Bezpieczeństwo cyfrowe zaawansowanej infrastruktury pomiarowej

1. Bezpieczeństwo cyfrowe zaawansowanej infrastruktury pomiarowej dr inż. Krzysztof Billewicz Instytut Energoelektryki Politechniki Wrocławskiej www.krzysztofbillewicz.pl

2. Dwa podejścia podczas rozpatrywania problematyki bezpieczeństwa cyfrowego • zagrożenia dla pojedynczego klienta, • zagrożenia dla pracy całego systemu lub dużej jego części – ten aspekt będzie poruszany w referacie.

4. Zaawansowana infrastruktura pomiarowa AMI w swej podstawowej funkcjonalności zapewnia opomiarowanie wszystkich punktów końcowych oraz automatyzację komunikacji z nimi. Dokonywane pojedyncze włamania i manipulacje przy takiej funkcjonalności zazwyczaj mają bardzo mały wpływ na pracę systemu elektroenergetycznego jako całości. Problemem byłoby manipulowanie i zaniżanie wskazań licznika prowadzone na masową skalę.

5. Kto może chcieć zakłócać działanie systemu elektroenergetycznego? • Można wyróżnić trzy grupy podmiotów – osób, które mogą chcieć dokonywać manipulacji w AMI i których działania mogą doprowadzić do przeciążenia systemu elektroenergetycznego: • • klienci, • • kompetentni (wtajemniczeni) pracownicy operatora systemu dystrybucyjnego, • • terroryści i mieszkańcy wrogiego państwa.

6. Możliwe manipulacje w liczniku dokonywane przez klienta: • • zaburzenie danych zapisanych w liczniku, • • przekonfigurowanie ustawień i parametrów licznika, • • zakłócanie transmisji danych, • • podmiana oprogramowania wewnętrznego licznika tak, aby przekazywał on zaniżone wartości energii (w opracowaniach nt. AMI zwraca się uwagę, żeby podmiana oprogramowania wewnętrznego nie miała wpływu na własności metrologiczne liczników).

7. Inteligentny licznik energii elektrycznej • Źródło: emfsafetynetwork.org

8. Inteligentny licznik energii • Źródło: http://onthelevelblog.files.wordpress.com/2011/01/img_3060.jpg

9. Nasłuch • Jeżeli protokół nie będzie jawnie dostępny, to klient może prowadzić nasłuch. Obecnie dzięki nasłuchowi można określić, co jest przyczyną braku komunikacji. Przykładowe przyczyny: • • licznik nie odpowiada – sygnał albo nie dociera do licznika, albo licznik nie odpowiada, • • nieprawidłowa komunikacja licznika, • • nieprawidłowa konfiguracja portu szeregowego, • • za mały bufor w module komunikacyjnym, • • uszkodzony moduł komunikacyjny, • • niektóre uszkodzenia licznika (określa je rejestr F.F.), • • itp.

10. Inżynieria wsteczna • Klient może posłużyć się tzw. inżynierią wsteczną. Inżynieria wsteczna lub inżynieria odwrotna (ang. reverse engineering) jest to analiza gotowego produktu (urządzenia lub oprogramowania), która ma na celu ustalenie jak on dokładnie działa, a także w jaki sposób i jakim kosztem został wykonany. Celem może być również próba odpowiedzenia na pytanie: jak przebiegał proces jego tworzenia. Inżynieria wsteczna może być wykorzystywana w celu osiągnięcia pewnej funkcjonalności, przy ominięciu konsekwencji wynikających z praw autorskich lub patentów. Inżynieria taka może być stosowana w celu zapewnienia obsługi nieudokumentowanych standardów lub protokołów komunikacyjnych.

11. Konsekwencje manipulacji przy licznikach • Ataki klientów na system AMI spowodują większe zużycie energii w szczycie zapotrzebowania, kiedy cena energii dla przedsiębiorstw obrotu i niektórych klientów jest najwyższa. Spowoduje to zaniżenie przekazywanej informacji o zużyciu energii.

12. Jeżeli jednak włamywanie się do liczników będzie łatwe i powszechne, to może to znacząco oddziaływać na system elektroenergetyczny. Ważnym czynnikiem, od którego zależy nasilenie ataków jest określenie, jak bardzo powszechne staną się ataki klientów. Jeżeli bowiem atak będzie możliwy dla klientów posiadających umiarkowane umiejętności techniczne i klienci będą z tego korzystać, to znacznie wzrośnie zagrożenie dla systemu elektroenergetycznego.

13. Konsekwencje manipulacji przy liczniku • Cena energii powoduje, że odbiorcy ograniczają pobór energii. W przypadku dopuszczenia do manipulowania przy liczniku przez odbiorcę, którego działanie doprowadzi do niezliczania pewnej części pobieranej energii, w konsekwencji spowoduje to zwiększenie zużycia energii przez konsumentów oraz większe marnotrawienie energii.

14. Sabotaż pracownika OSD • Poufne porozumienie wtajemniczonego pracownika OSD z zarządem elektrowni wraz z wykorzystaniem AMI mogą służyć do zarabiania pieniędzy. Pracownik w przedsiębiorstwie dystrybucyjnym będzie wykorzystywał AMI do zwiększenia zużycia energii w szczycie obciążenia, tworząc tym samym zwiększone zapotrzebowanie na wytwarzanie energii. Działanie takie na dużą skalę spowoduje na rynkach hurtowych zwiększenie cen, w stosunku do tych, które obowiązywałyby bez działań powodujących wzrost obciążenia sieci. Wytwórcy energii będą zatem zarabiali więcej pieniędzy i w ramach rekompensaty mogą podzielić się nadwyżką z osobą, która przyczyniła się do zwiększenia zapotrzebowania na energię.

15. Cechy charakterystyczne takich działań • • działania takie służą do zarabiania pieniędzy; nie powodują ingerencji w AMI, • • wysoki poziom ukrywania takich działań – są one trudne do wykrycia, • • wystarczą niskie umiejętności informatyczne i internetowe: są to nadużycia systemu AMI, a nie cyberataki, • • czas realizacji w miesiącach, • • podmiotem poszkodowanym jest klient, który musi płacić wyższą cenę za energię lub przedsiębiorstwo obrotu, jeżeli stosuje ono są zryczałtowane stawki za energię dla klientów końcowych a samo musi energię kupować na rynkach hurtowych.

16. Konsekwencje • W przeciwieństwie do ataku przeprowadzonego przez klienta, w rezultacie ataku osoby wtajemniczonej nie będzie spadku rentowności przedsiębiorstwa dystrybucyjnego ani przedsiębiorstwa obrotu. Takie działania skutkują sztucznie zawyżonymi kosztami energii dla klientów. Jednakże cena dla klientów może być regulowana przez organ regulacyjny energetyki, a ten może nie wyrazić zgody na przenoszenie takich, zawyżonych kosztów na klienta. W konsekwencji przedsiębiorstwo obrotu będzie działało ze stratą finansową, ponieważ będzie musiało kupować energię na rynku hurtowym po zawyżonych cenach.

17. Działania terrorystyczne • Przykładowo osoba atakująca może wykorzystać DSM do wysyłania sygnałów wyłączenia wszystkich sterowanych urządzeń klienta. Po wystarczająco długim czasie, po którym wszystkie urządzenia powinny zostać wyłączone, atakujący może wysłać sygnał do włączenia wszystkich urządzeń jednocześnie. Spowoduje to maksymalne możliwe obciążenie szczytowe systemu, które będzie narastać w bardzo krótkim czasie. W konsekwencji będzie to miało wpływ na dużą część sieci elektroenergetycznej

18. W przypadku ataku na AMI podkreśla się, że niektóre rozwiązania AMI nie mają możliwości bezpośredniego sterowania obciążeniem. W nich atakujący może wysłać nieprawidłową cenę energii (lub ustawić droższą strefę czasową) do klienta i dopiero na podstawie takiej informacji niektóre urządzenia mogą zostać wyłączone. Po takiej redukcji obciążenia i ustabilizowaniu się pracy systemu osoba atakujące może wysłać nową informację o cenie (obowiązującej strefie czasowej) i w ten sposób inteligentne liczniki masowo uruchomią wiele odbiorników u wielu klientów.

19. Wpływ ataków terrorystycznych • Wpływ ataków terrorystycznych na AMI może powodować niestabilność pracy systemu elektroenergetycznego, powszechne awarie i uszkodzenia sprzętu.

20. Administratorzy i inżynierowie systemowi • Działanie mające dokonać manipulacji danych może być dokonane również przez inżyniera systemowego lub administratora baz danych. • Nawet jeżeli dokonywany jest rejestr zmian dokonywanych na bazie danych, to zajmuje on bardzo wiele miejsca, dlatego okresowo musi być archiwizowany lub kasowany. Zmniejsza to prawdopodobieństwo znalezienia osoby odpowiedzialnej za manipulację danych.

21. Dostęp trzeciej strony • • Dostawca rozwiązania AMI i jego poddostawcy, • • Producenci liczników i koncentratorów, • • Firma informatyczna dostarczające oprogramowanie, • • Firmy świadczące usługi outsourcingowe – ze względów finansowych część prac przedsiębiorstwa dystrybucyjnego, dostawcy AMI lub przedsiębiorstwa IT może być realizowane przez inne firmy, które te same prace wykonają taniej i skuteczniej. • • Wynajmowani pracownicy, zwłaszcza przez przedsiębiorstwo informatyczne; • • Byli pracownicy przedsiębiorstwa dystrybucyjnego, dostawcy AMI lub przedsiębiorstwa informatycznego.

22. Problem dostępu podmiotów (osób) trzecich • Ponieważ bardzo wiele osób będzie znało sposoby dokonywania autoryzacji i autoryzacji dostępu oraz stosowane zabezpieczenia itp. należy bardzo skrupulatnie rozważyć politykę bezpieczeństwa, aby zmniejszyć liczbę możliwych „kanałów” dojść do manipulacji konfiguracją i ustawieniami urządzeń pomiarowych lub do baz danych i systemów pomiarowo-rozliczeniowych.

23. Zasady zarządzania bezpieczeństwem cyfrowym • • poufność transakcji – komunikacja urządzeń i aplikacji działających w ramach współpracy z systemem powinna być zawsze szyfrowana, • • identyfikacja i autoryzacja elementów systemu na wszystkich jego warstwach, • • każda zmiana konfiguracji systemu wymaga weryfikacji pod względem zgodności z polityką bezpieczeństwa, • • nie spełnienie norm polityki bezpieczeństwa systemu powinno powodować fizyczne odłączenie systemu od sieci, • • decyzję o dołączeniu lub odłączeniu systemu powinny podejmować osoby do tego upoważnione.

24. Rekomendacje • Przyjęcie otwartego referencyjnego standardu dla inteligentnych liczników, • Wymuszanie pełnego wdrożenia standardów bezpieczeństwa w inteligentnych licznikach przez ich producentów, • Uwierzytelnianie wszystkich poleceń (komend) przesyłanych z aplikacji nadrzędnej do punktu końcowego u klienta, • Uwierzytelnianie wszystkich raportów i paczek danych przesyłanych z punktu końcowego u klienta do aplikacji nadrzędnej, • Ochrona aplikacji centralnej w taki sposób, jakby to były cyfrowe zasoby krytyczne w znaczeniu standardu NERC CIP-002 (NERC-CIP od CIP-002 do CIP-009 definiuje model cyberbezpieczeństwa na potrzeby identyfikowania i ochrony kluczowych zasobów w celu zapewnienia niezawodnego działania systemu elektroenergetycznego).

25. Rekomendacje • Wdrożenie wykrywania włamań z kontrolą integralności oprogramowania systemów i aplikacji nadrzędnych, • Wykonywanie często, nieregularnie audytów, podczas których dokona się sprawdzenia czy stan wyjść (dane wyjściowe) aplikacji nadrzędnej odzwierciedlają stan wejść (dane wejściowe), • Zastosowanie silnego uwierzytelniania użytkowników korzystających z aplikacji nadrzędnej oraz rejestrowanie wszystkich działania tych użytkowników, • Wdrożenie separacji sieci, silnych zapór (ang. firewall) i ograniczonej listy kontroli dostępu do rutera w sieci AMI. • Wdrożenie mocnej separacji i ustalenie elektronicznych granic bezpieczeństwa pomiędzy siecią AMI i innymi systemami takimi jak EMS, • Wdrożenie odpowiedniej logiki bezpieczeństwa, aby zapobiec szybkim zmianom w informacjach o cenach wysyłanych aplikacji nadrzędnej do punktu końcowego klienta.

26. Wnioski • Zagadnienie bezpieczeństwa cyfrowego zaawansowanej infrastruktury pomiarowej jest zagadnieniem bardzo złożonym. Łańcuch jest tak silny, jak najsłabsze ogniwo. Podobnie jest z kwestią bezpieczeństwa cyfrowego. Dlatego nie można zaniedbać zabezpieczenia żadnego z obszarów.

27. Wnioski • Bardzo ważnym zagadnieniem jest zapewnienie bezpieczeństwa cyfrowego oraz poufności danych przez przedsiębiorstwa wdrażające rozwiązania AMI, pracowników firm informatycznych oraz byłych pracowników przedsiębiorstwa dystrybucyjnego. Należałoby opracować odpowiednie standardy zapewnienia bezpieczeństwa w różnych częściach AMI, stosować szyfrowaną transmisję danych, oraz wymagać od kooperantów gwarancji zachowania poufności.

28. Koniec Dziękuję za uwagę.

29. K. Billewicz – „Smart Metering. Inteligentny system pomiarowy”, Wydawnictwo Naukowe PWN, Warszawa 2011