(Nie)bezpieczne systemy energetyczne

(Nie)bezpieczne systemy energetyczne

Systemy informatyczne polskich elektrowni zostały zainfekowane przez wirusa. To nie scenariusz filmowy tylko rzeczywistość, która stała się kanwą thrillera "Blackout" Marca Elsberga. Czy jesteśmy przygotowani na ataki terrorystyczne na energetykę i długotrwałe odcięcie od prądu?

Pracując nad recenzją "Blackoutu" skonfrontowałem scenariusz powieści z realiami systemów energetycznych i zarządzania kryzysowego. Moi rozmówcy przyznają, że katastroficzny scenariusz – podobny do tego z powieści Marca Elsberga – w którym setki milionów Europejczyków zostają odcięte od dostaw prądu na wiele dni – może wydarzyć się naprawdę.

Na pewno jednak zamach byłby trudniejszy do przeprowadzenia, niż opisuje to autor. Elsberg sam zresztą podkreśla w rozmowie z WysokieNapiecie.pl, że scenariusz nie miał dostarczać instrukcji ataku terrorystycznego i dlatego część wrażliwych detali została pominięta lub zmieniona.

Niemniej kilka przykładów z niepokojąco bliskiej historii pokazuje, że hakerzy nie ustają w wysiłkach, aby złamać zabezpieczenia infrastruktury energetycznej.

Uwaga – w dalszej części artykułu znajdziesz istotne elementy fabuły – jeśli nie chcesz ich poznać zbyt wcześnie, dokończ lekturę tego tekstu po przeczytaniu "Blackoutu". Czy warto? O tym piszemy w naszej recenzji powieści "Blackout" Marca Elsberga.

Jak sparaliżować system energetyczny?

Elsberg opisuje trzy sposoby, na które zamachowcy zdestabilizowali i doprowadzili do całkowitego wyłączenia sieci energetycznych w większości państw Europy Zachodniej i Ameryki Północnej. Po pierwsze poprzez zainfekowanie kilku inteligentnych liczników, które rozprzestrzeniły wirusa na cały system inteligentnych sieci we Włoszech i spowodowały jednoczesne wyłączenie wszystkich odbiorców energii w tym kraju.

Po drugie poprzez wprowadzenie wirusa do systemu SCADA (odpowiedzialnego za zarządzanie elektrowniami) jednego z największych dostawców tego systemu na świecie.

Po trzecie poprzez fizyczne niszczenie infrastruktury przesyłowej w Niemczech. Zamachowcy wysadzili w powietrze słupy linii wysokiego napięcia i stacje transformatorowe.

Czy to jest możliwe?

W przypadku ostatniej, najmniej wyrafinowanej metody, nie ma większych wątpliwości. Wysadzenie w powietrze linii energetycznych i stacji transformatorowych doprowadziłoby do rozpadu systemu na wiele mniejszych sieci. Jednak te, po odpowiednim skonfigurowaniu, nadal mogłyby pracować.

– Aby skutecznie odciąć odbiorców wysadzając fragmenty sieci, trzeba by dobrze poznać ich konfigurację. Podczas niedawnej wichury mieliśmy u siebie kilkanaście nieczynnych linii, a mimo tego wszystkie GPZ-y [największe stacje transformatorowe – red.] działały – mówi nam menadżer jednej ze spółek sieciowych.

Sieci buduje się tak, aby po wyłączeniu jednego dowolnego fragmentu, nadal mogły działać bez zakłóceń.

Sieci buduje się zresztą tak, aby były przegotowane na wyłączenie jednego dowolnego fragmentu i nadal mogły działać bez zakłóceń. W przypadku kluczowej infrastruktury – np. dostaw energii do elektrowni atomowych albo dużych aglomeracji miejskich – przyjmuje się niekiedy o stopień wyższy standard bezpieczeństwa sieci – taki, żeby wyłączenie nawet dwóch dowolnych elementów

Blackout na pograniczu USA i Kanady w 2003 roku dotknął 50 mln ludzi i kosztował życie kilkunastu osób i blisko 10 mld dol. strat (fot. Dan Nguyen, CC BY 2.0)

nie spowodowało odłączenia odbiorców. W Polsce nie zawsze jeszcze sieci są na tyle rozwinięte, aby spełniać to pierwsze kryterium, ale spółki sieciowe inwestują w taki poziom bezpieczeństwa. W Niemczech, gdzie fabuła "Blackoutu" umiejscowiła zamachowców, sieci są bardziej odporne na fizyczne zniszczenia ich pojedynczych fragmentów.

Jednak słabo rozwinięte połączenia energetyczne z sąsiednimi krajami, paradoksalnie, byłyby naszym atutem. Na północy i wschodzie połączenia funkcjonują asynchronicznie, co w praktyce oznacza, że jakiekolwiek zakłócenia u naszych wschodnich sąsiadów nie mogłyby się przenieść na naszą sieć. Z kolei połączenia na zachodzie i południu są na tyle nieliczne, że w przypadku jakiegokolwiek zagrożenia odłączenie kilku linii pomogłoby Polsce uniknąć blackoutu ogarniającego Europę Zachodnią.

Im inteligentniejsze, tym groźniejsze?

Drugi sposób na destabilizację systemu energetycznego, wykorzystany w "Blackoucie" to wirus wprowadzony do kilku inteligentnych liczników. Dzięki wymianie informacji licznika z dalszą częścią systemu (w ten sposób dokonuje się m.in. zdalnego odczytu zużycia energii), wirus rozprzestrzenił się na pozostałe inteligentne liczniki, które Włosi zainstalowali już kilka lat temu u niemal wszystkich odbiorców.

– Nie ma technicznych przeszkód w rozprzestrzenianiu wirusa tą drogą – przyznaje przedstawiciel spółki energetycznej. – Ale w praktyce byłoby to niezmiernie trudne. Wirus musiałby najpierw zostać wprowadzony do licznika z pominięciem jego zabezpieczeń, później wędrować "w górę" do koncentratorów na stacjach transformatorowych, gdzie zmienia się system i jeszcze dalej, z pominięciem kolejnych zabezpieczeń, do systemu centralnego, a następnie wrócić tą samą drogą do innych liczników. Na każdym poziomie są bardzo dobre zabezpieczenia i stały monitoring – uspokaja.

Atak w serce elektrowni

Wirus, który zainfekował setki instalacji przemysłowych na całym świecie dostał się także do oprogramowania polskich elektrowni.– Trzeci sposób ataku, przez wprowadzenie wirusa do systemu SCADA elektrowni wydaje się najprostszy – kontynuuje nasz rozmówca. – Słynnym przykładem jest wirus Stuxnet, który uszkodził część instalacji w irańskiej elektrowni atomowej i zainfekował oprogramowanie w wielu innych elektrowniach na całym świecie. My także byliśmy zainfekowani – przyznaje rozmówca WysokieNapiecie.pl.

Operatorzy na całym świecie pilnują, aby komputery odpowiedzialne za sterowanie pracą elektrowni nie były połączone ani z Internetem, ani z komputerami biurowymi. Jednak informacje o pracy urządzeń siłowni muszą być przynajmniej od czasu do czasu zgrywane na inne komputery, wtedy bez połączenia nie da się obyć. Te są jednak bardzo dobrze szyfrowane i kontrolowane.

Jak zatem wirus znalazł się w polskiej elektrowni? W zupełnie banalny sposób – został przyniesiony na pendrivie przez jednego z nieświadomych zagrożenia pracowników. W ten sam sposób wirus dostał się do elektrowni w Iranie, która byłą celem tego ataku i wielu innych elektrowni, gdzie nie wyrządził żadnych szkód, jednak głównie dlatego, że tak został zaprogramowany.

Nie jesteśmy przygotowani

Bez względu na przyczynę blackoutu – bo w końcu największe dotychczasowe awarie były powodowane przez naturę albo błędy ludzi, a nie terrorystów – nie jesteśmy na niego wystarczająco przygotowani. Spośród największych polskich miast scenariusz blackoutu poważnie został potraktowany tylko w planie zarządzania kryzysowego Warszawy. Jednak i on ukazuje przede wszystkim problemy, z którymi musielibyśmy sobie radzić. Na przykład w warszawskich szpitalach zapasy paliwa pozwoliłyby na pracę agregatów prądotwórczych zaledwie przez kilkanaście godzin.

Czytaj także: Jeśli dojdzie do blackoutu, zostaniemy bez wody

– W Warszawie nie ma właściwie w ogóle zasilania awaryjnego dla wodociągów. Wody w kranach nie byłoby od samego początku. Zapasy wody pitnej skończyłyby się po dwóch dniach – mówi nam osoba związana z zarządzaniem kryzysowym w stolicy. – Ale najpilniejszym problemem byłaby kanalizacja. Bez przepompowni ulice zostałyby dosłownie zalane ściekami.

– Kiedyś do życia potrzebna była woda i powietrze. Teraz powietrze i prąd, bo bez niego wody i tak nie będzie – podsumowuje nasz rozmówca.

Zobacz także...

Komentarze

Patronat honorowy

Nasi partnerzy

PGEPG SilesiaPSE