SEA Saulės elektrinių auditas

Saulės elektrinės valdymo sistemos sandara — paaiškinta paprastai

Modernioje saulės elektrinėje ne tik spindi saulė ir sukasi elektronai. Visa tai valdo sudėtinga, bet logiškai sutvarkyta valdymo sistema. Paaiškinsime, iš ko ji sudaryta, kaip dalys tarpusavyje kalba ir kodėl visa tai svarbu kibernetiniam saugumui.

Valdymo sistema Inverterių valdymas SCADA Monitoringas
Svarbi pastaba

VERT 2026-04-30 nutarimas Nr. O3-470 yra naujas teisės aktas. Šiuo metu dar nėra viešai paskelbtų ESO ar VERT išaiškinimų konkretiems audito atvejams.

Nuolat bendraujame su ESO ir VERT atstovais dėl scenarijų išaiškinimo ir stengiamės pateikti patikrintą informaciją. Vis dėlto šiame puslapyje pateikiami atsakymai atspindi mūsų dabartinę profesinę nuomonę ir gali keistis po VERT/ESO oficialių išaiškinimų. Konkrečiai jūsų objektui taikomi sprendimai gali skirtis — kviečiame pasitarti per pirminę konsultaciją.

Kodėl verta suprasti sistemos sandarą?

Daugelis saulės elektrinių savininkų galvoja: „Pastatyta, veikia — ko daugiau reikia?" Bet kibernetinio saugumo požiūriu tai lygiai taip pat, kaip pastatyti namą ir negalvoti apie spynas. Kad apsaugotum sistemą, pirmiausia reikia žinoti, kas joje yra.

Valdymo sistema saulės elektrinėje — tai ne vienas prietaisas. Tai kelių sluoksnių sandara: aparatūra, programinė įranga, ryšio protokolai ir debesijos (angl. cloud) paslaugos. Kiekvienas sluoksnis turi savų silpnų vietų.

Kai atliekame kibernetinio saugumo auditą, pirmasis žingsnis visada yra suprasti, kaip konkreti sistema sutvarkyta. Tik tada galima vertinti rizikas.

Pirmasis sluoksnis: inverteriai ir jų valdymas

Inverteris (keitiklis) yra saulės elektrinės širdis. Jis nuolatinę saulės modulių srovę paverčia kintamąja, tinkama tinklui ar namų apyvokos prietaisams.

Bet šiuolaikinis inverteris — ne vien elektros keitiklis. Jis turi:

  • Vidinį procesorių su operacine sistema
  • Ryšio sąsają: Wi-Fi, LAN, RS-485 arba Modbus TCP
  • Gamintojo debesijos prieigą atnaujinimams ir monitoringui
  • Galimybę nuotoliniu būdu keisti darbo parametrus

Inverterių valdymas (angl. inverter management) gali vykti keliais lygmenimis: vietiškai per planšetę ar nešiojamąjį kompiuterį, per vietinį tinklo valdymo modulį arba per gamintojo debesijos platformą. Kiekvienas iš šių kanalų — potencialus įėjimo taškas.

Didelėse elektrinėse inverteriai grupuojami į „strygas" (angl. string inverters) arba naudojami centriniai inverteriai su atskirais ryšio valdikliais. Tai reiškia, kad viena elektrinė gali turėti dešimtis atskirų tinklo mazgų.

Antrasis sluoksnis: SCADA ir EMS sistemos

SCADA (angl. Supervisory Control and Data Acquisition — priežiūros valdymo ir duomenų rinkimo sistema) skirta stebėti ir valdyti visą elektrinę iš vieno taško. Stambiose elektrinėse SCADA būtina — rankiniu būdu valdyti šimtą inverterių neįmanoma.

EMS (angl. Energy Management System — energijos valdymo sistema) papildo SCADA: ji ne tik renka duomenis, bet ir priima sprendimus. Pavyzdžiui, kada krauti energijos kaupimo bloką, kada tiekti į tinklą, kada sumažinti gamybą.

Šios sistemos paprastai veikia ant pramoninių kompiuterių su specializuota programine įranga. Dažniausiai naudojami protokolai:

  • Modbus TCP — senas, plačiai paplitęs, bet be autentifikacijos
  • DNP3 — naudojamas energetikos sektoriuje, turi tam tikrą saugos palaikymą
  • IEC 61850 — modernesnis standartas, dažnas naujose elektrinėse
  • SunSpec — inverterių duomenų apsikeitimo standartas

Problema ta, kad daugelis šių protokolų sukurti dešimtmečiais anksčiau — tuomet kibernetinis saugumas nebuvo prioritetas. Todėl SCADA sistemos dažnai yra silpniausia grandis.

Trečiasis sluoksnis: ryšio tinklai ir segmentacija

Visa valdymo sistema veikia ant tinklo infrastruktūros. Čia svarbu suprasti kelis pagrindinius dalykus.

Operacinis tinklas (OT) ir IT tinklas

OT (angl. Operational Technology — operacinė technologija) tinklas yra skirtas pramoniniams įrenginiams: inverteriams, SCADA, energijos skaitikliams. IT tinklas — biuro kompiuteriams, el. paštui, administracijai.

Idealiu atveju šie du tinklai yra atskirti VLAN (atskiri vidiniai tinklo segmentai) arba fiziniais ugniasieniais. Praktikoje tai dažnai nepadaryta — ypač mažesnėse elektrinėse.

Nuotolinė prieiga

Techninės priežiūros komandos, gamintojai ir monitoringo paslaugų tiekėjai dažnai jungiasi nuotoliniu būdu. Saugiausia tai daryti per VPN (šifruotą tunelinį ryšį) su MFA (dvigubu autentifikavimu). Tačiau realybėje dažnai naudojamos atviresnės prieigos formos.

Mobilus ryšys ir IoT mazgai

Daugelyje elektrinių stebėjimo moduliai jungiasi per 4G/5G ryšį. Tai patogu, bet sukuria papildomų rizikų: SIM kortelės gali būti pakeistos, o mobilaus ryšio kanalai — sunkiau stebimi.

Ketvirtasis sluoksnis: debesijos platformos ir gamintojai

Tai sluoksnis, apie kurį dažnai pamirštama. Beveik visi šiuolaikiniai inverteriai automatiškai jungiasi prie gamintojo debesijos platformos. Tai leidžia:

  • Stebėti gamybos duomenis iš bet kur
  • Siųsti programinės įrangos atnaujinimus (patch — naujinys) nuotoliniu būdu
  • Diagnostiką atlikti be fizinio apsilankymo

Tačiau tai reiškia, kad gamintojo debesijos platforma turi prieigą prie jūsų inverterių. Jei ta platforma yra pažeista arba gamintojo politika leidžia plačią prieigą — tai tiesiogiai veikia jūsų elektrinės saugumą.

Taip pat svarbu sekti, ar naudojama programinė įranga nėra EOL (eksploatacijos pabaiga — gamintojas nebepalaiko). EOL programinė įranga negauna saugumo atnaujinimų, o žinomos spragos lieka nepataisytos. Kaip susijęs CVE (žinomų pažeidžiamumų) šalinimo procesas — atskira tema, bet ji tiesiogiai priklauso nuo to, ar gamintojas vis dar palaiko jūsų įrenginius.

Kaip visa tai siejasi su kibernetiniu saugumu?

Kai žiūrime į saulės elektrinės valdymo sistemą kibernetinio saugumo audito kontekste, tikriname kiekvieną šių sluoksnių:

Ką tikriname aparatūros lygmeniu

  • Ar inverteriai turi naujausią programinę įrangą?
  • Ar išjungtos nenaudojamos sąsajos (USB, neapsaugoti Modbus prievadai)?
  • Ar fizinė prieiga prie valdymo spintelių yra ribojama?

Ką tikriname tinklo lygmeniu

  • Ar OT ir IT tinklai atskirti?
  • Ar nuotolinė prieiga vyksta per VPN su MFA?
  • Ar naudojamas whitelist (leidžiamų adresų sąrašas) nuotolinei prieigai?
  • Ar yra IDS/IPS (įsibrovimų aptikimo/blokavimo sistemos) stebėjimas?

Ką tikriname programinės įrangos lygmeniu

  • Ar SCADA/EMS programinė įranga atnaujinta?
  • Ar naudojami stiprūs slaptažodžiai ir ribotų teisių paskyros?
  • Ar gamintojai turi plačią prieigą per debesijos platformą ir ar tai dokumentuota?

Jei randama problemų, ne visada įmanoma jas greitai ištaisyti. Tuo atveju naudojamos kompensacinės priemonės (compensating controls) — laikinos apsaugos, kol pagrindinė problema išsprendžiama.

Dažniausiai pasitaikantys nesusipratimai

„Mūsų elektrinė maža, kam ją puolti?"

Mažos elektrinės dažnai yra lengvesni taikiniai būtent todėl, kad saugumui skiriama mažiau dėmesio. Be to, užpuolikai retai ieško konkrečios elektrinės — jie tiesiog skanuoja internete atvirus Modbus ar kitus pramoninio valdymo prievadus. Jei jūsų sistema matoma, ji bus bandoma.

„Monitoringo sistema yra atskira, ji nesusijusi su valdymu"

Tai dažnai klaidinga prielaida. Daugelis monitoringo sistemų gali ne tik stebėti, bet ir siųsti komandas inverteriams. Riba tarp stebėjimo ir valdymo dažnai nėra techninė — ji priklauso nuo konfigūracijos.

„Gamintojas prižiūri atnaujinimus, mums nereikia rūpintis"

Gamintojas gali siųsti atnaujinimus, bet jis neatlieka jūsų sistemos audito. Jis nežino, kaip jūsų tinklas sukonfigūruotas, ar nuotolinė prieiga apsaugota, ar naudojami silpni slaptažodžiai. Tai visada lieka elektrinės savininko atsakomybė.

Nuo sandaros supratimo iki audito

Suprasti valdymo sistemos sandarą — tai pirmasis žingsnis. Antrasis — žinoti, ar jūsų elektrinei privalomas kibernetinio saugumo auditas. Jei privalomas, tada reikia žinoti, kas gali tokį auditą atlikti.

Audito metu analizuojame visus aukščiau aprašytus sluoksnius: aparatūrą, tinklą, programinę įrangą ir debesijos ryšius. Rezultatas — aiški ataskaita su rastomis problemomis ir jų šalinimo planu. Apie tai, ką daryti, jei ataskaita rodo neatitikimus, rašome atskirai.

Jei norite aptarti konkrečios elektrinės situaciją — susisiekite dėl pirminės konsultacijos. Ji nemokama ir neįpareigoja.

Susiję puslapiai

Reikalavimai

Ar privalomas kibernetinio saugumo auditas?

Sužinokite, kurioms saulės elektrinėms taikomas privalomas auditas pagal naujus VERT reikalavimus.

 Deklaravimas

Saulės elektrinės deklaravimas ESO

Žingsnis po žingsnio: kaip pateikti saugumo deklaraciją ESO ir ko reikia iš anksto pasiruošti.

 Audito ciklas

Kaip dažnai kartoti kibernetinio saugumo auditą?

Kas 12 mėnesių ar rečiau? Atsakome, kada privaloma pakartoti auditą ir ko geriau nelaukti.