Iki 2026-ųjų vasaros visų didesnių nei 100 kW saulės elektrinių savininkai Lietuvoje turės atlikti kibernetinio saugumo auditą ir pateikti saugumo atitikties deklaraciją ESO. Ekspertai teigia, kad tai vienas reikšmingiausių pastarųjų metų pokyčiųenergetikos sektoriuje. Kaip jis paveiks verslus ir ar nesilaikant reikalavimų elektrinių veikla iš tiesų gali būti sustabdyta?
„Nors tai viena iš tų naujienų, kuri iš pirmo žvilgsnio gali pasirodyti kaip biurokratinė prievolė, tačiau realybėje kalbame apie visai kitą lygį. Saulės elektrinė šiandien – skaitmeninė sistema, kuri priima komandas, turi nuotolinį valdymą ir jungiasi prie tinklo. Neapsaugota ji tampa potencialiu taikiniu“, – teigia „VEESLA Tech“ direktorius Ugnius Franckevičius.
Saulės elektrinės – kibernetinių grėsmių žemėlapyje
Šiuolaikinę elektrinę sudaro inverteriai, valdikliai, energijos kaupikliai, monitoringo sistemos. Visa ši sistema turi programinę įrangą, dažnai ir nuotolinę prieigą. O ten, kur yra programinė įranga ir ryšys su išoriniu pasauliu, atsiranda ir galimybė įsilaužti.
„Svarbu suvokti, kad tai nėra tik teorinė grėsmė – energetikos sektorius pasaulyje jau yra patyręs incidentų, kai buvo atjungtos ar perimtos sistemos. Fiksuoti atvejai, kai nuotoliniu būdu buvo prarasta galimybė valdyti vėjo parkus arba, kai vienu metu atjungtos tūkstančiai elektrinių“, – sako „VEESLA Tech“ vadovas.
Anot jo, didžiausia grėsmė kyla tuomet, kai vienu metu paveikiamas didelis kiekis objektų. Elektros tinklas turi būti subalansuotas kiekvieną sekundę, todėl staigus didelės galios praradimas gali turėti domino efektą.
„Verslui dažnai atrodo, kad viena elektrinė – per maža, kad būtų įdomi. Tačiau tikras pavojus atsiranda tuomet, kai pažeidžiama ne viena, o daug elektrinių, ypač jei jos turi panašius nustatymus, paliktus gamyklinius slaptažodžius ar tą pačią nuotolinio valdymo logiką. Jei įsilaužėlis randa vieną spragą, dažnai jis randa kelią į visą grupę. Todėl šiuolaikinėje energetikoje saugumas turi būti vertinamas kaip sisteminis klausimas net jei turite ir tik vieną elektrinę“, – pažymi U. Franckevičius.
Kai rizika tampa finansine
Nors dažniausiai kalbama apie „blackout“ scenarijus ir tinklo stabilumą, ekspertai pabrėžia, kad verslui kibernetinis incidentas gali smogti daug paprasčiau ir daug skausmingiau – per prastovas ir tiesioginius nuostolius.
„Kibernetinės atakos poveikis verslui dažnai yra tiesioginis: sustabdyta elektrinė, sugadinta įranga, prastovos, duomenų vagystės ar net šantažas. Tai yra realios situacijos, kurios jau vyksta energetikos sektoriuje“, – sako U. Franckevičius.
Ypatingą dėmesį jis skiria energijos kaupikliams. Pasak eksperto, tai viena jautriausių grandžių, nes kaupimo įrenginiai yra sudėtingos sistemos, kurių neteisingas valdymas gali turėti techninių pasekmių: „Kaupikliai nėra tiesiog „dėžė prie sienos“. Tai technologija, kuri turi būti valdoma saugiai. Todėl saugumo reikalavimai čia yra ne popieriniai – jie susiję su realiu fiziniu saugumu“.
Auditas ir deklaracija: kodėl neužteks tik pasirašyti?
Svarbiausias pokytis verslui – iki 2026 m. gegužės 31 d. reikės ne tik „pasidaryti tvarką“, bet ir turėti aiškų įrodymą, kad reikalavimai įgyvendinti. Tai reiškia, kad turės būti atliktas kibernetinio saugumo auditas ir parengta saugumo atitikties deklaracija, kuri pateikiama ESO.
„Jeigu reikalavimai nebus įgyvendinti iki termino, leidimas gamybai gali būti sustabdytas. Verslui tai reiškia paprastą dalyką – elektrinė gali būti atjungta“, – pabrėžia U. Franckevičius.
Jo teigimu, ši vieta yra kritinė, nes kai kurios įmonės klaidingai galvoja, kad pakaks „pasirašyti dokumentą“. Tačiau auditas reiškia realų sistemos patikrinimą, o deklaracija turi būti pagrįsta įrodymais, kad techniniai ir organizaciniai reikalavimai įgyvendinti.
„Nepriklausomą auditą gali atlikti tik sertifikuoti auditoriai. Tai nėra pasirinkimas – tai reikalavimas“, – sako jis.
Nuo ko pradėti ir kodėl nedelsti?
Pasak U. Franckevičiaus, realybėje didžiausias iššūkis verslams, kad daugelis jų nežino, nuo ko pradėti. Vieni turi kelis objektus, kiti – vieną elektrinę, bet su kaupikliu, treti – sudėtingą infrastruktūrą su keliomis prieigomis, rangovais ir skirtingais valdymo sprendimais.
„Verslui svarbiausia aiškumas: ką konkrečiai reikia padaryti, kokie žingsniai, kokie terminai ir kas už ką atsakingas. Jei šito nėra, atsiranda chaosas – vienas tiekėjas daro vieną dalį, kitas – kitą, o galutinis rezultatas neaiškus. Praktikoje viskas prasideda nuo esamos sistemos įvertinimo ir spragų identifikavimo. Tada įgyvendinami techniniai reikalavimai ir ruošiama dokumentacija deklaracijai ESO. Mes padedame įmonėms susitvarkyti techninę dalį, o auditą atlieka nepriklausomi sertifikuoti auditoriai“, – aiškina U. Franckevičius.
Ir nors terminas dar atrodo tolokas, ekspertai įspėja, kad artėjant 2026 m. gegužės 31 d. rinka susidurs su labai paprastu dalyku – ribotais pajėgumais. Auditorių, specialistų, techninių komandų ir sprendimų diegimo resursai nėra begaliniai.
„Daug kas pradės paskutiniais mėnesiais. Ir tada bus ne tik brangiau – bus ir sunkiau rasti laiką, suderinti darbus, atlikti auditą. Todėl protingiausias sprendimas yra pradėti dabar. Elektrinė turi būti ne tik veikianti, bet ir saugi. Į viską reikėtų žiūrėti gana paprastai – šiandien saugumas tampa tokia pat svarbia infrastruktūros dalimi kaip inverterisarkabelis“, – sako U. Franckevičius.
About the Author
