A mai posztban egy kicsit távolabb megyünk az ICS kiberbiztonság világától (illetve majd a poszt végén röviden megmutatom, miért is nincs ez a téma olyan távol a blog szokásos témáitól) és kicsit az árampiac, illetve hivalatosabb nevén (ahogy a HUPX Magyar Szervezett Villamosenergia-piac Zrt. nevében is megjelenik) a villamosenergia-piac kiberbiztonságával fogunk foglalkozni.
Ahogy a megújuló energiatermelési formák (főként a nap- és szélerőművek illetve egyes európai országokban, pl. Ausztriában és Norvégiában a vízerőművek) egyre nagyobb részarányt szereznek az európai villamosenergia-termelésben, illetve ezzel párhuzamosan a liberalizált villamosenergia-piac folyamatai a villamosáramot is egy (viszonylag) szabadon kereskedhető termékké tették. Más hasonló termékekkel szemben azonban a villamosenergiának vannak olyan sajátosságai (pl. a tárolhatóságban meglévő korlátok), amik miatt ezen a területen ugyanolyan időkritikusak lesznek a kereskedési folyamatok, mint a pénz- és értékpapír piacokon és az itt mozgó pénzek is nagyon gyorsan elérhetik a sok milliárdos összegeket (nem feltétlenül csak Forintban értve). Ez pedig azt jelenti, hogy az árampiaci kereskedésekhez használt rendszerek várhatóan ugyanúgy célpontjai lesznek a kiberbűnözőknek, mint ahogy a banki és más pénzügyi szektorban működő cégek rendszerei már évtizedek óta folyamatosan célkeresztben vannak. Ez pedig azt jelenti, hogy ezeknek a rendszereknek a védelmére is fokozottan fel kell készülni.
Annyiban nem veszélyes ez a helyzet, hogy a szervezett villamosenergia-piaci rendszerek jellemzően ugyanolyan IT komponensekből épülnek fel, mint a legtöbb (nagy)vállalati IT rendszer, az a fajta időkritikus működés pedig, ami az egyik legkomolyabb követelményként jelentkezik ezeknél a rendszereknél, szintén nem ismeretlen pl. az azonnali átutalások világára évek óta készülő banki rendszerek környékén edződött IT és IT biztonsági szakemberek számára.
Mindezekből azt a következtetést lehet levonni, hogy a pénzügyi szektorral szemben támasztott követelmények mintájára hasznos lenne mielőbb egy nagyon hasonló kiberbiztonsági követelményrendszert kidolgozni és kötelezővé tenni a szervezett villamosenergia-piacon működő cégek számára és egy megfelelően felkészült, képzett szakmai auditorokkal rendelkező felügyeleti szervet kijelölni ezeknek a követelményeknek a betartatására (hasonlóan az MNB-ben működő pénzügyi felügyeleti feladatokkal foglalkozó részlegéhez).
Ami pedig az árampiaci rendszerek és az ICS rendszerek összefüggését illeti, már jelenleg is igaz, a jövőben pedig ez fokozottan igaz lesz, hogy az árampiaci ügyletek nyomán történő szerződések egyre inkább hatással vannak egy-egy régió vagy ország villamosenergia-rendszerének működésére, akár úgy is, hogy egyes árampiaci rendszerekből érkező adatok meghatározhatják a DCS vagy SCADA rendszerek bizonyos működési paramétereit. Ha pedig innen nézzük az árampiaci rendszerek kiberbiztonságát, már nem is tűnik olyan távolinak a téma a minket érdeklő ICS rendszerek kiberbiztonságától.
