Inteligentne bezpieczeństwo. Praktyczne aspekty bezpieczeństwa AMI Autor: Tomasz Szałach - ekspert ds. Strategii oraz Zarządzania Bezpieczeństwem Systemów Przemysłowych, EY Business Advisory ("Energia Elektryczna" - 11/2016) Wraz z rozwojem cyfryzacji oraz automatyzacji, a także w związku z wykładniczym wzrostem wydajności oraz funkcjonalności rozwiązań teleinformatycznych, coraz więcej organizacji sięga po inteligentne systemy. Czyni tak nie tylko w celu zmniejszenia kosztów czy zwiększenia efektywności, ale również, aby dostarczyć nową wartość swoim klientom. Dzisiejsze trendy, prowadzące do cyfrowej transformacji przedsiębiorstw i zmieniające ich dotychczasowe modele biznesowe, dotykają również branżę energetyczną. Oferują coraz bardziej zaawansowane rozwiązania, mające sprawić, by nasza sieć elektroenergetyczna stała się bardziej inteligentna wzmacniając przy tym bezpieczeństwo energetyczne oraz poprawiając jakość dostaw energii. Inteligencja przejawia się przede wszystkim w zdolności do rzetelnego oraz bezpiecznego przetwarzania (zbierania, przechowywania i analizy) oraz odpowiedniego wykorzystania danych z różnych źródeł w sposób autonomiczny. Jednym z fundamentalnych elementów sieci inteligentnych jest zaawansowana infrastruktura pomiarowa (Advanced Metering Infrastructure, AMI). Infrastruktura AMI umożliwia m.in.: - zdalny odczyt energii elektrycznej, - dostarczenie informacji w czasie rzeczywistym na temat zużycia energii, pozwalając bilansować obciążenie sieci, - dynamiczne ustalanie cen, taryf, - monitorowanie sieci niskiego napięcia. Oprócz oczywistych korzyści dla operatorów sieci, infrastruktura AMI dostarcza również wartość odbiorcom. Umożliwia im rolę prosumenta, mającego aktywny wpływ na zarządzanie obciążeniem sieciowym, a w konsekwencji również wysokością rachunku za zużycie energii elektrycznej. Tak duża zmiana niesie ze sobą jednak pewien bagaż typowy dla cyfrowej rewolucji. Jest nim cała gama ryzyk cyberbezpieczeństwa, które wynikają z technicznej charakterystyki oraz strategicznej roli infrastruktury AMI. Z punktu widzenia AMI jako systemu, jego podatność na cyberataki uwarunkowana jest przez rozproszoną, łatwo dostępną infrastrukturę połączoną w sieć. Dodatkowo, istotny jest znaczny wpływ społeczny oraz ekonomiczny, wynikający z potencjalnego ataku na infrastrukturę AMI, jako elementu infrastruktury krytycznej państwa.
Rys. 1. Wykaz krytycznych sektorów oferujących usługi krytyczne System elektroenergetyczny kręgosłupem infrastruktury krytycznej System elektroenergetyczny jest centralnym i najbardziej istotnym elementem infrastruktury krytycznej. To od jego stabilności oraz ciągłości działania zależy możliwość dostarczenia krytycznych usług niezbędnych do odpowiedniego funkcjonowania państwa. Krytyczny wpływ na społeczne oraz ekonomiczne aspekty państwa sprawia, że infrastruktura AMI jest ważna nie tylko z punktu widzenia samego przedsiębiorstwa, ale również bezpieczeństwa narodowego. Zapewnienie bezpieczeństwa infrastruktury AMI staje się tym samym niezwykle złożonym procesem determinującym często zakres oraz formę jego wykorzystania przez firmy energetyczne. Co tak naprawdę chronimy? Rozważając liczne strategie bezpieczeństwa infrastruktury AMI, istotne jest zapewnienie jej kompleksowego podejścia. Nasz system bezpieczeństwa jest przecież tak silny, jak jego najsłabszy element. Warto w tym miejscu odnieść się do podstaw bezpieczeństwa oraz jego nadrzędnego celu, jakim jest zapewnienie integralności, dostępności oraz poufności przetwarzanych danych. Następnie warto zastanowić się, jak te cele skutecznie osiągnąć. Dostępność W jaki sposób chronię swój system przed nieautoryzowanym dostępem do danych?
Integralność W jaki sposób chronię swój system przed nieautoryzowaną aktualizacją firmware? Poufność W jaki sposób zapewniam bezpieczeństwo przetwarzanych danych? Chroniąc infrastrukturę AMI, nie chronimy jedynie danych. Obiektem ochrony staje się również ciągłość procesu dystrybucji energii, środki trwałe (liczniki), jak również reputacja oraz zaufanie do operatora. Zapewnienie podstawowych atrybutów bezpieczeństwa oraz obszarów ochrony należy nałożyć na każdy z elementów infrastruktury. Rys. 2. Atrybuty bezpieczeństwa Perspektywa bezpieczeństwa architektury AMI W celu uchwycenia złożoności problematyki bezpieczeństwa infrastruktury AMI należałoby wyjść od analizy poszczególnych jej komponentów, a następnie zastanowić się, co tak naprawdę chronimy. Zakładając, że podstawowym atrybutem, który chronimy są dane w różnej postaci, wyróżnić można trzy źródła dostępu do nich. [A] Liczniki. Pierwszym źródłem dostępu do danych w infrastrukturze AMI jest element pomiarowy, czyli licznik i/lub koncentrator danych. Największą słabością tego elementu, z punktu widzenia bezpieczeństwa, jest stosunkowo łatwy dostęp do niego. Możliwość obejścia zabezpieczeń, otwarcia pokrywy licznika może pozwolić atakującemu na dosyć dokładną
analizę funkcjonowania danego urządzenia. Zwiększa to również szansę na przeprowadzenie skutecznego ataku. Brak odpowiedniego szyfrowania i komunikacji pomiędzy modułami samego urządzenia lub brak szyfrowania pamięci mogą doprowadzić do przechwycenia danych (np. kluczy kryptograficznych) pozwalających na podszycie się pod licznik i wykonywanie niepożądanych czynności. [B] Sieci. Kolejnym wektorem ataku, jak również obszarem do zabezpieczenia, jest warstwa sieci komunikacyjnych. Komunikacja w infrastrukturze AMI odbywa się z wykorzystaniem różnych technologii zarówno przewodowych (PLC), jak i bezprzewodowych (radio, mesh, G3/GPRS). Jednym z najistotniejszych zagadnień w tym obszarze jest szyfrowanie komunikacji (np. AES-128bit). Odpowiedni dobór szyfrowania często powiązany jest z praktycznymi możliwościami wybranego standardu oraz protokołu. Należy pamiętać o zapewnieniu odpowiednich mechanizmów bezpieczeństwa na każdym etapie wymiany danych zaczynać od domowej sieci HAN, poprzez sieci osiedlowe (NAN), techniczne (TAN), sieci bezprzewodowe dostawców zewnętrznych, a kończąc na sieci operacyjnej, odpowiedzialnej za sterowanie i nadzór, z której w łatwy sposób można dostać się do najbardziej krytycznych elementów systemu (SCADA), umożliwiając np. zdalne otwarcie wyłączników. [A] [B] [C] Rys. 3. Typowa architektura AMI oraz wektory ataku [C] Systemy. Kolejnym źródłem dostępu do danych jest system oraz aplikacja HES (Headend system) wraz z powiązanym środowiskiem systemów przemysłowych. W tym przypadku istotne jest zapewnienie odpowiednich mechanizmów ochrony oraz detekcji, a także reagowania na incydenty. Mechanizmy ochrony mają zapewnić wysoki poziom bezpieczeństwa samego rozwiązania, jak i sieci wewnętrznej w celu ochrony przed przejęciem krytycznych systemów sterowania i nadzoru. Monitorowanie oraz detekcja
dotyczą ciągłego monitorowania ruchu sieciowego w celu wykrycia niepożądanych zachowań. W celu zaadresowania bezpieczeństwa infrastruktury krytycznej należy również zapewnić, aby krytyczne systemy przemysłowe były odpowiednio odseparowane od systemów w sieci biurowej. Wynika to z filozofii defense in depth, według której należy zapewnić wiele warstw bezpieczeństwa, a mechanizmy należy dobrać odpowiednio do krytyczności danej warstwy. Coraz częstsze ataki typu APT (Advanced Persistant Threat) wykorzystują podatności słabiej chronionej warstwy/sieci biurowej (np. poprzez phishing), a następnie przedostają się do sieci produkcyjnej, skąd już przeprowadzany jest skrupulatnie przygotowany atak. Rodzaje ataków na infrastrukturę AMI Czym zatem może skutkować naruszenie dostępności, integralności lub poufności danych w warstwie [A] licznik, [B] sieci komunikacyjne lub [C] systemy? Najbardziej popularne skutki ataków na infrastrukturę AMI to: - kradzież danych personalnych dotyczących konsumentów, - fizyczne włamanie na podstawie wzorców zużycia energii, - oszustwa związane ze zmianą wartości zużycia energii elektrycznej, - nieautoryzowane przyłączenie, odłączenie odbiorcy energii, - naruszenie integralności danych pomiarowych, - przerwanie dostawy energii na dużą skalę. Do najczęściej spotykanych typów ataków zalicza się: - man-in-the-middle podszycie się pod licznik, - nadpisanie firmware licznika podczas zdalnej aktualizacji, - przepełnienie bufora wyłączenie pojedynczego lub grupy liczników. Coraz częściej jednak traktujemy infrastrukturę AMI jako element infrastruktury krytycznej, gdzie ataki bywają bardziej zaawansowane, zawierając elementy ataków cybernetycznych, socjotechnicznych, jak również fizycznych. Te z kolei wykorzystują jedynie infrastrukturę AMI jako furtkę do bardziej krytycznych systemów sterowania, skąd efekty ataku mogą być dużo bardziej szkodliwe. Kompleksowe podejście do bezpieczeństwa Aby zapewnić kompleksowe bezpieczeństwo każdego systemu, w tym również systemu AMI, należy zapewnić sprawne mechanizmy w każdym z trzech podstawowych filarów: organizacyjnym, proceduralnym oraz technicznym. Polityki oraz procedury powinny określać pryncypia bezpieczeństwa, a także zapewnić powtarzalność oraz ujednolicenie procesów związanych z zarządzaniem infrastrukturą AMI. Spełnienie pryncypiów bezpieczeństwa oraz zgodność z politykami powinna zapewnić sprawnie działająca organizacja, podejmująca
szybkie oraz uzasadnione decyzje oparte na rzetelnych danych. Natomiast u podstaw wszystkiego zawsze leży technologia, będąca często źródłem wielu podatności oraz podstawowym medium ataku. Nałożenie na siebie dotychczas omawianych wymiarów bezpieczeństwa infrastruktury AMI pozwoli nam ująć jego kompleksowość. Rys. 4. Trzy filary bezpieczeństwa Rys. 5. Wymiary bezpieczeństwa systemu AMI
Pierwszy krok w kierunku zapewnienia bezpieczeństwa AMI Podnoszenie bezpieczeństwa AMI to ciągły proces, który powinien być wpisany w cykl życia systemu. Zanim przejdziemy do ustanowienia kompleksowego programu bezpieczeństwa, warto odpowiedzieć na kilka istotnych pytań: 1. Czy znam swoją sieć (protokoły, urządzenia, architektura i ich podatności)? 2. Czy znam ryzyka związane z moim środowiskiem AMI? 3. Czy mam możliwość monitorowania środowiska AMI? 4. Czy wystarczająco współpracuję ze swoimi dostawcami (standardy bezpieczeństwa, SLA)? 5. Czy jestem gotowy odpowiednio zareagować na incydenty bezpieczeństwa (plany reagowania, plany ciągłości działania)? Odpowiedzi na te pytania pozwolą uświadomić sobie, na jakim poziomie dojrzałości jesteśmy i jak wiele pracy jeszcze jest przed nami. Zapewnienie odpowiedniego poziomu bezpieczeństwa środowiska AMI to ciągły proces, nie mający swojego początku ani końca. Jego ramy powinny być stałe, jednak mechanizmy powinny się zmieniać wraz z postępem technologii. Ciągły proces zapewnienia bezpieczeństwa AMI można w łatwy sposób ująć w strukturze DMAIC procesie zapewnienia jakości znanego z metodyki Six Sigma. Typowe kroki w procesie zapewnienia bezpieczeństwa przedstawimy poniżej. Rys. 6. Proces DMAIC w kontekście bezpieczeństwa AMI
Identyfikuj - Identyfikacja zasobów technicznych oraz informacyjnych (zarządzanie zasobami). - Identyfikacja zagrożeń. - Identyfikacja podatności oraz ryzyk w obszarze liczników, architektury sieci oraz aplikacji (testy penetracyjne, analiza ryzyka). Mierz - Mierzenie poziomu ryzyka. - Dokumentacja minimalnych wymagań bezpieczeństwa. - Standaryzacja bezpieczeństwa. Analizuj - Analiza rozbieżności w obszarze technologii, - procesów, - organizacji. Usprawniaj - Ciągłe usprawnianie technicznych zabezpieczeń w infrastrukturze AMI. - Ciągłe usprawnianie organizacyjnych oraz procesowych mechanizmów bezpieczeństwa. Kontroluj - Zapewnienie monitorowania środowiska AMI. - Przeprowadzanie regularnych przeglądów bezpieczeństwa. Podsumowanie Inteligentne sieci oraz AMI, jako element infrastruktury krytycznej, potrzebują inteligentnego podejścia do bezpieczeństwa. Takie podejście nie może być oparte na modnym żargonie (np. szyfrowanie równa się bezpieczeństwo) czy wyrywkowym traktowaniu bezpieczeństwa. Dotyczy to między innymi takiego dobrania technologii oraz procesów, które nie pozwolą na wyłączenie funkcji bezpieczeństwa, w przypadku gdy cierpi wydajność lub zasięg naszej infrastruktury pomiarowej. Aby jednak w pełni wykorzystać potencjał AMI w przyszłości, operatorzy muszą zadbać o zaufanie użytkowników do oferowanych przez siebie rozwiązań. Aby to osiągnąć, inteligentne bezpieczeństwo musi się znaleźć w DNA całego środowiska AMI.