.
Šie žingsniai nereikalauja milžiniškų investicijų, bet jie iš esmės pakeičia elektrinės atsparumą. O kartu — ir viso Lietuvos energetikos tinklo atsparumą grėsmėms, kurios šiandien jau nebėra teorinės.
About the Author
