Statul român vrea să impună operatorilor de distribuție și prosumatorilor obligația unui audit cibernetic anual. Despre ce e vorba?
Un nou proiect de act normativ referitor la stocare cuprinde unele prevederi ce vizează operatorii de distribuție a energiei electrice și prosumatorii: obligația de a efectua anual un audit cibernetic al invertoarelor și al tuturor rețelelor informatice asociate centralelor electrice fotovoltaice.
Proiectul de Ordonanţă de Urgenţă pentru modificarea şi completarea Legii energiei electrice şi a gazelor naturale nr.123/2012, precum și pentru modificarea și completarea Legii nr.220/2008 privind stabilirea sistemului de promovare a producerii energiei din surse regenerabile” a fost lansat miercuri în consultare publică. Termenul de consultare este de 10 zile lucrătoare.
Auditul cibernetic anual și periodic al invertoarelor și tuturor sistemelor și rețelelor informatice asociate centralelor electrice fotovoltaice va fi realizat „în condițiile stabilite prin ordin comun al președintelui ANRE și al directorului Directoratului Național de Securitate Cibernetică”, arată proiectul legislativ.
„Motivul este generat de constatări privind existența unor invertoare fotovoltaice și controlere energetice cu materii prime din China care sunt frecvent echipate cu firmware care transmit date către terți (din spațiul asiatic) fără ca utilizatorul să știe și care poate permit atacatorilor să preia controlul asupra dispozitivului/ rețelei energetice. Aceste dispozitive, conectate la rețele locale, pot fi vulnerabile la spionaj dacă sunt compromise. Ele transmit date despre consumul de energie, iar în scenarii nefericite, pot fi manipulate pentru a trimite aceste date către actori rău intenționați. Există date și informații clare că unele invertoare și controle de energie pentru panourile solare, produse în China, ar putea avea software care permite monitorizarea de la distanță a consumului și producției energetice”, arată sursa citată.
Printre modalitățile de colectare și transmitere a datelor din invertoare și controlere de energie în China s-au numărat: dispozitive IoT (Internet of Things) și module de comunicație precum modemuri GSM, module Wi-Fi, Bluetooth, sau tehnologii Zigbee/Z-Wave, se mai menționează în proiect.
Conform documentului, auditul de securitate cibernetică este o componentă esențială a gestionării riscurilor cibernetice. „Având în vedere vulnerabilitățile crescute ale sectorului energetic, introducerea auditului ca o condiție obligatorie pentru accesarea fondurilor publice este o măsură necesară pentru a asigura protecția infrastructurii critice. Auditul va garanta că operatorii din sectorul energetic adoptă măsuri adecvate și eficiente de securitate cibernetică, prevenind astfel eventualele atacuri care ar putea perturba funcționarea sistemelor energetice.”
Auditul cibernetic reprezintă o evaluare detaliată și sistematică a măsurilor de securitate implementate într-o infrastructură IT, în rețele și dispozitive, pentru a identifica posibile vulnerabilități și disfuncționalități. În acest context, introducerea acestei obligații pare că vine drept măsură proactivă pentru a proteja infrastructura critică de posibile atacuri care ar putea afecta funcționarea sistemelor energetice.
Legea nr. 58/2023 definește auditul de securitate cibernetică ca o evaluare sistematică a politicilor, procedurilor și măsurilor de protecție implementate la nivelul rețelelor și sistemelor informatice, având ca scop identificarea disfuncționalităților și vulnerabilităților și furnizarea soluțiilor de remediere. Această lege stabilește cadrul necesar pentru implementarea auditului de securitate cibernetică ca măsură proactivă, destinată prevenirii incidentelor și consolidării apărării împotriva atacurilor cibernetice.
Ce spun specialiștii
Asociația Prosumatorilor și a Comunităților de Energie (APCE) arată că, prin această prevedere, Autoritatea Națională de Reglementare în domeniul Energiei (ANRE) își dorește, de fapt, controlul total al invertoarelor din România.
„Scenariul descris în Nota de Fundamentare, parcă rupt dintr-un film cu James Bond, ne prezintă o ipoteză a ANRE în care invertoarele cu componente chinezești spionează prosumatorii, trimițând date sensibile pe serverele din China: producția, consumul de energie și, eventual, starea vremii din România. Mai mult, conform „specialiștilor” ANRE, aceste invertoare, conectate la rețelele locale, pot fi vulnerabile la spionaj dacă sunt compromise și, mai departe, pot vulnerabiliza tot Sistemul Energetic Național.
Asistăm la o încercare marca ANRE de a prelua controlul tuturor invertoarelor din România, mergând cu un scenariu pe alocuri tragi-comic, apelând la narative ca „siguranța națională” și implicând o instituție de siguranță cibernetică. Ne miră că CSAT (Consiliul Suprem de Apărare a Țării) a fost lăsat la o parte...
Motivele invocate în Nota de Fundamentare privind obligativitatea auditului cibernetic anual sau periodic (gen ITP la autoturisme) atât a invertoarelor prosumatorilor din toată România, cât și a routerelor și a rețelelor în care aceste invertoare funcționează ar face să râdă și un novice din zona IT.
Ne întrebăm cine va plăti aceste comisii de ciberneticieni și specialiști în securitate informatică care vor bate România în diagonală spre a verifica fiecare invertor în parte, în scopul de a dejuca planurile malefice ale spionajului chinez. Și toate acestea, după ce Transelectrica, instituție a statului român, a autorizat aceste invertoare la vânzare în România. Ca cifră, putem discuta de peste 120.000 de invertoare fabricate în China la ora actuală care funcționează în România. Și mai așteptăm aproximativ 45-50.000 prin Casa Verde 2024.
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a formulat în trecut un răspuns la cererea A.P.C.E. privind accesul la datele din invertoarele românilor, prin care menționează că datele furnizate de către invertor se supun normelor GDPR și sunt date cu caracter personal. Acest răspuns va fi comunicat la cerere și către ANRE în cazul în care nu cunoaște legislația în domeniu”, arată APCE.
