ΡΑΕ: Μέτρα για τις κυβερνοεπιθέσεις στο σχέδιο για την αντιμετώπιση κινδύνων στην ηλεκτροπαραγωγή

Μέτρα θωράκισης και άμυνας έναντι κυβερνοεπιθέσεων σε κρίσιμα συστήματα των ενεργειακών υποδομών της χώρας, περιλαμβάνει μεταξύ άλλων, το επικαιροποιημένο σχέδιο αντιμετώπισης κινδύνων της ΡΑΕ στον τομέα της ηλεκτρικής ενέργειας.

Λίγες μέρες μετά την επίθεση στα συστήματα του ΔΕΣΦΑ που επιβεβαιώνουν τους φόβους αλλά και τους κινδύνους που διατρέχουν οι ενεργειακοί φορείς της χώρας, το σχέδιο του Ρυθμιστή ενισχύει τα επίπεδα  Κυβερνοασφάλειας των Οργανισμών Ηλεκτρικής Ενέργειας, συντάσσοντας μέτρα προληπτικού χαρακτήρα και αντιμετώπισης κακόβουλων ενεργειών.

Ήδη, η Γενική Διεύθυνση Κυβερνοασφάλειας, έχει προβεί σε αξιολόγηση του υφιστάμενου στρατηγικού σχεδιασμού και αναπτύσσει κατάλληλη μεθοδολογία για την επικαιροποίησή του στο πλαίσιο πέντε θεμελιωδών Στρατηγικών Στόχων που είναι: ένα λειτουργικό σύστημα διακυβέρνησης, η θωράκιση κρίσιμων υποδομών, η βελτιστοποίηση διαχείρισης περιστατικών και προστασίας της ιδιωτικότητας και ένα σύγχρονο επενδυτικό περιβάλλον με έμφαση στην προαγωγή της Έρευνας και Ανάπτυξης.

Ειδικότερα, για θωράκιση κρίσιμων υποδομών, την ασφάλεια και τις νέες τεχνολογίες γίνεται ειδική αναφορά στην αναβάθμιση των μέτρων προστασίας των κρίσιμων υποδομών και στην περαιτέρω θωράκισή τους μέσα από μία σειρά συγκεκριμένων δραστηριοτήτων που θα πρέπει να υλοποιηθούν από τους υπόχρεους φορείς, στους οποίους και εμπίπτουν οι Οργανισμοί Ενέργειας, καθώς και από τους Παρόχους Ψηφιακών Υπηρεσιών.

Σχέδιο στρατηγικής

Στο πλαίσιο αυτό, οι ενεργειακοί φορείς είναι υποχρεωμένοι να εκπονήσουν και να αποστείλουν πλάνο υλοποίησης στην Εθνική Αρχή Κυβερνοασφάλειας που υπάγεται στο υπουργείο Ψηφιακής Πολιτικής και στην ΡΑΕ.

Επιπλέον, η Εθνική Αρχή Κυβερνοασφάλειας, πρέπει να αποστέλλει στη ΡΑΕ, μία φορά το χρόνο μια συγκεντρωτική αναφορά για τον τομέα Ενέργειας με ενημέρωση των περιστατικών κυβερνοεπίθεσης καθώς και να έχει ορίσει Υπεύθυνο Ασφάλειας Πληροφοριακών Συστημάτων (CISO) και ομάδα Κυβερνοασφάλειας (Cybersecurity Office).

Ο CISO είναι υπεύθυνος για την παροχή στρατηγικού επιπέδου οδηγιών για τα θέματα κυβερνοασφάλειας του Οργανισμού, την επίβλεψη και παρακολούθηση του συστήματος διαχείρισης ασφάλειας πληροφοριών και τη διασφάλιση της συμμόρφωσης του Φορέα με τις αντίστοιχες νομοθετικές και κανονιστικές ρυθμίσεις. Πρόκειται για ρόλο με αναγκαία ηγετικά χαρακτηριστικά και με ευθύνη να συντονίσει τους στόχους της κυβερνοασφάλειας με τους επιχειρησιακούς στόχους εντός του Οργανισμού.

Επιπροσθέτως φέρει κομβικό ρόλο στη διαχείριση ενός περιστατικού Κυβερνοασφάλειας καθώς και στην ενημέρωση και τη συνεργασία με τους αρμόδιους φορείς.

Oι Οργανισμοί  οφείλουν επίσης να καθιερώσουν ένα ολοκληρωμένο Πλαίσιο Κυβερνοασφάλειας (Information Security Management System), μέσω του οποίου θα σχεδιάζονται, υλοποιούνται, ελέγχονται, συντηρούνται και ενημερώνονται όλα τα τεχνικά και οργανωτικά μέτρα ασφαλείας, όπως προκύπτουν από τα αποτελέσματα της Διαχείρισης Κινδύνων και από τους στρατηγικούς στόχους του Οργανισμού.

Ένα κοινό πλαίσιο Κυβερνοασφάλειας αναμένεται να προδιαγραφεί στα πλαίσια του επερχόμενου Κώδικα Δικτύου για την Κυβερνοασφάλεια (“Network code on Cybersecurity”), ενώ συγκεκριμένες κατευθύνσεις θα δοθούν και μέσω του Πλαισίου Πιστοποίησης Κυβερνοασφάλειας από τον ENISA (Cybersecurity Framework Certification) το οποίο θα είναι κοινό σε επίπεδο Ευρωπαϊκής Ένωσης.

Πλάνο Αντιμετώπισης Επιθέσεων

Με βάση το πλάνο αντιμετώπισης περιστατικών κυβερνοασφάλειας, η ικανότητα των Οργανισμών να ανιχνεύουν κακόβουλες επιθέσεις, να τις αντιμετωπίζουν και να ανακτούν τη λειτουργικότητά τους μετά από παραβίαση των συστημάτων τους αποτελεί κεφαλαιώδους σημασίας προτεραιότητα και οδηγεί στη διασφάλιση της επιχειρησιακής συνέχειας και στην αδιάλειπτη παροχή των υπηρεσιών του Φορέα.

Ένα Πλάνο Αντιμετώπισης Περιστατικών για να είναι επιτυχημένο θα πρέπει να είναι όσο το δυνατόν πιο λεπτομερές με συγκεκριμένα σενάρια επιθέσεων, να είναι ενημερωμένο, να ελέγχεται και να εξομοιώνεται ανά τακτά χρονικά διαστήματα.

Κάθε οργανισμός Ηλεκτρικής Ενέργειας θα πρέπει να έχει συντάξει Πλάνο Αντιμετώπισης Περιστατικών Κυβερνοασφάλειας σύμφωνα με τα διεθνή πρότυπα, τις οδηγίες της Εθνικής Αρχής Κυβερνοασφάλειας και το Εγχειρίδιο Κυβερνοασφάλειας.

Επίσης, πέραν του πλάνου, πρέπει να αναπτύξει επί μέρους σχέδια αντιμετώπισης συγκεκριμένων σεναρίων. Στόχος των σεναρίων είναι να διαχωρισθούν και να τυποποιηθούν οι ενέργειες απόκρισης ανά τύπο περιστατικού καθώς και να αποτελέσουν την βάση των δοκιμών επί του Πλάνου Αντιμετώπισης Περιστατικών.

Ένα τυπικό Πλάνο Αντιμετώπισης Περιστατικών Κυβερνοασφάλειας οφείλει να περιλαμβάνει όλες τις ενέργειες που πρέπει να κάνει ένας οργανισμός ώστε να είναι προετοιμασμένος να αποτρέψει ή να αντιμετωπίσει ένα περιστατικό όπως για παράδειγμα: αναλυτικές προδιαγραφές αναφορικά με Εκτίμηση Επιχειρησιακού Αντικτύπου (Business Impact Analysis), Σχέδιο Συνέχειας Εργασιών (Business Continuity Plan), Σχέδιο Ανάκαμψης από Καταστροφή (Disaster Recovery Plan), σύμφωνα με τις οδηγίες της Εγχειριδίου Κυβερνοασφάλειας της Εθνικής Αρχής Κυβερνοασφάλειας, καθορισμό ρόλων και ομάδων, πολιτικών και διαδικασιών Αντιμετώπισης Περιστατικών Κυβερνοασφάλειας κ.α.

Πέραν του γενικού πλάνου Αντιμετώπισης Περιστατικών, κάθε Οργανισμός θα πρέπει να συντάξει λεπτομερές πλάνο του οποίου οι ενέργειες θα διαφοροποιούνται με βάση την απειλή.

Οι βασικές κατηγορίες απειλών κυβερνοασφάλειας είναι: η απόκτηση μη εξουσιοδοτημένης πρόσβασης μέσω Advanced Persistent Threat (APT), η μόλυνση με κακόβουλο λογισμικό (malware/ransomware), η επίθεση κατανεμημένης άρνησης παροχής υπηρεσιών (distributed denial of service attack), επίθεση σε SCADA συστήματα, ηλεκτρονικό ψάρεμα, Απομακρυσμένη Διείσδυση – Διαγραφή Κρίσιμων Παραγωγικών Δεδομένων κ.α.