Yenilenebilir enerji şirketleri, altyapılarının siber güvenliğe hazırlığı konusunda daha geleneksel emsallerinin gerisinde kalıyor, bu da kritik altyapıyı hedef alan saldırganların “yeşil” enerji şirketleri arasında daha kolay av bulabileceği endişelerini artırıyor.
Dünya çapında 250 enerji şirketi üzerinde yapılan bir araştırmada, petrol ve doğal gaz şirketleri en yüksek puanı alırken, ortalama şirket 94 veya “A” puanı alırken, en düşük puanlar ortalama 85 puan alan yenilenebilir enerji şirketlerine aitti. bir “B.” Tehdit araştırmalarından sorumlu kıdemli başkan yardımcısı Ryan Sherstobitoff, yeşil enerji şirketlerinin dağıtılmış üretim altyapısına (çatı üstü güneş veya rüzgar türbinleri gibi) sahip olma eğiliminde olduklarını ve genellikle geleneksel enerji şirketlerine göre daha fazla İnternet bağlantısına sahip olduklarını söylüyor. Çalışmayı yürüten siber güvenlik risk firması SecurityScorecard.
Genel olarak geleneksel enerji altyapısı ile yenilenebilir enerji altyapısı arasındaki saldırı yüzeylerinin oldukça farklı olabileceğini söylüyor.
Sherstobitoff, “Petrol ve gazın eski teknolojileri var, ancak bu eski teknolojiler büyük olasılıkla İnternet’e yönelik değil” diyor. “Yenilenebilir enerjinin siber güvenlik duruşu mutlaka aynı olmayabilir [to the level of other] kritik altyapının kendisi… ancak yine de halka açık portallar ve halka açık başka sorunlar var.”
Endişeler, ABD ve diğer ülkelerin yeşil enerji altyapısına yatırım yapması ve daha fazla siber güvenlik savunması oluşturmak için çabalayın Kritik altyapılarını korumak için. Ulus-devlet grupları ABD ve müttefiklerinin kritik altyapısını hedef aldıYeşil enerji üretiminin dağıtılmış doğası yaygın kesintileri hafifletebilirken, İnternet bağlantıları zayıf bir noktayı temsil ediyor. Güvenlik Puan Kartı raporuKPMG danışmanlığıyla işbirliği içindeydi.
Dağıtılmış Yeşil Sistemlerin Savunması Daha Zor
Genel olarak enerji sektörü firmalara yönelik ankette oldukça iyi performans gösterdi. Verilerin toplandığı 250 kuruluştan %81’i A veya B puanı aldı. Enerji şirketlerinin yalnızca %8’i dış altyapılarında tehlike işaretleri gösterdi ancak ihlallerin üçte ikisi üçüncü taraf ortaklar olan SecurityScorecard ile bağlantılıydı. bildirdi.
Sherstobitoff, saldırıların yenilenebilir enerji şirketlerinin üretim tesislerini yönetmelerini engelleyerek tüketicilerin gücünü kesintiye uğratabileceğini söylüyor.
“Bu yenilenebilir enerji cihazlarının tekrar bağlanma ve eve telefon etme yeteneğinin bozulduğunu hayal edebilirsiniz, o zaman kaos yaşarsınız, çünkü o zaman giriş yapamazlar, durumlarını alamazlar” diyor. “Eğer [the infrastructure] Çalışması için bir durum kodu alınmasına bağlı, tekrar bağlanması gerekiyor… bu da başka bir işlev bozan şey.”
Zaten bazı yeşil enerji altyapıları saldırganların eline geçti. Elektrikli araçlara yönelik şarj istasyonları genellikle bağlantı gerektirir, bu da onları hem uzlaşmaya hem de bozulmaya karşı savunmasız. 2022’de Ukrayna yanlısı hacktivistler, Ukrayna’ya destek mesajları göstermek için Moskova’daki şarj cihazlarını tehlikeye attı. FBI, 2019’da bir güneş enerjisi firmasının, yama yapılmamış bir güvenlik duvarını hedef alan bir hizmet reddi saldırısının ardından ABD’nin batısındaki 500 megavatlık rüzgar ve güneş sahasını artık yönetemeyeceğini belirtti. Temmuz ayında Özel Sektör Bildirimi (PIN).
Risk, çatı üstü güneş enerjisini giderek daha fazla benimseyen ve güneş enerjisini sunabilmek ve kredi alabilmek için bağlanmaya ihtiyaç duyan ev sahiplerine kadar uzanabilir.
Foley & Lardner LLP’nin danışmanı Morten Lund, enerji şirketlerine yönelik bir kısa yazısında şöyle yazdı: “Küçük güneş enerjisi sistemleri büyümeye devam ettikçe bu konu daha da önemli hale gelecektir. Her ev bir enerji santrali olduğunda, her ev bir hedeftir.” . “Güneş enerjisinin dağıtılmış yapısı birçok yönden yıkıcı arızalara karşı önemli bir koruma sağlıyor. Ancak proje düzeyinde yeterli koruma olmadığında bu güç hızla zayıflığa dönüşüyor.”
Üçüncü Taraf Tedarikçiler Endişeye Neden Oluyor
Enerji sektörü aynı zamanda daha fazla üçüncü taraf riskine açıktır; enerji şirketlerindeki ihlallerin %47’si üçüncü bir tarafın katılımıyla gerçekleşirken, bu oran tüm sektörlerde %29’dur. Buna ek olarak, FBI’ın PIN’inde belirttiğine göre, birçok yeşil enerji projesi yerel olarak yönetiliyor veya daha küçük bir girişim tarafından geliştiriliyor ve bu da özellikle ABD’nin daha yeşil altyapıyı benimsemek için acele ettiği bir dönemde riskleri artırabiliyor.
FBI, “Federal ve yerel yasama organlarının yenilenebilir enerjileri savunmasıyla birlikte, endüstri buna ayak uyduracak şekilde genişleyecek ve kötü niyetli siber aktörler için daha fazla fırsat ve hedef sunacak” dedi.
ABD Ulusal Siber Uzay Stratejisi yenilenebilir enerjiye sesleniyor çevrimiçi ortamda savunulması gereken önemli bir sektör olarak. Zengin ülkeler, daha iyi düzenlemelere sahip olduklarından ve kuruluşların güvenliğe harcayacak daha fazla bütçeye sahip olduğundan, fakir ekonomilere göre daha iyi savunmaya sahip olma eğilimindedir.
Enerji firmalarının siber güvenliğe yatırım yapmasının en önemli nedeni mevzuatlar olmaya devam ediyor; şirketlerin neredeyse yarısı (%49) bütçe ayırmanın ilk üç nedeni arasında mevzuat gerekliliklerini belirtirken, %38’i şirketlerini etkileyen bir siber güvenlik olayı veya ramak kala durumunu belirtiyor. risk yönetimi danışmanlığı DNV’nin “Enerji Siber Önceliği 2023” raporuna.
DNV Cyber’ın endüstriyel ve operasyonel teknoloji siber güvenlik direktörü Auke Huistra, “Yenilenebilir tesislerin çoğu siber güvenlik göz önünde bulundurularak geliştirilmedi, ancak bazı şirketler hızla bu duruma ayak uyduruyor” diyor. “Görüşmelerimiz sonucunda olgunlaşmamış ama aynı zamanda olgun yeşil enerji şirketlerini de gördük. Gördüğümüz şey şu ki [cybersecurity gets] sektördeki olaylar ve düzenlemeler nedeniyle giderek daha fazla ilgi artıyor.”