Jedno z posledních varování NÚKIB se týká smart meteringu, konkrétně chytrých elektroměrů, jejich připojování k internetu a nakládání s daty. Důvod i vysvětlení jsou v podstatě logické a oprávněné. Popsaný scénář napadení elektroměrů a jejich vypnutí (nebo například cyklické spínání) by měl zásadní dopad na bezpečný provoz distribuční a přenosové soustavy a zabezpečení dodávek elektrické energie. S daty ze smart meteringu se totiž počítá pro provoz budoucího energetického datového centra, zodpovědného za koordinaci dodavatelů energie a dostupných zdrojů.
Tento příklad lze zkopírovat jako precedent, který v budoucnu ovlivní výběr technologií pro vývoj IoT aplikací pro měření a řízení dodávek energií, vody, tepla a provozu dalších částí kritické infrastruktury na národní i evropské úrovni. Vždy je zřejmý aspekt bezpečnosti sítě, blackoutů, přerušení dodávek nebo i bezpečnosti osob.
Kde brát?
Ve zdůvodnění doporučení NÚKIB uvádí, že řešením bude buď nákup technologie, která pochází ze států EU, EHP, NATO a OECD, nebo volba jiného způsobu snížení identifikovaného rizika, pokud to bude možné a účelné. Bezpečnostní mezeru představuje jmenování OECD. Například Čína je členem OECD, ale jak ukázala nedávná kauza Huawei, čínská technologie se z geopolitického hlediska líbit nemusí. Stejně tak komponenty nebo technologie z Ruska, řady afrických nebo středoamerických zemí. Takže zbývají výrobci z USA a EU. Klíčové komponenty z Koreje, Číny nebo bohužel i z Japonska mohou snížit pomyslný rating v očích regulátora. A to jde nejen o čipy, ale také o komunikační moduly nebo celé ekosystémy pro cloud.
Odpovědnost se týká každého, kdo se do dotčeného projektu dodavatelsky zapojí. Osoby povinné podle zákona o kybernetické bezpečnosti musí hrozbu zohlednit ve své analýze rizik. Pokud bude riziko neakceptovatelné, musí tomuto výsledku přizpůsobit svůj další postup při výběru dodavatele poptávané technologie a svou zadávací dokumentaci. S podobným omezením se tedy firmy v celém dodavatelském řetězci budou setkávat častěji a to samozřejmě vyřadí ze hry řadu dovozců, kteří nemohou garantovat bezpečnostní parametry. Omezení se dotkne i evropských výrobců, protože bezpečnostní hrozba, varování před ní i metodika předpokládá nejen hardwarová, ale zejména softwarová rizika (hrozby, plynoucí z použití technických nebo programových prostředků…).
To se dotýká jádra embedded vývoje, tedy bezpečnosti od firmware, sběru dat až po cloudové aplikace pro řízení sítí. A zde se kruh uzavírá, protože celý smart metering je atraktivní pouze díky využití těchto nástrojů ve velkém měřítku.
Tento příklad tak reálnou a nezanedbatelnou bezpečnostní hrozbu mění na obchodní riziko pro vývojáře a výrobce, kteří s ním musí do budoucna počítat. V tuto chvíli jde zatím jen o chytré elektroměry, přímo zapojené do distribuční soustavy a s možností vypínání různých typů zátěže a zdrojů. Je pravděpodobné, že podobné hrozby a nutná ochrana proti nim se budou šířit i do dalších oblastí, tak, jak poroste význam smart technologií v oblasti utilit, průmyslu, dopravy i zásobování obyvatel. Je otázkou, zda je lepší požadavky definovat technicky nebo politicko strategicky jako v tomto případě.
https://www.nukib.cz/cs/infoservis/hrozby/1837-nukib-vydal-varovani-pred-pouzitim-chytrych-elektromeru-ze-zemi-s-neduveryhodnym-pravnim-prostredim/
https://energy.ec.europa.eu/topics/markets-and-consumers/smart-grids-and-meters_en
https://energy.ec.europa.eu/topics/energy-security/critical-infrastructure-and-cybersecurity_en
https://www.mvcr.cz/cthh/clanek/ochrana-kriticke-infrastruktury-ochrana-kriticke-infrastruktury.aspx