2023 áprilisának végén egy napsütéses reggelen hirtelen hatalmas áramszünet rázta meg Spanyolországot, Portugáliát és Dél-Nyugat-Franciaország egyes részeit, amely több tízmillió embert hagyott áram nélkül órákon át. A városok sötétségbe borultak, vonatok álltak le, a metróvonalakat ki kellett üríteni, járatok törlődtek, a mobilhálózatok és internet szolgáltatók leálltak, az utak pedig dugóba kerültek, mivel a közlekedési lámpák nem működtek.
Az áramellátás helyreállítása 10 órát vett igénybe, míg a spanyol nemzeti hálózat teljes újraindítása 23 óráig tartott. Ez az esemény az elmúlt két évtized legnagyobb európai áramszünete volt.
A kiváltó okok és az európai hálózat sebezhetősége
Bár ez az incidens nem egy kibertámadás következménye volt, hanem egy összetett, egymásra ható műszaki hiba sorozata – ahol egyszerre több áramtermelő komponens kapcsolt ki és több túlfeszültség jelentkezett –, mégis rávilágított arra, milyen törékeny az európai energiahálózat stabilitása. Az esetben valószínűleg emberi hiba is szerepet játszott, de a hálózat üzemeltetői és az erőművek egymásra mutogatnak.
Ez az esemény felidézi a 2015-ös ukrán áramszünetet is, amelyet egy orosz online támadás idézett elő, és amely hat órán át tartotta mozdulatlanul Ukrajna elektromos hálózatát. Ez volt az első komoly áramszünet, amelyet kibertámadásnak tulajdonítottak Európában.
Nick Haan, a nemzetközi ipari operációs technológiai rendszerek biztonságával foglalkozó Claroty stratégiai partnereinek technológiai vezetője így nyilatkozott: “Jelenleg Európa energiasektorának incidenskezelése túl fragmentált. Minden üzemeltetőnek és országnak megvan a saját működési módja, ami megnehezíti az együttműködést baj esetén. Az európai hálózat egyedülálló a világon a szoros összekapcsoltsága miatt: egy zavar percek alatt átterjedhet határokon át.”
Kiberfenyegetések és a kritikus infrastruktúra veszélyeztetettsége
A 2015-ös ukrán támadás óta folyamatosan nőtt a nyugati világ közműcégei elleni kibertámadások száma. Ezek az iparágak decentralizált, igény szerinti energiaellátásra épülnek, ami újabb sebezhetőségeket teremt.
Az elmúlt években főként zsarolóvírusos támadások érintették a pénzügyi rendszereket, de komoly veszélyt jelenthetnek olyan támadások is, amelyek alállomásokat bénítanak meg vagy üzemanyag-ellátást állítanak le – mint például az 2021 májusi Colonial Pipeline elleni kibertámadás.
Az erőművek IT-infrastruktúrájának kihívásai
Az erőművek belső informatikai rendszerei rendkívül összetettek és heterogének: elavult hardverek, különböző operációs rendszerek (Windows XP-től BeOS-ig), valamint számos beszállító által szállított eszközök alkotják őket. Ezek közül sok nem engedi meg a biztonsági szakértők mélyebb vizsgálatát.
- Egyetlen gázturbinában akár hét különböző rendszer is működhet, mindegyik körülbelül tíz eszközt irányítva saját IP-címmel.
- Egy alállomást akár több kilométerről is vezérelhetnek egy irányítóteremből.
- Sok helyen még mindig dial-up internetkapcsolatot használnak vidéki területeken.
- A vezérlőrendszerek gyakran biztonság nélküli protokollokat alkalmaznak (pl. DNP3), amelyek nem rendelkeznek hozzáférés-ellenőrzéssel vagy titkosítással.
Roman Arutyunov, a Palo Alto-i Xage Security társalapítója és termékvédelmi alelnöke szerint: “Ezek a rendszerek szó szerint bármilyen parancsot végrehajtanak, amit kapnak. Nagyon könnyű kompromittálni alállomásokat. A védelem ma leginkább abban áll, hogy fizikailag lezárják ezeket az egységeket – ha valaki bejutott már oda rosszindulatúan, akkor késő.”
A digitális átalakulás és szabványosítás szükségessége
A jelenlegi helyzetben az erőművek kiberbiztonsági fejlesztései lassúak és nehézkesek. A beszállítói zártság (vendor lock-in) miatt nehéz új technológiákat bevezetni vagy átfogó biztonsági intézkedéseket alkalmazni.
Az Európai Bizottság több projektet is támogat annak érdekében, hogy növelje az elektromos hálózatok ellenállóképességét. Ilyen például az eFort keretrendszer, amelyet holland kutatók fejlesztenek a TNO (Netherlands Organisation for Applied Scientific Research) és a Delft Műszaki Egyetem együttműködésében.
A TNO SOARCA eszköze az első nyílt forráskódú SOAR (Security Orchestration, Automation and Response) platform, amely képes automatizálni a válaszlépéseket fizikai és kibertámadások esetén alállomásokon és hálózatokon. Az első ország, ahol ezt bevezetik, Ukrajna lesz 2024-ben.
A SOARCA rendszer működése és előnyei
A SOARCA minden szinten jelen van: alállomásokon, irányítótermekben, vállalati rétegben, felhőben és biztonsági műveleti központokban (SOC). Ez lehetővé teszi az anomáliák gyors felismerését – legyen szó sebezhetőség kihasználásáról vagy fizikai támadásról –, valamint izolálja a problémákat és megakadályozza azok terjedését.
Reinder Wolthuis, TNO vezető projektmenedzsere így fogalmazott: “Az OT világban elsősorban az elérhetőség számít – az áramnak mindig működnie kell –, míg az IT világban inkább a titkosság és integritás fontosabb. Ezért fejlesztettük ki azt az interakciót SOC és irányítóterem között, ahol például egy kibertámadás esetén valós idejű digitális modellezést végeznek.”
A rendszer alapját képezik a CACAO Playbook-ok – nyílt forráskódú szabványosított automatizált munkafolyamatok –, amelyek segítenek felismerni betöréseket és végrehajtani védekező lépéseket.
Kritikus infrastruktúra jövője: szabványosítás és együttműködés
Szakértők szerint a kritikus infrastruktúrák védelme egyre sürgetőbb feladat lesz. A hálózatokba bevitt különböző Windows-verziók tovább növelik a támadási felületet. Sok üzemeltető azonban még mindig nem veszi kellően komolyan ezt a fenyegetést.
Egy névtelen ukrán szakértő elmondta: “A háború kezdete óta jelentős redundanciákat építettek ki alállomások között, így nehezebb teljesen megbénítani egy ország hálózatát rakétatámadással.”
Ukrajna állami energiahálózat-üzemeltetője, JSC NEK Ukrenergo tervezi a SOARCA rendszer tesztelését digitális ikerükön keresztül. Ugyanakkor hangsúlyozták: egy ilyen rendszer bevezetése jelentős beruházást igényelne személyzetben, képzésben és karbantartásban.
Kihívások az iparágban: lassú innovációs tempó
Sam Barker, a Juniper Research telekommunikációs piac kutatásért felelős alelnöke szerint: “Az energiaszektor – akárcsak az egészségügy – hagyományosan lassan fogadja be az új technológiákat. A beszállítói zártság és eltérő rendszerek integrálása komoly kihívást jelent.”
Nick Haan hozzátette: “Hiányzik egy egységes európai válságkezelési protokoll; szükség van közös folyamatokra, kommunikációs szabványokra és eszkalációs útvonalakra.”
A jövő útja: szabványosítás és kollektív védelem
A TNO szakemberei szerint hamarosan kötelezővé válhatnak olyan szabályozások is, mint például az NCCS (Network Code on Cybersecurity), amely előírja a kiberbiztonsági kockázatértékeléseket az elektromos szektorban.
Bret Jordan, kiberbiztonsági szakértő kiemelte: “A CACAO Playbook-ok segítenek abban, hogy kritikus infrastruktúrák valós időben értesüljenek fenyegetésekről ugyanakkor mint ahogy azt kormányok is tudják.”
Jason Keirstead, LangGuard.AI mérnöki vezetője hozzátette: “A valódi kollektív védelem akkor működik jól, ha szervezetek képesek majdnem valós időben megosztani támadási információikat.”
Összegzés
Európa energiahálózata rendkívül összetett és sebezhető rendszerként működik napjainkban. Az elmúlt évek áramszünetei rámutattak arra, hogy mennyire fontos lenne egységes válságkezelési protokollokat kialakítani és modernizálni az elavult IT-infrastruktúrát. A kibertámadások veszélye folyamatosan nő, ezért elengedhetetlen a szabványosítás és együttműködés erősítése mind nemzeti mind nemzetközi szinten.
Az olyan innovatív megoldások mint a SOARCA platform ígéretes lépések lehetnek afelé, hogy hatékonyabban tudjuk kezelni mind fizikai mind digitális fenyegetéseket kritikus infrastruktúránkon belül.
Forrás: https://www.theregister.com/2025/11/03/europe_power_grid_security/