Svarbiausia:

Energetikos objektų skaitmenizacija atveria naujas galimybes, tačiau kartu sukuria ir naujas rizikas, todėl valstybė numatė privalomą kibernetinio saugumo auditą saulės elektrinėms bei energijos kaupimo įrenginiams. Tai nėra tik formali biurokratinė procedūra, bet esminė verslo tęstinumo prielaida, padedanti apsisaugoti nuo išorinių grėsmių ir išvengti elektros gamybos sutrikimų. Atlikus šį vertinimą, būtina parengti ir atsakingoms institucijoms pateikti saugumo atitikties deklaraciją.

Pagrindiniai faktai:

Kas yra kibernetinio saugumo auditas saulės elektrinėms ir kodėl jis būtinas?

Kibernetinio saugumo auditas yra nepriklausomas jėgainės informacinių, valdymo bei ryšio sistemų įvertinimas, kuriuo siekiama nustatyti ir pašalinti sistemos pažeidžiamumus. Jis būtinas, kad jūsų saulės elektrinės ar hibridinės sistemos veiktų saugiai ir nebūtų paveiktos išorinių kibernetinių atakų, galinčių sutrikdyti energijos gamybą.

Šiandienos energetikos infrastruktūra smarkiai skiriasi nuo tos, kuri buvo naudojama prieš dešimtmetį. Šiuolaikinės saulės jėgainės yra sudėtingi technologiniai tinklai. Inverteriai, SCADA sistemos, energijos kaupikliai ir monitoringo platformos yra sujungtos į vieną tinklą, kuris labai dažnai valdomas nuotoliniu būdu per gamintojų debesijos platformas. Apsaugos trūkumas šiame lygmenyje gali turėti domino efektą visam nacionaliniam elektros tinklui. Kaip pabrėžia Ugnius Franckevičius, „VEESLA Tech“ vadovas (šaltinis: https://www.15min.lt/verslas/naujiena/bns-spaudos-centras/saules-elektrines-po-padidinamuoju-stiklu-kas-gresia-neivykdzius-kibernetinio-saugumo-reikalavimu-524605): „Saulės elektrinė šiandien – skaitmeninė sistema, kuri priima komandas, turi nuotolinį valdymą ir jungiasi prie tinklo. Neapsaugota ji tampa potencialiu taikiniu.“ Įsilaužėliams perėmus kontrolę, galima manipuliuoti energijos srautais, išjungti jėgaines ar net sukelti fizinę žalą įrangai. 

Kokie yra pagrindiniai reikalavimai ir terminai saulės elektrinių valdytojams?

Privalomas auditas ir parengta saugumo atitikties deklaracija turi būti oficialiai pateikta AB „ESO“ ne vėliau kaip iki 2026 m. gegužės 31 d. Šis valstybinis reikalavimas taikomas visoms naujoms ir jau veikiančioms saulės elektrinėms bei kaupimo įrenginiams, kurių galia viršija 100 kilovatų.

Atitikties užtikrinimas nėra tik vienkartinis veiksmas prieš priduodant objektą. Pagal nustatytus reglamentus, jūsų jėgainės kibernetinio saugumo atitiktis turi būti užtikrinama nuolatos visą eksploatavimo laikotarpį. Kaip nurodo oficialūs tinklo operatoriaus šaltiniai (šaltinis: https://www.eso.lt/duk/saugumo-atitikties-deklaravimas-elektrines-virs-100-kw-285), patikrinimo auditas turi būti atliekamas periodiškai, ne rečiau kaip 1 kartą per 12 mėnesių, o visos nustatytos saugumo spragos privalo būti pašalintos dar iki deklaracijos pateikimo. Jei nustatytas terminas praleidžiamas ar vertinimo metu aptinkami kritiniai neatitikimai, Valstybinė energetikos reguliavimo taryba (VERT) turi įgaliojimus pritaikyti griežtas sankcijas, įskaitant visišką elektrinės veiklos sustabdymą. Norint užtikrinti ilgalaikę atitiktį, rekomenduojama vadovautis tarptautiniais gerosios praktikos standartais. Pavyzdžiui, galite pasidomėti informacijos saugumo valdymo sistemomis, kurios išsamiau aprašytos puslapyje https://www.gcert.eu/iso-27000/. Šių standartų integravimas į jūsų įmonės veiklą padeda sistemingai ir be streso valdyti su infrastruktūra susijusias rizikas.

Kokios yra dažniausios saulės jėgainių kibernetinio saugumo spragos?

Viena iš pagrindinių problemų – gamykloje palikti standartiniai, nekeisti inverterių slaptažodžiai ir pasenusi programinė įranga, leidžianti įsilaužėliams per atvirus prievadus gauti neautorizuotą prieigą prie jūsų sistemos. Norint išvengti šių grėsmių, prižiūrinti komanda privalo reguliariai tikrinti ir atnaujinti visus tinkle esančius įrenginius.

Saulės elektrinės dešimtmetį buvo diegiamos pagrindinį dėmesį skiriant fiziniam efektyvumui, o skaitmeniniam saugumui istoriškai buvo skiriama per mažai resursų. Todėl daugelis sistemų iki šiol yra jungiamos prie atviro interneto be tinkamų ugniasienių, griežtų segmentacijos taisyklių ar virtualių privačių tinklų apsaugos. Be to, pramoninės valdymo sistemos, naudojamos didesniuose saulės parkuose, neretai vis dar naudoja ryšio protokolus be stiprios šifravimo apsaugos. Tai reiškia, kad perėmus duomenų srautą, pašaliniai asmenys gali ne tik stebėti jūsų generacijos statistiką, bet ir siųsti klaidinančias komandas techninei įrangai. Gilaus audito metu visos šios spragos yra kruopščiai identifikuojamos. Specialistas įvertina ne tik išorinį tinklo perimetrą, bet ir vidines konfigūracijas, kad jokia neleistina nuotolinė prieiga ar neteisėtas valdymas nebūtų įmanomas.

Kaip atliekamas vertinimas ar kokie žingsniai būtini atitikčiai užtikrinti?

Visas procesas apima pirminį esamos sistemos įvertinimą, rastų trūkumų šalinimą ir galutinės atitikties deklaracijos parengimą bei išdavimą. Didžiąją dalį techninių analizės darbų atlieka kvalifikuoti auditoriai, tačiau jėgainės naudotojui taip pat tenka svarbi atsakomybė suvaldyti vidinius procesus.

Žemiau pateikiama lentelė, kurioje aiškiai apibendrinti pagrindiniai etapai ir su jais susijusios atsakomybės:

Etapas Aprašymas Atsakingas asmuo
Sistemos įvertinimas esamos infrastruktūros ir nuotolinės prieigos saugumo analizė. nepriklausomas auditorius
Trūkumų šalinimas techninių apsaugos priemonių konfigūravimas bei atnaujinimas. rangovas ar it specialistas
Audito atlikimas galutinis patikrinimas pagal nacionalinius reikalavimus. nepriklausomas auditorius
Deklaracijos teikimas saugumo atitikties deklaracijos parengimas ir pateikimas. jėgainės valdytojas

Kodėl verta rinktis profesionalias paslaugas ir kokių klaidų vengti?

Pasirinkus patikimą sertifikavimo bei audito partnerį, jūs reikšmingai sumažinate veiklos sustabdymo riziką ir užtikrinate, kad jūsų investicijos, duomenys bei visa fizinė infrastruktūra būtų visapusiškai apsaugoti nuo pažeidžiamumų. Svarbu visada atsiminti esminę taisyklę, kad nepriklausomą vertinimą privalo atlikti tik su jėgainės rangovu nesusijęs specialistas.

Tai reiškia, kad įmonė, kuri sumontavo jūsų saulės parką ar prižiūri inverterius, negali pati sau atlikti audito ir išduoti saugumo deklaracijos, nes tai sukuria interesų konfliktą. Šis griežtas atskyrimas garantuoja vertinimo objektyvumą ir apsaugo nuo aplaidaus požiūrio į saugumo spragas. GCERT BALTIC UAB siūlo profesionalius ir sertifikuotus sprendimus, apimančius reikalavimų įgyvendinimo priežiūrą ir deklaracijos parengimą.

 Jei proceso metu iškyla bet kokių neaiškumų ar reikia individualios konsultacijos, rekomenduojame tiesiogiai susisiekti su specialistais per formą puslapyje https://www.gcert.eu/kontaktai/. Kalbant apie konkrečias finansines išlaidas, vieša audito paslaugų kainos informacija neprieinama, todėl vienintelis būdas sužinoti tikslią sąmatą yra kreiptis į paslaugų teikėją ir gauti komercinį pasiūlymą, pritaikytą jūsų specifinei įrangai.

Ką rodo statistika ar kokia yra reali kibernetinių atakų grėsmė mūsų šalyje?

Incidentų skaičius elektroninėje erdvėje nuolat auga, o energetikos sektorius ir kritinė infrastruktūra išlieka vienais pagrindinių ir labiausiai pažeidžiamų taikinių. Atakos darosi vis sudėtingesnės, o jų pasekmės gali nulemti ne tik laikiną duomenų praradimą, bet ir ilgalaikius jėgainės veiklos sutrikimus.

Remiantis viešai skelbiama Nacionalinio kibernetinio saugumo centro ataskaita, 2024 m. buvo užregistruoti net 3874 kibernetiniai incidentai, o tai rodo dramatišką 63 proc. augimą, lyginant su 2023 m., kai buvo fiksuoti 2378 atvejai (šaltinis: https://www.elta.lt/lt/pranesimai-spaudai/laiskas-uz-100-tukst-euru-telia-ispeja-apie-kibernetiniu-ataku-banga-pries-versla-261890, 2026-02-23). Nors šie bendrieji skaičiai apima įvairius verslo ir valstybinio sektoriaus segmentus, jie labai aiškiai parodo neraminančią grėsmių kraštovaizdžio tendenciją. Nusikaltėliai nuolat ir automatizuotai ieško pažeidžiamumų internete pasiekiamose sistemose, todėl netinkamai sukonfigūruoti ir neapsaugoti saulės jėgainių valdikliai greitai tampa lengvu grobiu.

Dažniausiai užduodami klausimai apie saulės elektrinių saugumą

Kokia yra kibernetinio saugumo atitikties deklaracijos pateikimo data?

Privaloma kibernetinio saugumo atitikties deklaracija turi būti visiškai parengta ir oficialiai patvirtinta iki 2026 m. gegužės 31 d. Šis terminas yra griežtas ir taikomas visoms jėgainėms bei kaupimo įrenginiams, kurių įrengtoji galia siekia 100 kilovatų ar daugiau.

Ar šie saugumo reikalavimai taikomi tik naujoms elektrinėms?

Ne, šie valstybiniai reikalavimai yra privalomi tiek naujai statomoms, tiek jau ilgą laiką veikiančioms saulės elektrinėms ar įvairioms hibridinėms sistemoms. Esamų sistemų savininkams buvo nustatytas specialus pereinamasis laikotarpis, per kurį jie privalo pritaikyti savo esamą infrastruktūrą.

Kas turi teisę atlikti nepriklausomą kibernetinio saugumo auditą?

Pagal galiojančius teisės aktus šį vertinimą privalo atlikti tik su jėgainės statybos ir priežiūros rangovu niekaip nesusijęs specialistas, turintis tarptautinį informacinių sistemų saugumo atitikties auditoriaus sertifikatą. Šis reikalavimas įvestas siekiant užtikrinti absoliutų vertinimo skaidrumą.

Ką daryti, jei mano saulės elektrinės galia yra mažesnė nei 100 kilovatų?

Jei jūsų valdomos jėgainės galia nesiekia nustatytos 100 kilovatų ribos, oficialus auditas ir deklaracijos teikimas įstatymiškai nėra reikalaujamas. Nepaisant to, atsižvelgiant į nuolat augančias grėsmes, jums primygtinai rekomenduojama savanoriškai laikytis bazinių tinklo apsaugos principų.

Kokios pasekmės laukia nepateikus deklaracijos laiku?

Laiku nepateikus privalomų atitikties dokumentų arba patikrinimo metu nustačius ir nepašalinus kritinių neatitikimų, tinklo operatorius privalo nedelsiant informuoti priežiūros tarybą. Tai labai greitai gali lemti leidimo gaminti elektrą sustabdymą ir jėgainės atjungimą nuo bendro tinklo.

Kaip sužinoti tikslią sistemos vertinimo audito kainą?

Tiksli atliekamo audito kaina visada priklauso nuo jūsų elektrinės infrastruktūros sudėtingumo, valdiklių kiekio bei sistemų integracijos lygio. Kadangi standartizuota kainų informacija viešai neprieinama, geriausias sprendimas yra susisiekti su sertifikuotu paslaugų teikėju ir paprašyti individualaus komercinio pasiūlymo.

+370 682 16335
EN

Kibernetinio saugumo auditas saulės elektrinėms

Kibernetinio saugumo auditas saulės elektrinėms

Dėmesio saulės elektrinių valdytojams (100 kW+): artėja kritinis terminas

Informuojame verslo klientus apie naujus privalomus kibernetinio saugumo reikalavimus, tiesiogiai susijusius su jūsų energetikos objektų veiklos tęstinumu ir saugumu.

Kadangi saulės elektrinių ir energijos kaupimo įrenginių valdymo sistemos tampa vis labiau skaitmenizuotos, jos taip pat tampa potencialiais išorinių grėsmių taikiniais. Siekiant užtikrinti šių energetikos objektų valdymą, valstybė numatė privalomą kibernetinio saugumo auditą jėgainėms, kurių įrenginių galia yra 100 kW ir didesnė.

Ką tai reiškia jūsų verslui?

Šie reikalavimai yra privalomi ir periodiški (atliekami ne rečiau kaip kartą per metus), siekiant užtikrinti energetikos sistemos saugumą ir patikimumą.

Pagrindinis uždavinys – patvirtinti atitiktį aukščiausiems kibernetinio saugumo standartams.

Kokie yra svarbiausi terminai ir pasekmės?

  • Terminas: privalomas kibernetinio saugumo auditas turi būti atliktas, o saugumo atitikties deklaracija pateikta ir patvirtinta iki 2026 m. gegužės 31 d.
  • Rizika: nepateikus deklaracijos laiku arba nustačius neatitikimus reikalavimams, AB „ESO“ bus priversta informuoti Valstybinę energetikos reguliavimo tarybą (VERT). Tai gali lemti rimtus pasekmes, įskaitant jūsų saulės elektrinės ar kaupimo įrenginių veiklos sustabdymą.

Energetikos objektų kibernetinis saugumas šiandien yra daugiau nei tik reguliavimo atitiktis – tai esminė verslo tęstinumo prielaida. Rekomenduojame nelaukti paskutinės minutės ir pradėti pasirengimo procesus jau dabar.

GCERT BALTIC UAB sprendimas

Teikiame saulės elektrinių kibernetinio saugumo auditą nustatome reikiamus sprendimus, apimančius:

  • esamos sistemos įvertinimą,
  • kibernetinio saugumo reikalavimų įgyvendinimą,
  • techninių ir programinių apsaugos priemonių konfigūravimą,
  • saugumo atitikties deklaracijos parengimą ir pateikimą ESO.

Didžioji dalis kibernetinio saugumo reikalavimų įgyvendinimo atliekama auditorių, tačiau tam tikros periodinės organizacinės ir naudotojo lygmens procedūros lieka jėgainės naudotojo atsakomybėje. Apie jas klientas informuojamas aiškiai ir iš anksto.

Kam taikoma paslauga?

  • naujai statomoms saulės elektrinėms;
  • jau veikiančioms saulės elektrinėms ir hibridinėms sistemoms.

Svarbi informacija – kibernetinio saugumo auditas

Pagal galiojančius teisės aktus, nepriklausomą kibernetinio saugumo auditą privalo atlikti su rangovu nesusijęs, tarptautinį sertifikatą turintis specialistas.

Prašome susisiekti su mūsų specialistais nurodytais kontaktais:

+370 682 16335;

info@gcert.eu

 

GCERT BALTIC UAB

GCERT BALTIC UAB atstovauja Baltijos šalyse ir yra akredituotas Lietuvos padalinys Tarptautinės GCERTI Co LTD sertifikavimo ir mokymų įmonės.

GCERTI Co LTD akredituota ISO/IEC 17021.

Įmonės kodas: 303499440

Privatumo politika

Užklausa

Registracijos adresas:

Užuovėjos g. 12, Kalino k., 14258 Vilniaus r. sav..

Biuro adresas: Žemaitės g. 22-201, Vilnius

Telefonas: +370 682 16335

El. paštas: info@gcert.eu

Mus rasite:

2020-2026 GCERT BALTIC UAB, visos teisės saugomos | Svetainės kūrimas inSite

    Susisiekite: