Zagrożenia i zabezpieczenia

Tradycyjne sieci energetyczne ewoluują w kierunku rozwiązań smart grid, które integrują sieć energetyczną z technologiami informatycznymi i telekomunikacyjnymi. Smart grid to ogromna, złożona sieć, składająca się z milionów komunikujących się ze sobą urządzeń. W takiej sieci pojawiają się nowe zagrożenia i podatności na ataki, a jej zabezpieczenie jest dużym wyzwaniem.

Bezpieczeństwo to jeden z najważniejszych problemów w systemach smart grid. W przypadku ataku zagrożeni są zarówno klienci, jak i dostawcy energii. Kwestie bezpieczeństwa można tutaj podzielić na trzy główne obszary: przywrócenie zasilania w przypadku wystąpienia przerwy w dostawach, integralność komunikacji oraz poufność danych użytkowników.

Podatności

Pobierz bezpłatny Raport „Inteligentna Energetyka”

Już wkrótce w Polsce będzie zainstalowanych około miliona inteligentnych liczników. Perspektywy rozwoju sieci smart grid w naszym kraju i przykłady wdrożeń w Europie to główne tematy raportu.

Inteligenta sieć jest bardziej złożona niż konwencjonalna sieć energetyczna, a przez to podatna na różne typy ataków. Te podatności mogą umożliwić atakującemu dostęp do sieci, naruszenie poufności lub integralności transmitowanych danych czy spowodowanie przerw w dostawach prądu. Do najistotniejszych podatności zalicza się bezpieczeństwo klientów. Inteligentne liczniki autonomicznie gromadzą duże ilości danych i przesyłają je do dostawcy energii. Z reguły chodzi o dane osobowe klienta, które atakujący może następnie wykorzystać do eskalacji ataku. Przesyłane są również informacje o podłączonych do sieci urządzeniach domowych czy okresach, kiedy w domu nie ma domowników.

Zobacz również:

Poważnym problemem jest bezpieczeństwo fizyczne, ponieważ wiele komponentów składających się na system smart grid pozostaje poza bezpośrednią kontrolą dostawcy energii. To powoduje wzrost liczby niezabezpieczonych lokalizacji podatnych na fizyczny dostęp. Kolejny problem to współistnienie stosunkowo nowych systemów IT z niekiedy wiekowym osprzętem energetycznym (urządzenia energetyczne mają znacznie dłuższy cykl życia niż sprzęt IT). Ten osprzęt może niekiedy zostać wykorzystany jako punkt włamania do sieci, ponieważ z reguły będzie słabiej zabezpieczony czy też niekompatybilny z najnowszymi urządzeniami zasilającymi. Ponadto na atak, np. spoofing (podszywanie się) jest wystawiona bezpośrednio komunikacja między urządzeniami energetycznymi. Atakujący może, np. zmienić stan jednego urządzenia, a to ma wpływ na działanie innego. Przykładowo, wysłanie fałszywej informacji o stanie może sprawić, że inne urządzenia będą działać w niepożądany sposób. Wyzwaniem jest też zgrana współpraca między zespołami zarządzającymi siecią. Brak zorganizowanej komunikacji między nimi może powodować podejmowanie błędnych decyzji prowadzących do powstawania kolejnych podatności.

Wykorzystanie protokołu IP oraz sprzętu i oprogramowania „z półki” jest wielką zaletą, ponieważ umożliwia komunikację pomiędzy różnorodnymi komponentami. Jednak urządzenia korzystające z IP są nieodłącznie narażone na wiele ataków typowych dla sieci IP, jak IP spoofing, Tear Drop, DDoS i wiele innych.

Atakujący i rodzaje ataków

Opisane podatności mogą być wykorzystane zarówno przez hakerów-amatorów, jak i profesjonalistów. Różne mogą być też motywacje, począwszy od chęci sprawdzenia własnych umiejętności, poprzez niezadowolonych klientów i pracowników, nieuczciwą konkurencję, na terrorystach skończywszy. Atakujący może wykorzystać podatności w komponentach sieci, używanych w niej protokołach lub w zastosowanej topologii.

Ataki na komponenty z reguły są ukierunkowane na tzw. Remote Terminal Unit (RTU), czyli urządzenia wykorzystywane przez inżynierów do zdalnego zarządzania systemem smart grid. Funkcja zdalnego dostępu umożliwia atakującemu zdalne przejęcie urządzenia i podejmowane różnych działań, np. ustawienie fałszywego statutu urządzeń. Celem ataków wykorzystujących protokoły jest komunikacja sieciowa. Do ich przeprowadzenia może być użyta inżyniera wsteczna czy też próby umieszczania fałszywych danych. Natomiast do ataków na topologię zalicza się ataki Denial-of-Service (DoS), które uniemożliwiają operatorowi pełny monitoring sieci, co prowadzi do podejmowana niewłaściwych decyzji. Ponieważ sieci smart grid korzystają ze stosu protokołów TCP/IP, są podatne na tego typu ataki. Celem ataku DoS może być zablokowanie lub opóźnienie przesyłania informacji, co z kolei powoduje niedostępność zasobów systemu smart grid.

Pod kątem systemów smart grid mogą również powstać wirusy, które będą infekować inteligentne liczniki czy też serwery operatora sieci. Takie szkodliwe oprogramowanie może posłużyć do dodawania nowych funkcji do urządzeń, np. przesyłających poufne dane do atakującego. Poufne informacje, np. o strukturze kontrolnej systemu smart grid czy dane o zużyciu energii, mogą wyciec również na skutek monitorowania i analizy ruchu sieciowego. Atakujący może również wysyłać spreparowane komunikaty, aby wprowadzić do sieci fałszywe informacje, np. błędne dane z odczytów, fałszywe ceny czy nieprawdziwe komunikaty ostrzegawcze. Takie działania mogą mieć poważne skutki finansowe dla rynku energetycznego.

Włamanie do systemu może nastąpić również poprzez połączenia z bazą danych. System kontrolny zapisuje informacje o zdarzeniach występujących w sieci do bazy danych. Jeśli system zarządzania bazą danych nie jest poprawnie skonfigurowany, doświadczony włamywacz może uzyskać dostęp do bazy danych, a następnie wykorzystać ten fakt do eskalacji ataku.

Na różne formy ataku są narażone również urządzenia komunikacyjne, jak multipleksery. Urządzenie, którego zabezpieczenia zostały złamane, może być następnie wykorzystane jako tylna furtka do dalszych ataków.

Specyficzne dla systemów smart grid są ataki na protokół Modbus. Jest on częścią systemu SCADA wykorzystywanego do monitorowania procesów przemysłowych czy infrastrukturalnych. Modbus służy do wymiany informacji niezbędnych do kontrolowania procesów. Problem w tym, że ten protokół nie był projektowany z myślą o środowiskach wymagających wysokiego stopnia bezpieczeństwa i możliwych jest kilka ataków na ten protokół, m.in. wysyłanie fałszywych komunikatów rozgłoszeniowych czy przechwytywanie komunikatów tego protokołu.

Nie są to teoretyczne rozważania, lecz realne zagrożenia. Już dwa lata temu pojawiły się pierwsze moduły do Metasploit (popularna platforma służąca do tworzenia exploitów) stworzone specjalnie do wykorzystywania podatności wykrytych w sieciach smart grid. Ujawnione podatności dotyczyły krytycznych komponentów sieci smart grid. Z kolei amerykańskie FBI informowało o przypadku byłych pracowników firmy energetycznej, którzy za opłatą oferowali modyfikowanie inteligentnych liczników tak, aby zaniżać rachunki za prąd. Co ciekawe, jednym z użytych do tego celu narzędzi był zwykły magnes.

Wyzwania

Zabezpieczenia opracowane dla tradycyjnych sieci IT nie są efektywne w systemach smart grid z uwagi na istotne różnice pomiędzy nimi. Różne są przede wszystkim cele zapewnienia bezpieczeństwa. W sieciach IT zabezpieczenia mają zapewnić poufność, integralność oraz dostępność, podczas gdy w sieciach typu grid celem jest bezpieczeństwo ludzi, ochrona urządzeń i linii energetycznych oraz systemu bieżącego utrzymania sieci. Co więcej, architektura sieci IT jest inna nie ta w systemach smart grid, ponieważ w środowiskach informatycznych zabezpieczenia koncentrują się na ochronie miejsc przechowywania danych, z reguły chodzi o centra danych.

Do tego dochodzą różnice w topologii. Sieci informatyczne korzystają z dobrze opisanych systemów operacyjnych i protokołów, podczas gdy w sieciach energetycznych pracuje wiele zamkniętych systemów i protokołów specyficznych dla poszczególnych producentów. Na koniec, inne są wymagania dotyczące dostępności. W świecie IT najczęściej akceptowalny jest przypadek restartu urządzenia w przypadku awarii czy prac serwisowych, podczas gdy w systemach smart grid taka sytuacja jest niedopuszczalna, ponieważ zasilanie musi być dostępne non stop.

Z powodu wymienionych różnic zrodziła się potrzeba opracowania nowych rozwiązań w zakresie zabezpieczeń adresowanych do sieci smart grid. Niestety ich rozwój napotyka na wiele wyzwań, przede wszystkim niektóre komponenty wykorzystują zamknięte systemy operacyjne do kontrolowania różnych funkcjonalności, a same sieci energetyczne były projektowane bez uwzględnienia kwestii bezpieczeństwa. Nowe zabezpieczenia muszę też spełniać kilka wymagań: powinny być zintegrowane z istniejącymi systemami bez obniżania ich wydajności, zdalny dostęp do urządzeń pracujących w sieci powinien być monitorowany i kontrolowany, a nowe protokoły powinny umożliwiać dodawanie do nich w przyszłości mechanizmów z zakresu bezpieczeństwa.

Rozwiązanie

Mając w pamięci wymienione podatności i wyzwania dotyczące bezpieczeństwa, można się pokusić o wymienienie kilku najważniejszych zaleceń dotyczących zabezpieczenia sieci smart grid. Kontrola dostępu powinna się opierać na zasadzie całkowitej blokady dostępu z wyłączeniem zdefiniowanych wyjątków.

Ochronę przed szkodliwym oprogramowaniem powinno zapewnić dopuszczenie do instalowania na systemach wbudowanych oraz ogólnego przeznaczenia tylko aplikacji dostarczanych przez producenta. W przypadku systemów ogólnego przeznaczenia, które z założenia obsługują zewnętrzne aplikacje, należy zapewnić ochronę antywirusową oraz HIPS (Host-based Intrusion Prevention System). Istotne są też regularne audyty wykrywające podatności w sieci (przynajmniej raz w roku). W niektórych przypadkach działania użytkowników mogą doprowadzić do powstania luki w bezpieczeństwie. Mogą temu zapobiec programy edukacyjne dla użytkowników dotyczące dobrych praktyk bezpiecznego korzystania z narzędzi i aplikacji sieciowych.

Urządzenia podłączone do sieci powinny znać nadawców i odbiorców przechodzącej przez nie komunikacji sieciowej. Realizację tego założenia umożliwia wzajemne uwierzytelnianie, np. z użyciem TLS lub IPSec. Dodatkowo komunikację należy zabezpieczyć szyfrowaniem, np. z użyciem PKI. Niestety istnieją pewne ograniczenia dotyczące szyfrowania. Nie wszystkie urządzenia w sieciach energetycznych dysponują wystarczającą mocą obliczeniową i przestrzenią dyskową niezbędną do obsługi zaawansowanych technik szyfrowania i uwierzytelniania, które powstały z myślą o działaniu na pełnoprawnych komputerach klasy PC. Poza tym komunikacja w sieciach smart grid będzie przesyłana różnymi kanałami, charakteryzującymi się różną przepustowością. Przed branżą stoi więc wyzwanie opracowania nowych technik szyfrowania i uwierzytelniania, które będą miały mniejsze wymagania obliczeniowe.

W procesy związane z zabezpieczeniem sieci smart grid muszą być zaangażowani nie tylko eksperci od bezpieczeństwa IT, ale również osoby odpowiedzialne za kontrolowanie tego systemu. Trzeba też mieć na uwadze, że cykl życia systemów energetycznych jest dłuższy niż rozwiązań informatycznych, więc te drugie powinno oferować możliwość aktualizacji lub rozbudowy.

Sugeruje się również, żeby dostawcy energii współpracowali z zewnętrznymi podmiotami specjalizującymi się w zarządzaniu komunikacją sieciową. Firmy energetyczne bowiem nie dysponują z reguły zasobami ludzkimi do obsługi komunikacji w sieci smart grid. Zewnętrzni eksperci mogą zająć się nie tylko zarządzaniem komunikacją, ale również jej bezpieczeństwem.


TOP 200