Interviu realizat cu deputatul PSD Mădălin Borș, inițiatorul proiectului legislativ privind securitatea cibernetică a rețelei electrice
Parlamentul României pregătește adoptarea unei legislații privind securitatea cibernetică în măsură să blocheze interferarea unor zone ostile cu sistemul energetic. Sunt vizate echipamentele care concură la producerea energiei electrice din sursă fotovoltaică, iar acest lucru ar urma să fie realizat de Directoratul Național de Securitate Cibernetică (DNSC), stabilește un proiect de lege elaborat de deputatul PSD, Mădălin Borș. Proiectul este văzut însă de Asociația Prosumatorilor ca o măsură prin care statul vrea să le limiteze acestora accesul la rețeaua electrică. Unul dintre echipamentele vizate de noile reglementări este invertorul, echipamentul care transformă curentul continuu produs de panourile fotovoltaice în curent electric alternativ. În România, cele mai multe invertoare utilizate sunt din China, iar estimările specialiștilor arată că cel puțin 70% din aceste dispozitive sunt chinezești, lider fiind compania Huawei. Adică exact compania ale cărei echipamente au fost excluse de țara noastră din rețeaua 5G din cauza suspiciunilor legate de securitatea cibernetică.
Jurnalul: De ce dispozitivele inteligente care alimentează zeci de mii de locuințe din România ar putea deveni un risc de securitate națională?
Să știți că numărul acestora nu este de zeci de mii, sunt chiar sute de mii, spre 400.000. Pentru că aici nu vorbim doar despre prosumatori, ci vorbim despre toți posesorii de echipamente care folosesc instalații de producere a energiei din sursă fotovoltaică. Mai sunt și producătorii care funcționează astăzi în regim off-grid (un sistem energetic complet autonom, care nu este conectat la rețeaua publică de electricitate - n.red.), deci fără a face injecție de energie în rețea. Numărul acestora, astăzi, cred că a depășit chiar cifra de 400.000. Din perspectiva securității cibernetice, energia electrică obținută din surse regenerabile comportă, în comparație cu sistemele energetice tradiționale, mai multe riscuri și vulnerabilități decât o serie de vulnerabilități specifice, inclusiv în componentele-cheie, fiind în mare măsură dependente de tehnologiile IT&C. Aceste echipamente au o suprafață de expunere extinsă.
Jurnalul: De ce?
Sistemele de energie regenerabilă sunt, prin natura lor, descentralizate, distribuite pe arii geografice largi, cu arhitectură care implică o creștere exponențială a numărului de dispozitive conectate la rețelele wireless, rețele de telefonie, toate conectate la internet. Această multitudine de dispozitive extinde considerabil de mult suprafața de expunere și, astfel, oferă posibililor atacatori mai multe oportunități de a găsi și exploata o vulnerabilitate specifică. Și aici aș vrea să vă dau un exemplu, cel al unei centrale hidro sau chiar al unei centrale nucleare. Vorbim despre un număr foarte mic de puncte de control și monitorizare, însă acestea sunt concentrate într-o singură locație. În cazul prosumatorilor vorbim de un număr ridicat de invertoare, senzori, unități de control inteligente. Fiecare dintre aceste echipamente are un punct de intrare pentru un atacator. Aș mai adăuga faptul că echipamentele care sunt folosite în instalațiile de producere a energiei din sursă regenerabilă sunt intrinsec dependente de tehnologia digitală și de conectivitate.
Managementul acestor resurse depinde în mod absolut de sistemele IT&C, iar în cazul sistemelor de energie regenerabilă, aceste sisteme sunt expuse la riscuri mai mari, deoarece comunicarea, controlul se fac pe distanțe mult mai mari și prin rețele mult mai diverse. Aici pot să vă spun că vorbim despre internet public, rețele celulare.
Multe dintre aceste componente sunt de tip IoT (Internet of Things), prin excelență predispuse ușor la vulnerabilități. Și aș mai aduce aminte și acele invertoare care au un cost redus de producție, care beneficiază de protocoale de securitate slabe, parole implicite neschimbate sau, mai rău, acest software care însoțește aceste echipamente nu este actualizat periodic. Aș adăuga că toate aceste echipamente care sunt folosite astăzi în scop casnic folosesc tehnologia cloud. Iar aceste clouduri, în marea lor majoritate, nu se găsesc în Spațiu Economic European, spațiu care beneficiază de regulamente și reglementări foarte bine definite.
Jurnalul: Practic, în aceste clouduri se pot strânge informații sensibile despre persoanele care folosesc respectivele echipamente?
Exact, în aceste clouduri se strâng, și se strâng de câțiva ani buni, inclusiv date cu caracter personal, inclusiv login-uri, inclusiv parametrii de funcționare și date istorice de producție. Datele sunt stocate, de regulă, în servere din China asupra cărora statul român nu are niciun control.
Jurnalul: Aceste echipamente, în general, la ora asta, cel puțin în România, dar și în Uniunea Europeană, provin în marea lor majoritate din China?
Da, așa este, în marea lor majoritate provin din zona asiatică, inclusiv din China. V-aș indica să urmăriți acest lucru. A fost recent un articol care a apărut în publicația online Politico, exclusiv dedicat acestui domeniu atât de sensibil și anume securitatea cibernetică în energie.
Jurnalul: Practic, prin proiectul legislativ de completare a Legii energiei electrice și a gazelor naturale (Legea nr. 123/2012), nu vă referiți doar la echipamentele utilizate de prosumatori, cum aceștia au acuzat?
Așa este. Producerea de energie la noi în țară este făcută pe câteva trepte de putere. Producătorii de energie, cei care se conectează la rețeaua electrică de distribuție sau transport, din momentul în care intră în posesia licenței de producție, din acel moment ei trebuie să respecte codul rețelei. Ce vreau să vă spun este că accesul la rețeaua electrică în cazul producătorilor este foarte bine reglementat, inclusiv din punct de vedere al securității informatice.
Jurnalul: Cum?
Pentru că aceștia sunt obligați de Directiva NIS 2 să respecte anumite standarde de securitate. Eram, ca să spun așa, în zona gri, zona nereglementată și care, din păcate, vă spun sincer, această inițiativă despre care vorbim vine cu o întârziere de vreo 4-5 ani. Normal ar fi fost ca până să demareze acest program uriaș de instalare a panourilor fotovoltaice la prosumatori, în România trebuia să existe deja această reglementare din punct de vedere al securității informatice.
Astăzi, din păcate, avem atinse niște capacități uriașe. Sunt peste 4.000 MW care astăzi zburdă controlați dintr-un cloud din China. Da, deci 4.000 MW sunt produși în puteri instalate mai mici sau egale cu un MW.
Jurnalul: Proiectul dumneavoastră propune instituirea unor reguli, dar nu proiectul le formulează. Ele vor fi formulate de ANRE sau de cine?
Astăzi, în momentul la care noi vorbim acum, există, în cadrul Legii 123, articolul 70 care definește autoritatea competentă din punct de vedere tehnic. Deci prosumatorii, și cei cu o putere instalată până într-un MW, sunt reglementați deja de ANRE. Ce am propus eu vine în completarea acestui punct și anume, introducerea Directoratului Național de Securitate Cibernetică (DNSC), ca autoritate competentă pentru a reglementa tehnic măsurile de securitate cibernetică. Este strict legat de domeniul securității cibernetice, nu de domeniul securității tehnice, nu despre accesul la rețea.
Jurnalul: Într-o postare pe Facebook, președintele Asociației Prosumatorilor, Dan Pîrșanu, v-a acuzat că prin acest proiect pledați pentru auditarea cibernetică a invertoarelor fără să spuneți însă ce se întâmplă cu cele peste 320.000 de invertoare deja acreditate în România. Vreți acest lucru?
Eu aș dori să vă răspund în doi pași. Aș dori, dacă îmi alocați câteva minute, să vă prezint modul în care această auditare și certificare se va realiza.
Acest amendament a apărut la începutul acestui an, în momentul în care la Comisia de IT&C am avut în dezbatere aprobarea Directivei 5G. Trebuie să vă spun că eu sunt secretarul acestei comisii din Camera Deputaților. Inspirația a venit din textul acelei legi pentru aprobarea directivei, unde am văzut că toate echipamentele care astăzi concură la realizarea rețelelor 5G sunt auditate, verificate, omologate de diverse autorități competente. În cazul rețelelor 5G există mai multe autorități competente. Același lucru l-am replicat în domeniul energiei cu inițiativa de completare a articolului 70 din Legea energiei și gazelor naturale.
Și asta prin introducerea DNSC-ului în acest lanț de verificare. Din punct de vedere al securității cibernetice, ne dorim să punem în relație directă DNSC cu producătorul de echipament. Atenție! Producătorul! Această inițiativă merge în amonte de prosumator. Nu are nicio treabă cu prosumatorul.
În momentul în care am discutat în cadrul Comisiei IT&C cu reprezentanții DNSC, cu asociațiile de profil de securitate informatică din România, inclusiv cu experți, paradigma în care am mers a fost următoarea:
1. Prosumatorul nu trebuie să fie afectat sub nicio formă;
2. Nu trebuie să cadă în sarcina prosumatorului;
3. Metoda trebuie să fie non-intruzivă, dar în același timp să putem să fie aplicabilă la toate echipamentele care sunt astăzi în funcțiune.
Și acum venind în zona tehnică. Fiind dintr-o comisie tehnică, imediat ne-am dat seama că toate aceste echipamente care astăzi alcătuiesc sistemele fotovoltaice au o componentă și anume un firmware. Ce înseamnă acest firmware? Orice echipament din rețelele energetice, din instalațiile prosumatorilor are două componente mari, ca să spun așa, hardware și software. Firmware-urile sunt programe de mici dimensiuni, încorporate în echipament, care permit unui dispozitiv să funcționeze, acționând ca o punte între componentele fizice și software. Ele controlează funcționalitățile de bază ale oricărui echipament, precum imprimantele, telefoanele și alte dispozitive electronice, și permit interacțiunea cu alte programe sau sisteme de operare. Astăzi, orice echipament care este în funcțiune are un firmware. Prin această lege, prin acest amendament, noi ne dorim să aducem producătorii la masă cu DNSC-ul.
Conform legii, producătorii vor fi obligați să furnizeze DNSC-ului aceste firmware-uri, și atunci nu vorbim doar de invertoare. Mai sunt și contoarele inteligente, sunt sistemele de gestionare a bateriilor (BMS), sistemele de gestionare a energiei (EMS), este și partea de senzoristică, sunt mult mai multe echipamente care concură în aceste sisteme fotovoltaice.
Proiectul inițiat de deputatul PSD Mădălin Borș vizează dispozitive inteligente cum ar fi invertoarele sistemelor fotovoltaice aflate în multe gospodării sau contoarele inteligente montate de operatorii de energie - pe care, în prezent, statul român nu le auditează din punctul de vedere al securității cibernetice. Piața acestor echipamente este controlată de companii din Asia, multe din China. În cazul invertoarelor, de pildă, acestea presupun colectarea de date personale ale utilizatorilor, care sunt stocate în cloud-uri din afara Uniunii Europene.
Jurnalul: Ce va face DNSC-ul?
DNSC-ul preia, prin protocoale specifice, de la producătorii de echipamente aceste firmware-uri. Astfel, DNSC-ul va avea acces la aceste firmware-uri, le va analiza, iar ce mi-aș dori sincer, este ca aceste firmware-uri să nu conțină cod malițios, sau ca să vă spun mai clar, să nu conțină cod de tipul kill switch. Să nu conțină cod care să permită accesul la echipament din alte rețele decât cele declarate de producător.
Eu sper să nu conțină, dar viața îmi arată că surprize apar la tot pasul. Ne dorim ca aceste firmware-uri să nu permită posibilitatea conectării la distanță, independent de acordul proprietarului. Singura metodă tehnică prin care se poate face acest lucru, este cea prezentată acum.
La final, după ce DNSC-ul analizează acest firmware, îl retransmite către producător și este în sarcina acestuia să facă deployment către toate echipamentele care funcționează pe teritoriul țării noastre și să ne asigurăm că acele echipamente poartă un cod semnat de DNSC.
Jurnalul: Deci, practic, proiectul dumneavoastră îi vizează pe producători, nici într-un caz pe prosumatori, ei acuzând că prin aceste prevederi noi li se blochează accesul la rețea.
Nu pe prosumatori. Din poziția exprimată de președintele Asociației Prosumatorilor rezultă ce? Că are mai multă încredere într-un echipament care vine din China decât într-o autoritate națională cu atribuții în materie de securitate cibernetică. Suntem absurzi? Adică mă încred mai mult în China decât în țara mea? Suntem în noaptea minții! Dânsul acuză că prin acest proiect de lege, DNSC-ul vine și întrerupe prosumatorul. Nu știu cum a ajuns la această concluzie. Departe de noi acest gând și, sincer vă spun, poate ar fi trebuit ca acestei asociații să i se traducă textul proiectului în cantoneză sau în mandarină. Cred că îl înțelegea mult mai bine. Singurii care pot fi bulversați, ca să spun așa, cu ghilimelele de rigoare, sunt producătorii.
Jurnalul: Am înțeles. Prosumatorii nu sunt vizați de această completarea legislativă.
Exact. Ne dorim să asigurăm o umbrelă de securitate din partea statului.
Invertorul este un dispozitiv care transformă curentul continuu produs de panourile fotovoltaice în curent electric alternativ și el funcționează prin intermediul unei aplicații informatice puse la dispoziție de producător.
Jurnalul: O astfel de măsură pe care o propuneți acum funcționează deja în alte țări?
Ceea ce pot să vă spun este că media europeană acceptată la prosumatori este undeva până în 7 kW. La noi este de 400 kW. Vă pot face o dezvăluire. Există o comunitate de securitate cibernetică la nivelul Uniunii Europene, unde ne împărtășim toate aceste experiențe și realizăm un cod de bune practici. La ei nu există această problemă, întrucât puterile instalate la prosumatori sunt extrem de limitate. Poate deloc întâmplător acest lucru. Nu au permis dezvoltarea energetică în această direcție decât în mod foarte limitat, ei fiind încurajați să folosească sistemele doar pentru consumul propriu.
Jurnalul: Proiectul este depus la Senat. Are la ora asta toate avizele necesare și mă refer la ANRE, Consiliul Legislativ, Consiliul Concurenței, Consiliul Economic și Social?
Eu sper ca în maximum două săptămâni să sosească toate avizele și proiectul să intre în dezbatere la Senat.
Jurnalul: Pe lângă acest proiect mai aveți în vedere și altele? De exemplu, cum ar fi impunerea unei capacități de stocare în zona prosumatorilor?
Împreună cu colegul și prietenul meu, ministrul Energiei, Bogdan Ivan, căutăm și vrem să găsim cele mai bune soluții, cele mai bune formule, astfel încât România și românii să plătească un preț cât mai mic la energie. Gândiți-vă că la sfârșitul lunii august dezechilibrele din sistemul energetic au avut valoarea de 127 de milioane de lei. Toată această sumă este împărțită în mod egal la toți cei 9 milioane și ceva de clienți finali. Dacă luați în calcul faptul că din acești 9 milioane 4,3 milioane de clienți finali se află în sărăcie energetică, adică aceștia consumă până în 100 kWh factura lor se duce undeva spre 100 de lei. La un calcul simplu veți constata că 12-13 lei dintr-o factură de 100 de lei se duc în piața de echilibrare.
Lucru care nu mai poate continua la nesfârșit. Și da, avem adunate destule puncte de vedere. Am cerut autorităților, în cazul de față companiei Transelectrica și asociațiilor de profil, să ne pună la dispoziție cifre și date care să ne poată ajuta în evaluarea și în găsirea unei metode prin care aceste dezechilibre să fie reduse cât mai mult posibil.
„Să vă dau câteva date comparative. În anul 2022, dezechilibrele în România însumau undeva până la 10 GWh. Astăzi sunt 47 GWh. Valoric, în 2022 dezechilibrele însemnau ceva în jurul sumei de 2.000.000 de lei, astăzi suntem spre 130.000.000 de lei. Aceste sume nu sunt plătite de o entitate anume, ci sunt sume care se socializează. Această sumă de bani este împărțită în mod egal la toți clienții finali”.
deputatul Mădălin Borș
Jurnalul: Măsura pe care o vedeți pentru reducerea acestor dezechilibre este capacitatea de stocare în creștere.
Trebuie să asigurăm stocarea energiei. Eu mi-aș dori ca undeva în februarie, martie să putem porni un program național pentru achiziția de baterii pentru stocarea energiei de către prosumatori. Este evident că lucrurile nu mai pot funcționa așa. Trebuie să găsim soluția optimă dintre toate soluțiile posibile și să le punem pe masă, astfel încât factura la energie a românilor să fie cât mai mică.
„Dacă vă uitați în definiția prosumatorului veți constata un lucru: acesta este definit ca fiind client final care consumă, produce și poate stoca energie electrică din surse regenerabile. Deci scopul prosumatorului trebuie să fie asigurarea propriului consum de energie electrică și doar surplusul să-l livreze în rețea”.
deputatul Mădălin Borș
Publicația Politico avertizează
După scandalul global privind echipamentele 5G, compania chineză Huawei se află din nou în centrul unei controverse majore în Europa. De data aceasta, nu pentru telecomunicații, ci pentru energie, scria publicația Politico recent. Oficiali europeni și experți în securitate cibernetică avertizează că tehnologia solară produsă de Huawei ar putea deveni un risc strategic pentru stabilitatea rețelelor electrice europene. Problema vizează invertoarele solare - echipamente esențiale care transformă energia generată de panouri în curent utilizabil în rețea. Acestea sunt conectate la internet, iar experții avertizează că pot fi controlate de la distanță, inclusiv de la Beijing. „Pot dezactiva parametrii de siguranță. Pot provoca incendii. Dacă oprești sau pornești simultan mii de instalații, poți destabiliza o rețea electrică întreagă”, a declarat Erika Langerová, expert în securitate cibernetică la Universitatea Tehnică din Praga, citat de Politico. Potrivit organizației SolarPower Europe, companiile chineze controlează aproximativ 65% din puterea totală instalată în sectorul solar european. Cea mai mare companie de pe piață este Huawei, urmată de un alt producător chinez, Sungrow. Lituania a interzis accesul de la distanță al companiilor chineze la instalațiile de energie regenerabilă de peste 100 kW. Cehia a emis un avertisment oficial privind riscurile tehnologice legate de echipamentele chineze. În Germania, serviciile de securitate investighează deja componente energetice produse de Huawei. Neîncrederea în tehnologia chineză a crescut vertiginos. Sub președintele Xi Jinping, guvernul de la Beijing a implementat reglementări care obligă companiile chineze să coopereze cu solicitările serviciilor de securitate de a partaja date și de a semnala vulnerabilități din software-ul lor. Acest lucru a dus la îngrijorarea Occidentului că deschide ușa supravegherii și spionajului. Executivul european lucrează deja la o nouă „cutie de instrumente de securitate” (ICT Toolbox), similară celei folosite anterior pentru rețelele 5G, menită să ajute statele membre să detecteze și să elimine furnizorii vulnerabili din infrastructurile digitale și energetice.