Elektrinės virš 100 kW saugumo atitikties deklaravimas

Kodėl šis deklaravimas tapo svarbia praktine užduotimi elektrinių valdytojams

Elektrinės virš 100 kW saugumo atitikties deklaravimas šiandien yra svarbi praktinė užduotis įmonėms, valdančioms saulės, vėjo ar kitus elektros energijos gamybos objektus. Vien techninio elektrinės veikimo nebeužtenka. Reikia įvertinti, ar valdymo sistema yra apsaugota nuo neteisėtos prieigos, ar tinkamai valdomi nuotoliniai prisijungimai, ar aiškiai paskirstytos atsakomybės ir ar įdiegtos būtinos kibernetinio saugumo priemonės.

"Baltic cybersecurity" atlieka kibernetinio saugumo auditus atsižvelgdama į Lietuvos Respublikos elektros energetikos įstatymo 73³ straipsnį ir Valstybinės energetikos reguliavimo tarybos nutarimu patvirtinto AB „Energijos skirstymo operatorius“ pasinaudojimo elektros tinklais tvarkos aprašo reikalavimus. Mūsų tikslas – padėti elektrinių valdytojams pasirengti atitikčiai praktiškai, aiškiai ir laiku.

Kokiems objektams aktualūs šie reikalavimai

Šie reikalavimai aktualūs ne tik dideliems energetikos rinkos dalyviams. Jie svarbūs ir verslams, turintiems didesnės galios saulės elektrines, energijos kaupimo įrenginius ar kitą infrastruktūrą, kurios valdymas vyksta per automatizuotas sistemas.

Dažniausiai tai aktualu:

• saulės elektrinių savininkams ir operatoriams;
• vėjo elektrinių valdytojams;
• energijos kaupimo sistemų savininkams;
• pramonės įmonėms, turinčioms nuosavą gamybos ar kaupimo infrastruktūrą;
• organizacijoms, kurių objektuose naudojamas nuotolinis valdymas ar trečiųjų šalių prieiga.

Ką reiškia saugumo atitiktis praktikoje

Neužtenka vien pateikti formalią deklaraciją

Praktikoje saugumo atitiktis reiškia ne vien pasirašytą dokumentą. Ji reiškia, kad valdymo sistema turi būti realiai apsaugota, o įmonė turi gebėti parodyti, kaip ši apsauga įgyvendinta. Tai apima ir technines, ir organizacines priemones.

Svarbu įrodyti, kad:

• valdymo sistema nėra palikta neapsaugota nuo išorinio poveikio;
• prieigos prie sistemos yra valdomos;
• naudojami unikalūs prisijungimo duomenys;
• nuotolinė prieiga yra ribojama ir kontroliuojama;
• fizinis patekimas prie kritinių komponentų yra apribotas;
• paskirtas atsakingas asmuo ar paslaugų teikėjas, prižiūrintis kibernetinį saugumą.

Reikalingi realūs įrodymai, ne tik bendri teiginiai

Deklaruojant atitiktį svarbu turėti pagrindimą. Vien tik pasakyti, kad „viskas sutvarkyta“, nepakanka. Dažniausiai reikalingi tinklo architektūros aprašymai, prieigų valdymo informacija, techninių priemonių įrodymai, atsakomybių paskyrimai, audito rezultatai ir spragų šalinimo patvirtinimai.

Todėl pasirengimas deklaravimui turi būti organizuotas kaip projektas, o ne kaip paskutinės dienos formalumas.

Kodėl kibernetinio saugumo auditą verta atlikti iš anksto

Vienas svarbiausių dalykų – laikas. Jei auditas pradedamas per vėlai, dažnai nebelieka pakankamai laiko pašalinti neatitikimus ir tinkamai pasirengti dokumentiškai. Praktikoje būtent tai sukelia daugiausia problemų: ne pats reikalavimų supratimas, o pavėluotas pasirengimas.

Dažniausios problemos, kurias randame audito metu

Atliekant auditą dažniausiai nustatomos šios situacijos:

• perteklinės arba nepakankamai valdomos nuotolinės prieigos;
• bendri vartotojų prisijungimai;
• nepakankamas tinklo segmentavimas;
• neaiškios trečiųjų šalių prieigos teisės;
• trūkstamas atsakingų asmenų paskyrimas;
• nepakankamas fizinės apsaugos aprašymas;
• trūkstamas procedūrų ir įrodymų dokumentavimas.

Net jei elektrinė techniškai veikia gerai, tai dar nereiškia, kad jos valdymo aplinka atitinka reikalavimus. Dėl to išankstinis vertinimas padeda sumažinti riziką ir išvengti skubotų sprendimų prieš pateikiant deklaraciją.

Kaip "Baltic cybersecurity" padeda pasirengti atitikčiai

"Baltic cybersecurity" paslauga orientuota ne į teorinius paaiškinimus, o į praktinį rezultatą. Mes padedame klientui suprasti esamą situaciją, nustatyti spragas ir pasirengti taip, kad saugumo deklaravimas būtų pagrįstas realiais faktais.

1. Pradinis situacijos įvertinimas

Pirmiausia peržiūrime valdymo sistemos architektūrą, nuotolines prieigas, ugniasienių naudojimą, autentifikavimo praktiką, tinklo atskyrimą, fizinę apsaugą ir atsakomybių paskirstymą. Tai leidžia susidaryti aiškų vaizdą, kur šiuo metu yra rizikos.

2. Neatitikčių ir spragų nustatymas

Toliau identifikuojame techninius ir organizacinius trūkumus pagal taikomus reikalavimus. Klientas gauna ne abstrakčias pastabas, o konkretų sąrašą, ką reikia taisyti ir kodėl tai svarbu deklaravimo procese.

3. Prioritetinis veiksmų planas

Parengiame aiškų veiksmų planą, kuris padeda suprasti:

• ką būtina įgyvendinti pirmiausia;
• kokius sprendimus reikia koreguoti iki deklaracijos pateikimo;
• kokius įrodymus būtina surinkti;
• kaip sumažinti riziką, kad deklaracija bus grąžinta tikslinti.

4. Pagalba pasirengiant deklaravimo etapui

Esant poreikiui, padedame pasirengti ir pačiam pateikimo etapui: struktūruojame informaciją, padedame suformuoti logišką pagrindimą ir sumažiname riziką, kad atitikties procesas taps chaotiškas.

Kodėl verta veikti dabar, o ne vėliau

Kuo anksčiau pradedamas pasirengimas, tuo daugiau laiko lieka ne tik auditui, bet ir realiam spragų ištaisymui. Tai ypač svarbu tada, kai elektrinės valdymo sistemoje dalyvauja keli rangovai, įrangos gamintojai ar nuotolinės priežiūros partneriai. Tokiose situacijose pakeitimai dažnai užtrunka ilgiau, nei iš pradžių atrodo.

Ankstyvas pasirengimas leidžia:

• išvengti nereikalingo streso prieš terminus;
• turėti laiko techniniams pataisymams;
• surinkti reikalingą dokumentaciją;
• geriau valdyti išorinių tiekėjų įsitraukimą;
• užtikrinti sklandesnį deklaravimo procesą.

Kada verta kreiptis į "Baltic cybersecurity"

Jeigu jūsų įmonei aktualus elektrinės virš 100 kW saugumo atitikties deklaravimas, verta pradėti pasirengimą kuo anksčiau. "Baltic cybersecurity" padeda įvertinti esamą situaciją, nustatyti neatitiktis ir pasirengti pagal Lietuvos Respublikos elektros energetikos įstatymo 73³ straipsnio bei ESO tvarkos aprašo reikalavimus.

Užsakykite kibernetinio saugumo auditą elektrinei virš 100 kW

Jei norite, kad atitikties procesas būtų valdomas, aiškus ir pagrįstas realiais įrodymais, "Baltic cybersecurity" gali padėti. Atliekame kibernetinio saugumo auditą, identifikuojame spragas ir padedame pasirengti deklaravimui taip, kad sumažėtų rizika pavėluoti, suklysti ar pateikti nepakankamai pagrįstą informaciją.