Farmy wiatrowe oraz fotowoltaiczne są monitorowane i sterowane z wykorzystaniem rozwiązań automatyki przemysłowej. Ze względu na rozproszenie geograficzne urządzenia pracujące w terenie muszą umożliwiać zdalne zarządzanie parametrami pracy, diagnostykę, planowanie serwisu i reagowanie na zdarzenia. Często odbywa się to z centralnych dyspozytorni albo przez zewnętrznych dostawców utrzymania. Choć pojedyncze źródła OZE mają zwykle mniejszą moc niż duże elektrownie, skoordynowane zakłócenie pracy wielu instalacji jednocześnie może – według autorów zaleceń – wpłynąć na stabilność systemu elektroenergetycznego. To oznacza, że konsekwencje cyberincydentu nie zatrzymają się na właścicielu farmy, ale mogą dotknąć operatorów sieci, instytucje publiczne i mieszkańców.
W centrum zaleceń znalazło się uporządkowanie zdalnego dostępu do infrastruktury OZE. Pełnomocnik rządu ds. cyberbezpieczeństwa rekomenduje, by stałe połączenia były realizowane wyłącznie przez tunele VPN typu site-to-site, a dostęp serwisowy wymagał wieloskładnikowego uwierzytelniania. Jednocześnie wskazano, że inne formy zdalnego dostępu, na przykład przez popularne narzędzia wsparcia technicznego, powinny zostać zablokowane. Kluczowa jest również zasada, że urządzenia OT i powiązane z nimi oprogramowanie nie mogą być dostępne bezpośrednio z internetu, podobnie jak interfejsy administracyjne urządzeń brzegowych, w tym koncentratorów VPN.
Rządowe rekomendacje podkreślają konieczność zmiany wszystkich domyślnych haseł, również w urządzeniach OT, oraz stosowania haseł unikalnych w obrębie farmy i innych obiektów danej organizacji. Ważnym elementem jest rozliczalność, czyli odejście od współdzielonych kont na rzecz indywidualnych dostępów przypisanych do konkretnych użytkowników. W zaleceniach wskazano także potrzebę wyznaczenia osoby odpowiedzialnej za cyberbezpieczeństwo instalacji oraz utrzymywanie stałego kontaktu z krajowym systemem cyberbezpieczeństwa. Samorządy i podmioty eksploatujące OZE powinny też zgłosić i zweryfikować zakresy zewnętrznej adresacji IP oraz wykorzystywane domeny w portalu moje.cert.pl, co umożliwi monitorowanie bezpieczeństwa tych zasobów.
Zalecenia obejmują również porządkowanie infrastruktury od środka. Wskazano potrzebę inwentaryzacji sprzętu i oprogramowania z informacjami o interfejsach administracyjnych, użytkownikach i uprawnieniach, adresacji IP, numerach seryjnych i wersjach systemów. Rekomendowana jest segmentacja sieci obiektu, co najmniej przy użyciu technologii VLAN, oraz wdrażanie reguł dostępu zgodnie z zasadą minimalnych uprawnień. Po każdej zmianie konfiguracji urządzeń należy sporządzać kopię zapasową i przechowywać ją offline w odizolowanym środowisku. W części dotyczącej aktualizacji podkreślono konieczność śledzenia komunikatów bezpieczeństwa dla urządzeń brzegowych i wdrażania poprawek zgodnie z zaleceniami producentów, a w przypadku urządzeń OT – podejmowania decyzji w oparciu o analizę ryzyka, przy zachowaniu regularnego cyklu aktualizacji w ramach planowanych prac serwisowych.
W przypadku zaobserwowania nietypowego zachowania urządzeń lub oprogramowania zalecane jest niezwłoczne powiadomienie właściwego CSIRT poziomu krajowego. CSIRT GOV obsługuje administrację rządową i infrastrukturę krytyczną, CSIRT MON dotyczy instytucji wojskowych, a CSIRT NASK pozostaje punktem kontaktu dla pozostałych podmiotów. Dodatkowo rekomendowane jest zapewnienie retencji logów z urządzeń brzegowych, zawężenie listy adresów IP dopuszczonych do dostępu serwisowego, wykorzystywanie prywatnych sieci APN w transmisji GSM/LTE, przygotowanie i aktualizowanie planu reagowania na incydent, a także nagrywanie sesji zdalnego dostępu. Wzmocnieniu powinna ulec również ochrona fizyczna poprzez monitoring wizyjny i kontrolę dostępu.
