Energa-Operator SA jest jednym z największych dystrybutorów energii elektrycznej w Polsce, działa w 7 z 16 województw, odpowiada za dostawę energii do prawie 3 mln gospodarstw domowych oraz 300 tysięcy firm. Obsługa wielu urządzeń produkcyjnych, takich jak systemy sterowania czy stacje przesyłające informacje o pomiarach i stanach urządzeń wymagała budowy komputerowej sieci technologicznej TAN. Destabilizacja działania takiej sieci może prowadzić do odcięcia prądu na znacznej powierzchni państwa, dlatego sieć Energi posiada status infrastruktury krytycznej. Jej utrzymanie jest kluczowe dla prawidłowego funkcjonowania polskiej gospodarki. Taka sieć ze względów bezpieczeństwa zazwyczaj jest odseparowana od sieci lokalnej przedsiębiorstwa. Dzisiejsze sieci technologiczne muszą być połączone z systemami biurowymi i biznesowymi, gdyż jest to niezbędne do efektywnego funkcjonowania firmy.

Skomplikowana sieć połączeń

Sieć TAN Energi została połączona z siecią lokalną LAN, sieciami operatorów publicznych oraz siecią OSP (Operator Systemu Przesyłowego), która dodatkowo styka się z sieciami innych dystrybutorów energii, itp. Wszystkie te sieci są sieciami zewnętrznymi, zarządzanymi przez zewnętrzne podmioty, na które Energa ma ograniczony wpływ, a zatem traktowane są jako sieci o niewielkim zaufaniu. Ponieważ takie zewnętrzne sieci mogą stanowić potencjalny wektor ataku, zabezpieczenia sieci technologicznej TAN uwzględniały ograniczone zaufanie do ruchu przychodzącego i były projektowane pod kątem ochrony infrastruktury krytycznej. W 2013 roku kierownictwo Energi podjęło decyzję o zrealizowaniu projektu o roboczej nazwie „BBS-TAN (Bezpieczeństwo Brzegu Sieci TAN)”. Wdrożenie zrealizowała firma Trecom, wybrano urządzenia firmy Fortinet.

Zobacz również:

• Dzięki tej umowie polska policja zyska wiedzę i narzędzia zapobiegające cyfrowym zagrożeniom
• Tożsamość użytkowników celem ataków w Europie

Przemysław Mączkowski, główny architekt IT w Pionie Informatyki i Telekomunikacji Energa-Operator SA mówi: „Najtrudniej jest temu pierwszemu. Do tego zadania przygotowywaliśmy się od 2011 roku. Dzięki kompleksowemu systemowi chroniącemu zarówno brzegi sieci, jak i jej wnętrze, prąd ma szansę w niezakłócony i wydajny sposób płynąć do gospodarstw i firm na jednej czwartej powierzchni całego kraju. Infrastruktura krytyczna, jaką jest sieć przesyłowa Energa-Operator, jest chroniona 24 godziny na dobę”.

Ochrona na styku sieci

Do obrony punkty styku TAN z sieciami zewnętrznymi wykorzystane zostały zapory FortiGate firmy Fortinet. Przy konfiguracji urządzeń uwzględniono pracę specjalizowanych aplikacji automatyki przemysłowej, wprowadzono również identyfikację użytkowników (a nie tylko adresów IP). Platforma obrony sieci technologicznej korzysta z narzędzi detekcji intruzów i prewencji sieciowej IPS (ang. Intrusion Prevention System), uzupełnionej o skaner antywirusowy i narzędzia wykrywające działanie złośliwego oprogramowania.

Aby zapewnić inspekcję całego ruchu przechodzącego między TAN a zewnętrznymi sieciami, ruch SSL podlega deszyfrowaniu na punkcie styku, inspekcji, a następnie ponownemu zaszyfrowaniu. Opracowane środowisko umożliwiło wdrożenie skutecznych reguł polityki bezpieczeństwa. Do weryfikacji tożsamości wykorzystano dwuskładnikowe uwierzytelnienie, obejmujące infrastrukturę klucza publicznego, w tym własny system podpisywania, wydawania, zarządzania i wymiany certyfikatów. W pierwszym kroku komunikacja nawiązuje się na podstawie certyfikatu. W drugim kroku następuje uwierzytelnienie za pomocą nazwy użytkownika i hasła. Aby minimalizować ryzyko ataku z zewnątrz, sieć TAN nie ma w ogóle dostępu do Internetu. Niezbędne aktualizacje systemów operacyjnych, baz danych oraz firmware urządzeń są wprowadzane za pomocą dedykowanego do tego celu systemu. Połączenia użytkowników są terminowane na brzegu sieci i odbywają się przez chronione i dedykowane do tego aplikacje.

Rezultaty

System bezpieczeństwa firmy Fortinet pomógł zminimalizować ilość skrośnych połączeń na brzegu sieci TAN. Ponadto możliwe jest kontrolowane przerwanie sesji na brzegu sieci i przepuszczenie komunikacji dopiero po uprzednim zbadaniu. Jako że ataki na infrastrukturę krytyczną mogą mieć również charakter długotrwały, system został powiązany z funkcjonującym w Energa-Operator systemem SIEM i skorelowany z systemami zarządzania konfiguracją i kopiami zapasowymi. Dzięki temu specjaliści IT Energi są w stanie szybko przywrócić całą infrastrukturę do ostatnio działającego stanu.

Wdrożenie w Energa-Operator SA jest pierwszym i dotychczas jedynym w Polsce tak kompleksowym zabezpieczeniem styku sieci TAN i LAN w sektorze energetyki.