Από
την αρχή του έτους πληθαίνουν οι αναφορές για κυβερνοεπιθέσεις κατά μεγάλων πληροφοριακών συστημάτων που
χρησιμοποιούνται σε εγκαταστάσεις παραγωγής ενέργειας, τόσο στην
ηλεκτροπαραγωγή και σε πετρελαϊκές
μονάδες (λ.χ. διυλιστήρια, πλατφόρμες εξόρυξης) αλλά και σε μεγάλες
βιομηχανικές μονάδες που χρησιμοποιούν αυτοματοποιημένα συστήματα και
robot. Όπως έγινε γνωστό στο πρόσφατο
συνέδριο
Black
Hat
για
κυβερνοασφάλεια που πραγματοποιήθηκε την περασμένη εβδομάδα στο
Las
Vegas
των
ΗΠΑ οι περισσότερες επιτυχείς επιθέσεις πραγματοποιούνται από κακοποιά στοιχεία
τα οποία έχουν εξασφαλίσει παράνομη πρόσβαση στα κεντρικά πληροφοριακά
συστήματα των θυμάτων τους.
Τις
περισσότερες μάλιστα φορές, όπως έγινε γνωστό στο άνω συνέδριο, οι
κυβερνοεπιθέσεις είναι απόλυτα επιτυχείς, σε βαθμό που τα θύματα εταιρείες και
οργανισμοί σπεύδουν να πληρώσουν τα λύτρα (ομιλούμε για χρηματικά ποσά άνω των
$1.0 εκατ.) προκειμένου να περιορίσουν την ζημιά στα συστήματά τους και να
αποκαταστήσουν τη λειτουργία τους. Έχει ενδιαφέρον η πληροφορία ότι πολύ σπάνια
οι εταιρείες που πλήγονται καταφεύγουν σε καταγγελίες στην αστυνομία ή στις
εισαγγελικές αρχές φοβούμενοι ότι σε μία τέτοια περίπτωση θα αντιμετωπίσουν την
πλήρη καταστροφή (
corruption)
του πληροφοριακού τους συστήματος. Τα στοιχεία αυτά επιβεβαιώνονται και από
μελέτη – έρευνα της ΙΒΜ η οποία διαπίστωσε ότι επτά στις δέκα εταιρείες
πληρώνουν τα λύτρα που ζητούν οι
hackers.
Αυτό φάνηκε ξεκάθαρα στην περίπτωση του ιού
WannaCry
τον
περασμένο Μάιο όπου μεταξύ άλλων επλήγησαν βιομηχανικές μονάδες της
HONDA
και
το
National
Health
Service
της
Μ. Βρετανίας,
Σύμφωνα
με τον ανεξάρτητο ερευνητή
Jason
Staggs
το
τελευταίο διάστημα στις ΗΠΑ έχουν υποστεί επιθέσεις μεγάλες μονάδες παραγωγής
ηλεκτρικής ενέργειας που χρησιμοποιούν συμβατικά καύσιμα (λ.χ. κάρβουνο, φ.
αέριο) αλλά και αιολική ή ηλιακή ενέργεια. Βάσει υπολογισμού του ανωτέρω μελετητή,
το κόστος της ζημιάς ενός μεσαίου μεγέθους αιολικού πάρκου (30-40 MW) στις ΗΠΑ
από κυβερνοεπίθεση μπορεί να ανέλθει στα $700.000 την ημέρα από διαφυγόντα
έσοδα και πρόστιμα από τις εταιρείες κοινής ωφελείας όπου τα αιολικά πάρκα διοχετεύουν
την παραγόμενη ηλεκτροπαραγωγή. Για αυτό τον λόγο και για αντιμετώπιση του
φαινομένου των κυβερνοεπιθέσεων προτείνεται η ευρεία χρήση συστημάτων
ηλεκτρονικής κρυπτογράφησης (
encryption
systems).
Το
θέμα των κυβερνοεπιθέσεων και, μάλιστα, αυτών που αφορούν ενεργειακά συστήματα έχει
απασχολήσει εκτενώς την Ευρωπαϊκή Επιτροπή, η οποία έχει θέσει σε εφαρμογή δύο
σχετικές Οδηγίες, (α) την
Directive
on
Security
of
Network
Information
(
NIS)
και (β) την
Data
Protection
Regulation
(
GDPR).
Τα τρία βασικά ερωτήματα που απασχολούν την ΕΕ είναι, κατά πρώτον, εάν ο
ενεργειακός τομέας είναι ιδιαίτερα διαφοροποιημένος σε σχέση με άλλους τομείς, δεύτερον
ποιοι είναι οι άμεσοι κυβερνο-κίνδυνοι που αντιμετωπίζουν οι ενεργειακές
εγκαταστάσεις και τρίτον τι μέτρα πρέπει να ληφθούν άμεσα και μακροπρόθεσμα. Με
στόχο την αντιμετώπιση των ανωτέρω, η ΕΕ έχει συστήσει ειδική ομάδα
εμπειρογνωμόνων (
EECSP-
Expert
Group), η οποία έχει προχωρήσει στην
αναγνώριση δέκα (10) βασικών κυβερνοκινδύνων στην ενέργεια.
Οι
προτάσεις που έχουν ήδη υποβληθεί στην Κομισιόν από το
EECSP-
Expert
Group αποβλέπουν (α) στην ενίσχυση της ασφάλειας
των ενεργειακών συστημάτων που προσφέρουν βασικές υπηρεσίες στους λαούς των
χωρών-μελών, και (β) στην προστασία των πληροφοριών (
data), που περιέχονται στα εν λόγω
συστήματα και τη διαφύλαξη της εμπιστευτικότητας των πληροφοριών, σε ατομικό
επίπεδο, των Ευρωπαίων πολιτών.
Αλλά
και το Παγκόσμιο Συμβούλιο Ενέργειας (
WEC) έχει απασχολήσει το θέμα των κυβερνοεπιθέσεων,
αφού, το 2016, δημοσίευσε μία μελέτη, η οποία διερευνά τον καλύτερο τρόπο διαχείρισης
των κινδύνων στον κυβερνοχώρο, λαμβάνοντας υπόψη τις μεταβολές στην ενεργειακή
βιομηχανία και τις ενεργειακές υποδομές. Με βάση πληροφορίες από ένα ευρύ δίκτυο
εμπειρογνωμόνων της βιομηχανίας ενέργειας, η έκθεση αξιολογεί τους τρόπους με
τους οποίους τα τρωτά σημεία σε τρέχουσες και νέες ενεργειακές υποδομές αλλάζουν.
Η έκθεση συνιστά δράσεις τις οποίες φορείς λήψης αποφάσεων στον τομέα της
ενέργειας μπορούν να λάβουν είτε μεμονωμένα είτε ομαδικά για την «ενδυνάμωση»
της προστασίας του τομέα στις αυξανόμενες απειλές που λαμβάνουν χώρα στον
κυβερνοχώρο.
Τα
κύρια ευρήματα της μελέτης του
WEC
συνοψίζονται
ως εξής:
1. Οι
κυβερνοαπειλές είναι μεταξύ των κύριων ανησυχιών των ηγετικών στελεχών στο
κλάδο της ενέργειας.
2. Υπάρχει
αυξανόμενη διασύνδεση και ψηφιοποίηση του ενεργειακού τομέα.
3. Οι
κυβερνοεπιθέσεις αποτελούν πηγή έντονης ανησυχίας στον ενεργειακό τομέα.
4. Οι
προμηθευτές προϊόντων τεχνολογίας μπορούν να παίξουν σημαντικό ρόλο, προωθώντας
ή παρεμποδίζοντας, στην αύξηση της προστασίας των ενεργειακών υποδομών.
5. Οι
ενεργειακές εταιρείες αναγνωρίζουν ολοένα και περισσότερο την κυβερνοεπίθεση ως
βασικό κίνδυνο.
6. Η
κυβερνοασφάλιση είναι ένας μηχανισμός που βοηθά στην αντιστάθμιση πιθανών οικονομικών
ζημιών από μια κυβερνοεπίθεση.
Η
συγκεκριμένη μελέτη του
WEC
αναφέρει
περιπτώσεις που υπήρξαν κυβερνοεπιθέσεις σε ενεργειακές εταιρείες ανά τον
κόσμο, όπως σε εταιρεία που διαχειρίζεται πάνω από 50 εργοστάσια ηλεκτροπαραγωγής
στις ΗΠΑ και στον Καναδά μεταξύ 2013 και 2015, σε πυρηνικό εργοστάσιο στις ΗΠΑ
το 2003, σε εργοστάσιο ηλεκτροπαραγωγής στις ΗΠΑ το 2012, στο ουκρανικό σύστημα
ηλεκτρισμού το 2015, στην πετρελαϊκή εταιρεία της Σ. Αραβίας, την
Aramco, το 2012, στο ηλεκτρικό δίκτυο του
Ισραήλ το 2016, αλλά και σε πυρηνικό εργοστάσιο στη Νότια Κορέα το 2015.