अप्रैल 2022 में, यूक्रेन पर रूसी हमले शुरू होने के कुछ महीने बाद, जर्मनी में तीन पवन ऊर्जा कंपनियां साइबर अपराधियों की चपेट में आ गईं। हमलों ने हजारों डिजिटल रूप से नियंत्रित पवन टर्बाइनों को निष्क्रिय कर दिया।
अनुमान है कि 2050 तक, दुनिया की बिजली प्रणालियाँ 70 प्रतिशत नवीकरणीय ऊर्जा पर निर्भर होंगी, मुख्य रूप से सौर, पवन, ज्वार, बारिश और भू-तापीय स्रोतों से। ये ऊर्जा स्रोत आम तौर पर विकेंद्रीकृत, भौगोलिक रूप से दूरस्थ और अपेक्षाकृत छोटे होते हैं। इन्हें अक्सर अपर्याप्त रूप से सुरक्षित डिजिटल प्रौद्योगिकियों का उपयोग करके प्रबंधित और संचालित किया जाता है जो सीधे राष्ट्रीय बिजली ग्रिड के पुराने बुनियादी ढांचे से जुड़े होते हैं। ऐसी स्थिति जो साइबर हमलों का द्वार खोलती है.
जोखिम से लचीलेपन तक
डिजिटल नवीकरणीय ऊर्जा प्रणालियों में मजबूत साइबर लचीलापन लागू करने के लिए, जोखिम क्षेत्रों को समझना सबसे पहले महत्वपूर्ण है। 10 सबसे महत्वपूर्ण निम्नलिखित हैं:
1. एम्बेडेड सॉफ़्टवेयर में कोड कमजोरियाँ और गलत कॉन्फ़िगरेशन। नवीकरणीय ऊर्जा की मांग का मतलब है कि सहायक प्रौद्योगिकियों और अनुप्रयोगों को अक्सर तेजी से विकसित और कार्यान्वित किया जाता है, जिससे सुरक्षा नियंत्रणों को शामिल करने या परीक्षण करने के लिए बहुत कम समय बचता है। प्रदाता और उनके डेवलपर इलेक्ट्रिकल इंजीनियरिंग के विशेषज्ञ हैं और हो सकता है कि उनके पास ऐसा करने के लिए उचित सुरक्षा ज्ञान न हो। यदि त्रुटि रिपोर्ट के बाद सॉफ़्टवेयर को नियमित रूप से पैच और अपडेट नहीं किया जाता है तो जोखिम बढ़ जाता है।
2. असुरक्षित एपीआई. सॉफ़्टवेयर से संबंधित एक अन्य जोखिम यह है कि एपीआई-आधारित एप्लिकेशन तृतीय-पक्ष एप्लिकेशन सहित अन्य एप्लिकेशन के साथ डेटा और कार्यक्षमता को संचार और साझा कर सकते हैं। वे नेटवर्क या सार्वजनिक रूप से सुलभ प्रणालियों की एक सामान्य विशेषता हैं। हमलावरों को डेटा चोरी करने, उपकरणों को संक्रमित करने और बॉटनेट बनाने के लिए एपीआई का उपयोग करने से रोकने के लिए वेब एप्लिकेशन सुरक्षा और फ़ायरवॉल आवश्यक हैं।
3. प्रबंधन, नियंत्रण, रिपोर्टिंग और विश्लेषण प्रणाली। प्रबंधन और नियंत्रण सॉफ्टवेयर जैसे एससीएडीए (पर्यवेक्षी नियंत्रण और डेटा अधिग्रहण) सिस्टम और अन्य सिस्टम जो ऊर्जा स्रोतों से डेटा आयात, विश्लेषण और कल्पना करते हैं, साइबर हमलों के लिए शीर्ष लक्ष्य हैं क्योंकि वे अपराधियों को पूरे सिस्टम तक पहुंचने, डेटा में हेरफेर करने, निर्देश भेजने में सक्षम बनाते हैं और अधिक। सिस्टम जो मौसम टावर जैसे तीसरे पक्ष के स्रोतों से डेटा को एकीकृत करते हैं, समझौते के लिए एक और अवसर प्रदान करते हैं। मजबूत प्रमाणीकरण उपाय, कम से कम बहु-स्तरीय लेकिन आदर्श रूप से शून्य विश्वास पर आधारित, सीमित पहुंच अधिकारों के साथ मिलकर यह सुनिश्चित करने के लिए महत्वपूर्ण हैं कि जिनके पास प्राधिकरण है वे ही सिस्टम तक पहुंच सकते हैं।
4. स्वचालन. वितरित और विकेन्द्रीकृत नवीकरणीय ऊर्जा प्रणालियों, विशेष रूप से बड़े पैमाने पर, को XNUMX/XNUMX निगरानी और प्रबंधन की आवश्यकता होती है, जो तेजी से स्वचालित रूप से किया जाता है। जोखिम यह है कि इन प्रणालियों की सावधानीपूर्वक निगरानी नहीं की जाती है ताकि असामान्य या संदिग्ध ट्रैफ़िक पर ध्यान दिया जा सके जो किसी घुसपैठिए की उपस्थिति का संकेत दे सके। सुरक्षा समाधान जो उन्नत पहचान और प्रतिक्रिया के साथ-साथ विशेष IoT सुरक्षा सुविधाएँ प्रदान करते हैं, यहाँ मदद कर सकते हैं।
5. रिमोट एक्सेस सेवाएँ। नवीकरणीय ऊर्जा स्रोत व्यापक रूप से फैले हुए हैं और अक्सर अलग-अलग स्थानों पर स्थित होते हैं। इसका मतलब है कि उन्हें डेटा साझा करने और निर्देश और रिपोर्ट प्राप्त करने के लिए किसी प्रकार की रिमोट एक्सेस की आवश्यकता है, उदाहरण के लिए क्लाउड सेवाओं या वीपीएन के माध्यम से। रिमोट एक्सेस सेवाएं साइबर हमलों के प्रति बेहद संवेदनशील हैं और मजबूत प्रमाणीकरण और पहुंच उपाय आवश्यक हैं।
6. भौतिक स्थान. एक अन्य भौगोलिक जोखिम यह है कि स्थान किसी घटना के बाद प्रतिक्रिया और पुनर्प्राप्ति समय को धीमा कर सकता है। किसी अपतटीय पवन फार्म से आने-जाने की व्यवस्था, उदाहरण के लिए सेंसर की मरम्मत या पुनः छवि लेने के लिए, जटिल, समय लेने वाली और महंगी हो सकती है। दूरदराज के स्थानों की यात्रा करने वाले लोग आम तौर पर आईटी पेशेवर नहीं होते हैं, इसलिए एक सुरक्षा समाधान जो स्थापित करना आसान हो और एक गैर-सुरक्षा पेशेवर द्वारा प्रतिस्थापित किया जाना आवश्यक है। एक इलेक्ट्रीशियन को रविवार की शाम को टूटे हुए उपकरण को बदलने में सक्षम होना चाहिए।
7. नेटवर्क ट्रैफ़िक. नेटवर्क से गुजरने वाले सभी डेटा की निगरानी और एन्क्रिप्टेड किया जाना चाहिए। कनेक्टेड पावर सिस्टम में, डिवाइस और केंद्रीय एप्लिकेशन के बीच डेटा ट्रैफ़िक अक्सर अनएन्क्रिप्टेड होता है और छेड़छाड़ के प्रति संवेदनशील होता है। हमलावर आराम और गति में डेटा को इंटरसेप्ट कर सकते हैं। या DoS हमले यातायात प्रणालियों पर अधिभार डालते हैं।
8. इंटरनेट कनेक्शन. पारंपरिक बिजली संयंत्र, जैसे गैस से चलने वाले बिजली संयंत्र, आमतौर पर इंटरनेट से नहीं जुड़े होते हैं और इनमें तथाकथित "एयर-गैप्ड" बुनियादी ढांचा होता है, जो साइबर हमले के जोखिम को कम करता है। हालाँकि, चूंकि नवीकरणीय ऊर्जा स्रोत इंटरनेट से जुड़े हुए हैं, इसलिए उन्हें आम तौर पर यह सुरक्षा नहीं मिलती है। इंटरनेट से जुड़े सभी सिस्टम सुरक्षित होने चाहिए।
9. पुराना पावर ग्रिड बुनियादी ढांचा। अधिकांश देशों में, पावर ग्रिड का एक महत्वपूर्ण हिस्सा पुराना हो चुका होगा और इसलिए सुरक्षा अद्यतन प्राप्त करने में असमर्थ होगा। इन प्रणालियों की सुरक्षा का सबसे अच्छा तरीका उनमें सुरक्षित प्रमाणीकरण और पहुंच उपायों को शामिल करना है।
10. विनियमन और सुरक्षा समन्वय का अभाव. दीर्घकालिक सुरक्षा के लिए, कानूनों और विनियमों - जैसे कि यूरोप में एनआईएस 2.0 - को यह सुनिश्चित करना चाहिए कि नवीकरणीय ऊर्जा प्रतिष्ठानों के लिए सख्त मानक हों, चाहे वे कितने भी छोटे क्यों न हों। इसके अतिरिक्त, नवीकरणीय ऊर्जा प्रौद्योगिकी तेजी से विकसित हो रही है और आपूर्ति श्रृंखलाएं जटिल हैं - इससे यह भ्रम पैदा हो सकता है कि सुरक्षा के लिए कौन जिम्मेदार है। क्लाउड प्रदाताओं पर लागू होने वाला "साझा जिम्मेदारी" मॉडल भी यहां मदद कर सकता है।
सतत सुरक्षा
कुछ मायनों में, नवीकरणीय ऊर्जा प्रणालियाँ अन्य IoT प्रणालियों से भिन्न नहीं हैं। हमलावर कमजोर घटकों, अप्रकाशित सॉफ़्टवेयर, असुरक्षित डिफ़ॉल्ट सेटिंग्स और असुरक्षित कनेक्शन को स्कैन कर सकते हैं और उन पर हमला कर सकते हैं। एक टिकाऊ, कनेक्टेड नवीकरणीय ऊर्जा उद्योग शुरू से ही सुरक्षा और साइबर लचीलेपन के साथ बनाया जाना चाहिए - और फिर इसे चरण दर चरण लगातार बनाए रखा जाना चाहिए।
एक जटिल वातावरण को सुरक्षित करना जटिल नहीं होना चाहिए। यह एसएएसई (सिक्योर एक्सेस सर्विस एज) पर विचार करने लायक है, एक एकीकृत समाधान जो लोगों, उपकरणों और चीजों को उनके अनुप्रयोगों से सुरक्षित रूप से जोड़ता है, चाहे वे कहीं भी हों। मिश्रण में नेटवर्क विभाजन और उपयोगकर्ता प्रशिक्षण जोड़ें, और संगठनों के पास एक ठोस साइबर-लचीला आधार है - न केवल किसी हमले को रोकने के लिए, बल्कि यदि कोई हमला होता है तो प्रभाव को कम करने के लिए भी।
बाराकुडा नेटवर्क्स में नेटवर्क सुरक्षा के वरिष्ठ उत्पाद प्रबंधक स्टीफन शैचिंगर की टिप्पणी
बाराकुडा नेटवर्क के बारे में बाराकुडा दुनिया को एक सुरक्षित स्थान बनाने के लिए प्रयासरत है और उसका मानना है कि प्रत्येक व्यवसाय की क्लाउड-सक्षम, उद्यम-व्यापी सुरक्षा समाधानों तक पहुंच होनी चाहिए जो खरीदना, तैनात करना और उपयोग करना आसान हो। बाराकुडा ईमेल, नेटवर्क, डेटा और एप्लिकेशन को अभिनव समाधानों के साथ सुरक्षित करता है जो ग्राहक यात्रा के साथ बढ़ते और अनुकूल होते हैं। दुनिया भर में 150.000 से अधिक कंपनियां बाराकुडा पर भरोसा करती हैं ताकि वे अपने व्यवसाय को बढ़ाने पर ध्यान केंद्रित कर सकें। अधिक जानकारी के लिए, www.barracuda.com पर जाएं।
विषय से संबंधित लेख