ハッカーらはカナダのガスインフラを狙ったと主張している。 再生可能エネルギーは同じサイバー攻撃に耐えることができるでしょうか?

先月、親ロシア派のハッカーがカナダのガスインフラにアクセスしたとされるニュースにより、サイバーセキュリティの懸念が表面化した。 電力網を守るために、カナダは攻撃を受けやすいエネルギーシステムを守る規制を強化する必要がある、と業界関係者らは言う。

世界中のエネルギーインフラは、企業から恐喝を狙うサイバー犯罪者と、他国に優位に立とうとする国家支援者の両方によって定期的に標的にされています。 S&P Globalのデータによると、2017年から2022年の間に海運、農業、石油化学などの世界の一次産品業界に対するサイバーセキュリティ事件45件のうち、ほぼ3分の1が石油インフラが標的となった。 これには、米国の植民地パイプラインに対する2021年のランサムウェア攻撃（閉鎖と高額の身代金支払いをもたらした）や、ヨーロッパの主要な石油精製ハブからの輸送を中断した2022年の攻撃などの注目を集めた事件が含まれる。 S&Pグローバルによると、発電と電力網も人気の標的となった。

すべての攻撃がそれほど影響力があるわけではありません。 先月起きたカナダのガスインフラへの侵害疑惑では混乱は生じておらず、ハイドロ・ケベック社のウェブサイトはサーバーがトラフィックで圧倒されてクラッシュするというありきたりな攻撃の被害に遭った。 ハイドロ・ケベックによれば、この事故は電力の生産、送電、配電には影響しなかったという。

現在、カナダが再生可能エネルギーを拡大する中、クリーンテック事業者は化石燃料事業者と同じサイバーセキュリティの脅威に直面することになるため、インフラに強力な防御を構築する機会を捉えるべきだと専門家らは述べている。

アンモライト・テクノロジー社のタルン・シン氏とリッチ・ホジキンソン氏は、カナダ国家監視員への詳細な声明で、どのタイプのエネルギーシステムがサイバー攻撃に対して最も脆弱であるかについて単純な答えはない、と述べた。 Ammolite Technology は、中小企業、慈善団体、非営利団体向けのセキュリティ ソリューションをサービスに提供する IT サービス プロバイダーです。

2021年のカナダの一次エネルギー消費量の約64％が化石燃料であったため、石油・ガスインフラはカナダの生活破壊を狙う攻撃者らの主な標的となっていると彼らは指摘した。

現時点では、大規模な風力発電所や太陽光発電所などの再生可能エネルギーインフラが国のエネルギーミックス全体に占める割合は小さいため、ターゲットとしての価値は低い可能性が高いとシン氏とホジキンソン氏は述べた。 しかし、カナダが2035年までにネットゼロ送電網の実現を目指して再生可能電力を増強する中、その割合は今後数年で増加する可能性がある。

カナダのサイバーおよび外国信号情報機関である通信安全保障局（CSE）は、電子メールでの声明でカナダ国立監視員に対し、すべての重要なインフラがサイバーセキュリティの脅威による危険にさらされているが、「再生可能エネルギープロジェクトに特有の情報は何も持っていない」と述べた。 」

エネルギーインフラを危険にさらす可能性のある主な要因としては、ターゲットの価値と脆弱性、および誰が攻撃しようとしているかなどが挙げられます。

カナダのサイバーセキュリティ企業プルリロックの最高経営責任者（CEO）イアン・L・パターソン氏は、「世の中にはさまざまな動機で危害を加えようとする悪意のある人物がたくさんいる」と述べた。 犯罪組織は多くの場合、企業や組織から身代金の支払いを引き出したり（2021 年のコロニアル パイプライン攻撃の場合のように）、データを盗んだりして金儲けをしようとしています。

パターソン氏はカナダ国立監視員の電話インタビューで、「世界的に最も大きな富の移転は、行われた知的財産窃盗キャンペーンの結果として米国から中国へのものであるとよく言われる」とカナダ国立観測所に語った。 犯罪者と共通する金銭的動機とは別に、敵対的な国民国家や国家支援組織も、機密情報を盗んだり、国の重要なインフラを破壊しようとしたりする攻撃から利益を得る立場にあると同氏は付け加えた。

同国の再生可能エネルギーの割合が増加し、そのインフラが石油やガスのインフラと同程度にアクセス可能になれば、「同様に魅力的なターゲット」になる可能性があるとシン氏とホジキンソン氏は述べた。 あらゆるインフラストラクチャにとって、問題は単一障害点、つまり、悪用されてシステム全体の動作停止を引き起こす可能性のある 1 つの障害があることです。

シン氏とホジキンソン氏は、再生可能エネルギーのインフラは本質的に化石燃料のインフラに比べて集中化が進んでいないため、「慎重ながらも楽観的」だと述べた。 また、通常、夜間や気象パターンによって引き起こされるダウンタイムに対処するためにバッテリーとエネルギー貯蔵装置を備えた設計になっており、化石燃料システムとは異なり、停電による混乱に対する回復力を備えていると彼らは付け加えた。

しかし、これは、すべての再生可能エネルギーシステムに、ハッカーがシステムを無力化するために利用できる大きな脆弱性が現在存在しない、あるいは将来存在しないということではない、とシン氏とホジキンソン氏は述べた。

数え切れないほどの要因が関係しています。 たとえば、再生可能エネルギー部門が最終的に少数の企業によって独占または支配される場合、サイバーセキュリティインシデントにより、影響を受けるエネルギープロバイダーのシステム全体が崩壊する可能性があると考えるのが合理的だとシン氏とホジキンソン氏は述べています。

Plurilock の CEO、パターソン氏にとって、カナダの再生可能エネルギー インフラの初期段階は、サイバーセキュリティの基準を引き上げる機会を提供しています。

多くの場合、クリーンテックはゼロから構築され、一般原則として、最初からセキュリティ基準を念頭に置いてシステムを構築すると、安全なシステムを構築するのがはるかに簡単になる、とパターソン氏はカナダの国立監視員に語った。

「事後的にセキュリティを強化するのは非常に難しい。したがって、私の観点から見ると、クリーンテックと再生可能エネルギーは実際、送電網の安全性を高め、強化する機会を提供する」と同氏は語った。 「従来の送電網を確保しようとする場合、実際にははるかに困難な問題になります。」

太陽光発電の脆弱性についても懸念が提起されている。

2016年の調査によると、企業のソーラーパネルに欠陥があると、電力網がハッキング、つまりインターネットに接続されたパネルのインバータを通じて脆弱になる可能性があるという。 インバーターは、パネルで生成された電気を電力網で使用できるように変換します。 当時、別の研究者はBBCに対し、研究で概説されているほど極端ではないものの、送電網の安定性に対するリスクは存在すると考えていると語った。 同社によると、脆弱性があったのは一部のインバータモデルのみだったという。

7年後、この研究を振り返り、シン氏とホジキンソン氏は「他の種類の再生可能エネルギーや化石燃料のインフラよりも脆弱であるとして太陽光発電を特別に取り上げるつもりはない」と語った。主な理由は、サイバーセキュリティの基準はどの種類のエネルギーでもかなり低いからである。インフラストラクチャー。

攻撃者を阻止するために、今後の再生可能エネルギーインフラは「強力な規制執行」の対象となる必要がある、と彼らは主張する。

サイバーセキュリティ対策とベストプラクティスを導くために一般的に使用されるいくつかの異なる標準、すなわち、国際標準と米国標準があります。 カナダには国家基準がありますが、カナダの企業や組織がこれらの基準を満たすことは義務付けられていません。

カナダのサイバーセキュリティを強化する可能性のあるツールの 1 つは、法案 C-26 です。これは、明確なサイバーセキュリティの枠組みを導入しようとするもので、とりわけ、金融、エネルギー、運輸などの分野の重要なサイバー システムの運用者に、システムを保護し、起こり得るリスクを管理し、インシデントを検出し、あらゆる影響に対処するためのサイバーセキュリティ プログラム。 指定されたオペレーターには、あらゆるサイバーセキュリティ インシデントを CSE に「即時報告」し、重要なサイバー システムを保護するために知事が発令した措置に従うことが求められています。

この法案で提案されている重要サイバーシステム保護法の下では、事業者はサプライチェーンやサードパーティ製品の使用から生じるリスクに対処するために「合理的な措置を講じる」継続的な義務も負うことになる。 法案 C-26 は、公安および国家安全保障に関する常任委員会によって検討される予定です。 通信事業者に特定のサイバーセキュリティ標準を採用する必要はありません。 カナダの IT セキュリティ リスク管理のベースライン ガイダンスに加えて、米国にも同様の独自のフレームワークがあり、よく知られた国際的なサイバーセキュリティ標準もあります。

パターソン氏は、ほとんどの組織は「これらの標準にかなり似た方式に従っている」と述べた。 同氏は、大規模な組織にとって、さまざまな市場にわたる複数の標準に準拠することは困難であるため、少数の既存の標準に合わせて簡素化して調整することが有益であると述べています。

しかしその一方で、リソースが少ない中小企業は、これらの標準に準拠することがより困難になる可能性があるとホジキンソン氏はZoomのインタビューで指摘した。

別の業界関係者は、どの分野であっても、サイバーセキュリティに対する強力な規制が鍵となると述べている。

サイバーセキュリティ企業ミライ・セキュリティーの最高イノベーション責任者、アレックス・ダウ氏は、「すべてはお金だ」と述べ、あまりお金をかけずにリスク管理のバランスを取ることが重要だという。

企業は法的に、国や人々、環境にとって必ずしも最善ではなく、ビジネスにとって最善の意思決定を下さなければならないため、政府は規制を導入し、企業に公益のための措置を講じるよう強制する必要があるとダウ氏は述べた。

CSEの一部であるカナダサイバーセキュリティセンターは、エネルギー分野のパートナーや業界団体と協力して「サイバー脅威情報を共有し、全体的なサイバーセキュリティとサイバーレジリエンスを強化する」とCSEメディアリレーションズのロビン・ホーコ氏は声明で述べた。

エネルギー関連の例について尋ねられたとき、CSEは情報共有に依存する2つの「継続的な協力」を挙げた。 サイバーセキュリティ センターとカナダガス協会は、カナダ全土のガス配送システムのセキュリティを強化することを目的とした Blue Flame プログラムに協力しています。 もう 1 つのパートナーシップは、オンタリオ州の独立電力システム事業者とのもので、サイバーセキュリティのリスクを軽減し、カナダのエネルギー部門に対する洞察と分析を提供することを目的としています。

「私たちが変化をもたらすのはサイバーセキュリティ保険だと思います」とホジキンソン氏はZoomのインタビューで語った。

「私が保険会社で、大規模な石油・ガス会社や再生可能エネルギー会社を引き受けたいのであれば、彼らがサイバーセキュリティを強化するためにできる限りのことを行っていることを確認したいと思います」と同氏は述べた。

国境の南では、米国は太陽光発電のサイバーセキュリティに関する研究を進めており、2020年には再生可能エネルギーシステムやその他の分野におけるサイバーセキュリティを改善するための複数年計画を発表した。 風力エネルギー局には、風力エネルギーのサイバーセキュリティに関する具体的なロードマップもあります。

シン氏とホジキンソン氏は、カナダのサイバーセキュリティ開発に関して「信頼できる一貫した報告ソースが不足している」と指摘し、アンモライト・テクノロジーはサイバーセキュリティにおける最新の規制や技術開発について米国が常に最新情報を入手できるよう期待していると述べた。

— カナダ通信社のファイルを使用

ナターシャ・ブロースキー / Local Journalism Initiative / カナダ国立監視員