BEZPIECZEŃSTWO CYFROWE ZAAWANSOWANEJ INFRASTRUKTURY POMIAROWEJ Autor: Krzysztof Billewicz ( Rynek Energii nr 3/2012) Słowa kluczowe: zaawansowana infrastruktura pomiarowa, bezpieczeństwo cyfrowe, inteligentny licznik energii Streszczenie. Wdrażanie i coraz częstsze stosowanie zaawansowanej infrastruktury pomiarowej wiąże się z niebezpieczeństwem nadużywania jej funkcjonalności dla osiągnięcia własnych celów. W publikacji opisano kilka zagrożeń: manipulację przy liczniku przez klienta, zmowę pracownika przedsiębiorstwa dystrybucyjnego z elektrowniami, zagrożenia wynikające z możliwych działań prowadzonych przez terrorystów, możliwość manipulacji danych przez inżynierów baz danych. Przedstawiono również problem związany z dostępem osób trzecich do zaawansowanej struktury pomiarowej. 1. WPROWADZENIE Obecnie podczas rozpatrywania problematyki bezpieczeństwa cyfrowego zaawansowanej infrastruktury pomiarowej dominują dwa podejścia. Główny akcent stawia się na: - zagrożenia dla pojedynczego klienta [1], - zagrożenia dla pracy całego systemu lub dużej jego części [3]. Zaawansowana infrastruktura pomiarowa AMI (ang. Advanced Metering Infrastructure) w swej podstawowej funkcjonalności zapewnia opomiarowanie wszystkich punktów końcowych oraz automatyzację komunikacji z nimi. Dokonywane włamania i manipulacje przy takiej funkcjonalności zazwyczaj mają bardzo mały wpływ na pracę systemu elektroenergetycznego jako całości. Problemem dopiero byłoby manipulowanie i zaniżanie wskazań licznika prowadzone na masową skalę. AMI jednak posiada wiele innych funkcji np. sterowanie odbiorami przy zmianie stref czasowych lub wyświetlanie cen, na podstawie których inna automatyka będzie włączała bądź wyłączała określone odbiorniki. Manipulując takimi funkcjami można doprowadzić do przeciążenia systemu elektroenergetycznego. 2. DWA PODEJŚCIA DO KWESTII BEZPIECZEŃSTWA AMI Pierwsze podejście bierze się z obaw, które mają odbiorcy, w stosunku do wdrażania inteligentnych liczników oraz zaawansowanej infrastruktury pomiarowej. Opis możliwych manipulacji pokazuje, że nie są to obawy bezpodstawne. Takie podejście również koncentruje się na wyszukiwaniu motywów, którymi kierują się pojedynczy hakerzy, aby włamać się do zaawansowanej infrastruktury pomiarowej AMI. Najczęściej skutkami takich włamań jest pewna uciążliwość korzystania z energii elektrycznej przez odbiorców lub oszustwa, których celem jest zapłata mniejszej kwoty lub nie płacenie w ogólności za pobraną energię. Takie podejście zostało opisane w różnych publikacjach [1, 2].
Drugie podejście wiąże się z konsekwencjami włamań do AMI dla całego systemu elektroenergetycznego lub dużej jego części. Przykładowo Prezes URE nie powinien zajmować się kwestią pojedynczych włamań do infrastruktury AMI dokonywanych przez hakerów, ponieważ konsekwencje takich działań dla systemu elektroenergetycznego nie będą wielkie. Natomiast powinien zwracać uwagę na te zagrożenia, które mogą spowodować niestabilną pracę systemu elektroenergetycznego lub jego przeciążenie. Można wyróżnić trzy grupy podmiotów - osób, które mogą chcieć dokonywać manipulacji w AMI i których działania mogą doprowadzić do przeciążenia systemu elektroenergetycznego [3]: - klienci, - kompetentni (wtajemniczeni) pracownicy operatora systemu dystrybucyjnego, - terroryści. W tym podejściu pomija się takie zagrożenia jak np.: - niekompetencja pracownika, - złośliwe działanie pracownika, - włamania hakera do AMI w celu osiągnięcia korzyści lub w celu zakłócenia korzystania z użytkowania energii dla pojedynczego odbiorcy. Oczywiście takie zjawiska są problemem i to dość poważnym, jednak najczęściej nie prowadzą one do zakłócenia dostaw energii elektrycznej większości do odbiorców. 3. MANIPULACJE W LICZNIKU DOKONYWANE PRZEZ KLIENTA Ogólnie rzecz biorąc celem manipulacji dokonywanych przez klienta jest: - zaburzenie danych zapisanych w liczniku, - przekonfigurowanie ustawień i parametrów licznika, - zakłócanie transmisji danych, - podmiana oprogramowania wewnętrznego licznika tak, aby przekazywał on zaniżone wartości energii (w opracowaniach nt. AMI zwraca się uwagę, żeby podmiana oprogramowania wewnętrznego nie miała wpływu na własności metrologiczne liczników). Oczywiście modyfikacje konfiguracji w inteligentnym liczniku lub podmiana jego oprogramowania wewnętrznego są łatwe do wykrycia, jednak, jeżeli operator obsługuje miliony liczników to dokonywanie kontroli każdego z nich jest bardzo kłopotliwe. Ponadto trudno jest udowodnić klientowi, że to właśnie on przekonfigurował licznik - mogła to być pomyłka pracownika OSD, której nie można wykluczyć w przypadku instalowania milionów liczników. Nieprawidłowa konfiguracja może również wynikać z błędów oprogramowania centralnego wykorzystywanego w siedzibie operatora lub nieprawidłowego zadziałania któregoś urządzenia pośredniczącego w przesyłaniu sygnału konfiguracyjnego. Nie można pociągnąć do odpowiedzialności odbiorcy nawet, jeżeli stwierdzi się w jego inteligentnym liczniku nieautoryzowane oprogramowanie wewnętrzne, ponieważ obecność takiego oprogramowania nie świadczy jeszcze o winie klienta. Oprogramowanie mógł bowiem podstawić ktoś bez wiedzy klienta. Przykładowo haker może podstawić własne
oprogramowanie w inteligentnym liczniku odbiorcy, aby zakłócać pracę tego urządzenia lub aby móc dodatkowo manipulować tym licznikiem i utrudniać życie klientowi. Nawet, jeżeli by dokonano szczegółowej analizy oprogramowania licznika i jej wynik jednoznacznie sugerowałby, że licznik nieprawidłowo zlicza energię, to może wynikać to z działania niezależnego hakera, który może realizować swoje nielegalne działanie - złośliwe działanie na niekorzyść operatora. Inteligentne liczniki wykorzystują otwarte, powszechnie znane standardy protokołów komunikacyjnych. Dzięki temu można stosować zamiennie urządzenia różnych producentów. Z drugiej strony stosowanie takich protokołów, których szczegółową specyfikację można za darmo pobrać z Internetu zwiększa podatność na ataki. Przykładowo, jeden z dwóch najczęściej stosowanych w Polsce protokołów: IEC 61107 jest nieszyfrowanym protokołem tekstowym, w którym wykorzystano standardowe kody OBIS do opisu poszczególnych danych pochodzących z liczników. Stosowanie zamkniętych, autorskich protokołów jest korzystne, ponieważ dużo trudniej jest je złamać. Jednak wiąże się to z koniecznością uzależnienia się od producenta liczników, który jest jedynym znawcą protokołu. Taki wyłączny producent po pewnym czasie może zwiększać ceny wiedząc, że nie można kupić liczników od innych producentów. Stosowanie zamkniętych protokołów nie tyle uniemożliwia, co raczej utrudnia włamanie się do inteligentnego licznika. Do takiego włamania potrzebne są większe umiejętności, niż ma to miejsce w przypadku liczników wykorzystujących otwarty protokół. Sygnalizuje się jednak, że klient może prowadzić nasłuch sygnałów dochodzących i wychodzących z licznika i posługiwać się tzw. inżynierią wsteczną [3]. Prowadzenie nasłuchu nie jest rzeczą nową lub skomplikowanym działaniem. Przykładowo, jeżeli operator sieci dystrybucyjnej nie może komunikować się z jakimś licznikiem energii elektrycznej, to prowadzi się nasłuch - podgląd wymienianych sygnałów i komunikatów. Dzięki takiemu nasłuchowi można określić, jaka jest przyczyna braku komunikacji. Przykładowe przyczyny mogą być następujące: - licznik nie odpowiada - sygnał albo nie dociera do licznika, albo licznik nie odpowiada, - nieprawidłowa komunikacja licznika, - nieprawidłowa konfiguracja portu szeregowego, - za mały bufor w module komunikacyjnym, - uszkodzony moduł komunikacyjny, - niektóre uszkodzenia licznika (określa je rejestr F.F.), - itp. Inżynieria wsteczna lub inżynieria odwrotna (ang. reverse engineering) jest to analiza gotowego produktu (urządzenia lub oprogramowania), która ma na celu ustalenie, jak on dokładnie działa, a także w jaki sposób i jakim kosztem został wykonany. Celem może być również próba odpowiedzenia na pytanie: jak przebiegał proces jego tworzenia. Inżynieria wsteczna może być wykorzystywana w celu osiągnięcia pewnej funkcjonalności, przy ominięciu konsekwencji wynikających z praw autorskich lub patentów. Inżynieria taka może być stosowana w celu zapewnienia obsługi nieudokumentowanych standardów lub protokołów komunikacyjnych.
W przypadku, kiedy tylko mała liczba klientów będzie podejmowała próby manipulacji przy inteligentnym liczniku to nie powinno być problemów z dostawą energii. Jednak nawet wtedy zwiększy się zapotrzebowanie na energię, również w godzinach szczytowych. Jeżeli jednak klienci na masową skalę zaczną podejmować działania zmierzające do zakłócenia pracy liczników, zmniejszenia zliczania przez nich energii, w konsekwencji może doprowadzić to do tak znacznego zwiększenia zapotrzebowania w godzinach szczytowych, że dojdzie do przeciążenia systemu elektroenergetycznego i konieczne będą przymusowe wyłączenia - np. zadziałanie samoczynnego częstotliwościowego odciążania. Ataki klientów na system AMI spowodują większe zużycie energii w szczycie zapotrzebowania, kiedy cena energii dla przedsiębiorstw obrotu i niektórych klientów jest najwyższa. Spowoduje to zaniżenie przekazywanej informacji o zużyciu energii. Będzie to miało wpływ na planowanie zakupów energii na pokrycie bieżącego zapotrzebowania. Jeżeli tylko kilku klientów będzie manipulować przy swoich licznikach, to nie będzie poważniejszego problemu. Jeżeli jednak włamywanie się do liczników będzie łatwe i powszechne, to może to znacząco oddziaływać na system elektroenergetyczny. Ważnym czynnikiem, od którego zależy nasilenie ataków jest określenie, jak bardzo powszechne staną się ataki klientów. Jeżeli bowiem atak będzie możliwy dla klientów posiadających umiarkowane umiejętności techniczne i klienci będą z tego korzystać, to znacznie wzrośnie zagrożenie dla systemu elektroenergetycznego. Jedną z wielu konsekwencji manipulacji przy liczniku przez klienta oraz zaniżania wskazywania zużycia energii będzie nieprawidłowe kształtowanie nawyków związanych ze zużyciem energii przez konsumenta. Należy pamiętać, że cena energii powoduje, że odbiorcy ograniczają pobór energii. Manipulowanie przy liczniku przez odbiorcę, doprowadzi do niezliczania pewnej części zużywanej przez niego energii. Spowoduje to wzrost poboru energii przez konsumentów oraz większe jej marnotrawienie, ponieważ tanią lub darmową energię wykorzystuje się mniej efektywnie lub po prostu marnuje się. Przy tym zagadnieniu pojawia się problematyka zarządzania hasłami dla milionów liczników. Możliwości jest wiele, ale żadna z nich nie jest pozbawiona wad: - stosowanie jednakowego hasła dla wszystkich liczników, jest to najprostsze rozwiązanie, problem pojawi się jednak, jeżeli takie hasło zostanie ujawnione lub złamane; - stosowanie haseł generowanych wg określonego klucza np. na podstawie numeru fabrycznego licznika - jest to bezpieczniejsze rozwiązanie, ale taki algorytm również mógłby zostać ujawniony; - stosowanie różnych haseł wygenerowanych w sposób losowy i zapisanych w formie niejawnej w bazie danych. Jest to bezpieczne rozwiązanie, są małe szanse na ujawnienie takich haseł oraz jeżeli haker złamie hasło w jednym liczniku, nie będzie mógł się nim posługiwać dla innych urządzeń. Problemy jednak mogą pojawić się w przypadku awarii bazy danych (często można odtworzyć ją z zapisanej kopii), celowego wyczyszczenia tabeli z hasłami przez hakera-informatyka lub awarii aplikacji rozkodowującej hasła z bazy danych.
4. SABOTAŻ PRACOWNIKA OSD Zaawansowana infrastruktura pomiarowa jest przeznaczona m.in. do podejmowania działań w celu zmniejszenia obciążenia szczytowego oraz zminimalizowania kosztów energii, na rzecz przedsiębiorstw energetycznych oraz klientów końcowych. Poufne porozumienie wtajemniczonego pracownika operatora sieci dystrybucyjnej z zarządem elektrowni wraz z wykorzystaniem AMI mogą służyć do zarabiania pieniędzy. Pracownik w przedsiębiorstwie dystrybucyjnym będzie wykorzystywał AMI do zwiększenia zużycia energii w szczycie obciążenia, tworząc tym samym zwiększone zapotrzebowanie na wytwarzanie energii. Działanie takie na dużą skalę spowoduje na rynkach hurtowych zwiększenie cen, w stosunku do ych, które obowiązywałyby bez działań powodujących wzrost obciążenia sieci. Wytwórcy energii będą zatem zarabiali więcej pieniędzy i w ramach rekompensaty mogą podzielić się nadwyżką z osobą, która przyczyniła się do zwiększenia zapotrzebowania na energię [3]. Cechy charakterystyczne takich działań: - działania takie służą do zarabiania pieniędzy; nie powodują ingerencji w AMI, - wysoki poziom ukrywania takich działań - są one trudne do wykrycia, - wystarczą niskie umiejętności informatyczne i internetowe: są to nadużycia systemu AMI, a nie cyberataki, - czas realizacji w miesiącach, - podmiotem poszkodowanym jest klient, który musi płacić wyższą cenę za energię lub przedsiębiorstwo obrotu, jeżeli stosuje ono są zryczałtowane stawki za energię dla klientów końcowych a samo musi energię kupować na rynkach hurtowych. Osoba wtajemniczona może mieć dostęp do jednego ub wielu miejsc w systemie AMI. Taki pracownik może kontrolować cały system AMI i mieć dostęp do całego systemu AMI. Zagrożenie zwiększa się, jeżeli osoba wtajemniczona współpracuje z wytwórcami energii w celu zawyżania zapotrzebowania na energię w ramach tej samej grupy kapitałowej lub koncernu energetycznego. W takim przypadku działa na szkodę odbiorców, a nie na szkodę przedsiębiorstwa energetycznego. Osoba wtajemniczona może wykorzystać swój dostęp do stacji centralnej systemu AMI, w tym do mechanizmów odpowiedzialnych za tworzenie informacji o cenach. Taki pracownik mógłby, jako operator lub inżynier, zmodyfikować funkcję odpowiedzialną za zmianę ceny wyświetlanej u odbiorców końcowych. Takie działanie jest bardzo problematyczne. Oprogramowanie AMI nie powinno umożliwiać modyfikowania takich funkcji odpowiedzialnych za informowanie o cenach ani o przepływach energii w systemie. Jeżeli jednak istnieje interfejs do modyfikacji takich funkcji, to osoby wtajemniczone nie muszą mieć dużej wiedzy technicznej do wykonania takiego ataku. Osoba wtajemniczona będzie posiadała fizyczny lub nawet administracyjny dostęp do systemu AMI [3]. W przeciwieństwie do ataku przeprowadzonego przez klienta, w rezultacie ataku osoby wtajemniczonej nie będzie spadku rentowności przedsiębiorstwa dystrybucyjnego. Takie działania skutkują sztucznie zawyżonymi kosztami energii dla klientów. Jednakże cena dla klientów może być regulowana przez organ regulacyjny energetyki, a ten może nie wyrazić zgody na przenoszenie takich, zawyżonych kosztów na klienta. W konsekwencji przedsiębiorstwo obrotu będzie działało ze stratą finansową, ponieważ będzie musiało kupować energię na rynku hurtowym po zawyżonych cenach. Niewątpliwym dodatkowym skutkiem w przypadku zawyżenia ceny dla klienta, będzie jego niezadowolenie. W przypadku
wykrycia działalności osoby wtajemniczonej wiązałby się z przeprowadzeniem odpowiedniego postępowania wyjaśniającego. Jeżeli działania takie byłyby w grupie energetycznej lub koncernie energetycznym to w konsekwencji mogłoby dojść do bankructwa lub restrukturyzacji przedsiębiorstwa obrotu, które nie mogłoby już działać z powodu konsekwencji finansowych wynikających z przeprowadzanych ataków. Dotychczasowi ich klienci, którzy przestaliby darzyć zaufaniem takie przedsiębiorstwa obrotu, po prostu zmieniliby sprzedawcę energii. 5. DZIAŁANIA TERRORYSTYCZNE Przedsiębiorstwa energetyczne planują wykorzystywać AMI do wielu celów: - redukcji szczytowego obciążenia systemu, - dynamicznego modelowania obciążenia w czasie rzeczywistym, - wykrywania awarii (zwarć) i raportowania, - oraz do wielu innych celów. Możliwość redukcji obciążenia jest jedną z głównych funkcji AMI, należy to rozpatrywać w relacji żądanie-odpowiedź systemu. Jest zatem oczywiste, że przedsiębiorstwa energetyczne wykorzystujące AMI będą spodziewać się, że osiągną redukcję obciążeń szczytowych. Jest to bardzo prawdopodobne jeżeli będą wykorzystywane systemy takie jak zarządzanie popytem DSM (ang. Demand Side Management) lub bezpośrednie sterowanie odbiorami DLC (ang. Direct Load Control). Już w 1997 roku odkryto lukę w zabezpieczeniach systemu komunikacyjnego, która pozwoliła atakującemu, który ma fizyczny dostęp do węzła, na wysyłanie sygnałów do wszystkich innych węzłów [3]. Przykładowo osoba atakująca może wykorzystać DSM do wysyłania sygnałów wyłączenia wszystkich sterowanych urządzeń klienta. Po wystarczająco długim czasie, po którym wszystkie urządzenia powinny zostać wyłączone, atakujący może wysłać sygnał do włączenia wszystkich urządzeń jednocześnie. Spowoduje to maksymalne możliwe obciążenie szczytowe systemu, które będzie narastać w bardzo krótkim czasie. W konsekwencji będzie to miało wpływ na dużą część sieci elektroenergetycznej [3]. W przypadku ataku na AMI podkreśla się, że niektóre rozwiązania AMI nie mają możliwości bezpośredniego sterowania obciążeniem. W nich atakujący może wysłać nieprawidłową cenę energii (lub ustawić droższą strefę czasową) do klienta i dopiero na podstawie takiej informacji niektóre urządzenia mogą zostać wyłączone. Po takiej redukcji obciążenia i ustabilizowaniu się pracy systemu osoba atakujące może wysłać nową informację o cenie (obowiązującej strefie czasowej) i w ten sposób inteligentne liczniki masowo uruchomią wiele odbiorników u wielu klientów. Obecnie trudno jest dokładnie przewidzieć skutki wpływu gwałtownego wzrostu obciążenia szczytowego na duża część sieci elektroenergetycznej. Przedsiębiorstwa dystrybucyjne i agencje regulacyjne nie są zainteresowane wdrożeniami AMI, jeśli zaawansowana infrastruktura pomiarowa nie mogłaby mieć pozytywnego wpływu na pracę sieci elektroenergetycznej. Taka możliwość przecież nie oznacza automatycznie negatywnego wpływu AMI na sieć, jeżeli nadużywa się funkcjonalności AMI [3]. Wpływ ataków terrorystycznych na AMI może powodować niestabilność pracy systemu elektroenergetycznego, powszechne awarie i uszkodzenia sprzętu.
6. ADMINISTRATORZY I INŻYNIEROWIE SYSTEMOWI Działanie mające dokonać manipulacji danych może być dokonane również przez inżyniera systemowego lub administratora baz danych. Wystarczy, że zorientowaliby się oni w której tabeli przechowywane są dane pomiarowo-rozliczeniowe i wtedy mieliby oni możliwość manipulowania takimi danymi. Obecnie w Polsce u operatorów sieci dystrybucyjnych często stosowane są relacyjne bazy Oracle, które umożliwiają rejestrowanie tak dokonywanych zmian. Jednak ze względu na to, że bazy te są bardzo przeciążone podczas okresowych przeliczeń, zwłaszcza dokonywanych w celu dokonania rozliczenia całego okresu rozliczeniowego, dość często rezygnuje się z rejestrowania modyfikacji dokonywanych przez administratorów baz oraz przez inżynierów systemowych. Nawet jeżeli dokonywany jest rejestr zmian dokonywanych na bazie danych, to zajmuje on bardzo wiele miejsca, dlatego okresowo musi być archiwizowany lub kasowany. Zmniejsza to prawdopodobieństwo znalezienia osoby odpowiedzialnej za manipulację danych. W przypadku rotacji wśród pracowników przedsiębiorstwa dystrybucyjnego, dostawców lub poddostawców infrastruktury pomiarowej może dojść do ujawnienia osobom niepowołanym haseł dostępu do urządzeń pomiarowych. Jeżeli: - urządzenia pomiarowe umożliwiałyby zdalną zmianę haseł, to istnieje możliwość zapobiegawczej lub okresowej zdalnej zmiany haseł. Istnieje jednak możliwość, że osoba niepowołana uprzedziłaby przedsiębiorstwo dystrybucyjne i dokonując zmiany hasła w liczniku, uniemożliwiłaby operatorowi dostęp do urządzenia pomiarowego. Dlatego konieczne jest stosowanie rozwiązanie analogicznego do telefonii komórkowej - stosowania dwustopniowych haseł dostępu do urządzeń: PIN i PUK. Hasło PIN mogłoby być przechowywane w bazie danych aplikacji AMI i umożliwiałoby pełny dostęp do tego urządzenia. W przypadku zmiany hasła przez hackera, drugie hasło - PUK umożliwiałoby administracyjny dostęp do urządzenia oraz dowolne ustawienie hasła PIN. Hasła PUK musiałyby być przechowywane jedynie w formie papierowej. Dostęp do nich byłby bardzo ograniczony. - urządzenia pomiarowe nie umożliwiałyby zdalnej zmiany haseł, w takim przypadku, jeżeli hasła zostałyby ujawnione konieczna byłaby wizyta montera przy każdym z liczników i jedynie w ten sposób możliwe byłoby zmienienie hasła. Wiadomo, że haker mógłby posiadać urządzenia, podobnie do montera, które umożliwiałyby dokonywanie zmian hasła w liczniku. Dlatego, aby wykluczyć taką sytuację, liczniki zostałyby wyposażone w przycisk, który należałoby nacisnąć, aby możliwe było zmienienie jego hasła. 7. DOSTĘP TRZECIEJ STRONY Niebagatelnym zagadnieniem w kwestii bezpieczeństwa cyfrowego zaawansowanej infrastruktury pomiarowej jest tzw. dostęp trzeciej strony. Okazuje się bowiem, że to nie tylko wtajemniczony pracownik przedsiębiorstwa dystrybucyjnego może zautoryzować swój dostęp do AMI i dokonać w nim pewnych zmian. Wśród innych podmiotów można wyliczyć: - dostawca rozwiązania AMI i jego poddostawcy, - producenci liczników i koncentratorów, - firma informatyczna dostarczające oprogramowanie, - firmy świadczące usługi outsourcingowe (ang. outside-resource-using - korzystanie z
zasobów zewnętrznych) - ze względów finansowych część prac przedsiębiorstwa dystrybucyjnego, dostawcy AMI lub przedsiębiorstwa IT może być realizowane przez inne firmy, które te same prace wykonają taniej i skuteczniej, - wynajmowani pracownicy, zwłaszcza przez przedsiębiorstwo informatyczne; rzadko kiedy stać dostawcę rozwiązań AMI do zatrudnienia wysoko wykwalifikowanego personelu - zwłaszcza informatyków; utrzymanie ich pochłaniałoby znacznie budżet przedsiębiorstwa; dlatego czasem są oni wynajmowani od innych przedsiębiorstw na czas realizacji określonego projektu; dzięki temu nie są oni stałym kosztem przedsiębiorstw -dostawców AMI, a w razie potrzeby ich kwalifikacje mogą zostać wykorzystane. - byli pracownicy przedsiębiorstwa dystrybucyjnego, dostawcy AMI lub przedsiębiorstwa informatycznego. Ze względu na to, że bardzo wiele osób będzie znało sposoby dokonywania autoryzacji i autoryzacji dostępu oraz stosowane zabezpieczenia itp. należy bardzo skrupulatnie rozważyć politykę bezpieczeństwa, aby zmniejszyć liczbę możliwych kanałów dojść do manipulacji konfiguracją i ustawieniami urządzeń pomiarowych lub do baz danych i systemów pomiarowo-rozliczeniowych. 8. ZASADY ZARZĄDZANIA BEZPIECZEŃSTWEM CYFROWYM W ramach zarządzania bezpieczeństwem infrastruktury systemów AMI powinny być stosowane następujące zasady: - poufność transakcji - komunikacja urządzeń i aplikacji działających w ramach współpracy z systemem powinna być zawsze szyfrowana, - identyfikacja i autoryzacja elementów systemu na wszystkich jego warstwach, - każda zmiana konfiguracji systemu wymaga weryfikacji pod względem zgodności z polityką bezpieczeństwa, - nie spełnienie norm polityki bezpieczeństwa systemu powinno powodować fizyczne odłączenie systemu od sieci, - decyzję o dołączeniu lub odłączeniu systemu powinny podejmować osoby do tego upoważnione. 9. REKOMENDACJE Sugerowane jest również przyjęcie następujących zaleceń [3]: 1. przyjęcie otwartego referencyjnego standardu dla inteligentnych liczników, 2. wymuszanie pełnego wdrożenia standardów bezpieczeństwa w inteligentnych licznikach przez ich producentów, 3. uwierzytelnianie wszystkich poleceń (komend) przesyłanych z aplikacji nadrzędnej do punktu końcowego u klienta, 4. uwierzytelnianie wszystkich raportów i paczek danych przesyłanych z punktu końcowego u klienta do aplikacji nadrzędnej, 5. ochrona aplikacji centralnej w taki sposób, jakby to były cyfrowe zasoby krytyczne w znaczeniu standardu NERC CIP-002 (NERC-CIP od CIP-002 do CIP-009 definiuje model cyberbezpieczeństwa na potrzeby identyfikowania i ochrony kluczowych zasobów w celu zapewnienia niezawodnego działania systemu elektroenergetycznego),
6. wdrożenie wykrywania włamań z kontrolą integralności oprogramowania systemów i aplikacji nadrzędnych, 7. wykonywanie często, nieregularnie audytów, które dokonają sprawdzenia czy stan wyjść (dane wyjściowe) aplikacji nadrzędnej odzwierciedlają stan wejść (dane wejściowe), 8. zastosowanie silnego uwierzytelniania użytkowników korzystających z aplikacji nadrzędnej oraz rejestrowanie wszystkich działania tych użytkowników, 9. wdrożenie separacji sieci, silnych zapór (ang. firewall) i ograniczonej listy kontroli dostępu do rutera w sieci AMI, 10. wdrożenie mocnej separacji i ustalenie elektronicznych granic bezpieczeństwa pomiędzy siecią AMI i innymi systemami takimi jak EMS, 11. wdrożenie odpowiedniej logiki bezpieczeństwa, aby zapobiec szybkim zmianom w informacjach o cenach wysyłanych aplikacji nadrzędnej do punktu końcowego klienta. 10. WNIOSKI I KONKLUZJE Zagadnienie bezpieczeństwa cyfrowego zaawansowanej infrastruktury pomiarowej jest zagadnieniem bardzo złożonym. Łańcuch jest tak silny, jak najsłabsze ogniwo. Podobnie jest z kwestią bezpieczeństwa cyfrowego. Dlatego nie można zaniedbać zabezpieczenia żadnego z obszarów. Ponadto bardzo ważnym zagadnieniem jest zapewnienie bezpieczeństwa cyfrowego oraz poufności danych przez przedsiębiorstwa wdrażające rozwiązania AMI, pracowników firm informatycznych oraz byłych pracowników przedsiębiorstwa dystrybucyjnego. Należałoby opracować odpowiednie standardy zapewnienia bezpieczeństwa w różnych częściach AMI, stosować szyfrowaną transmisję danych, oraz wymagać od kooperantów gwarancji zachowania poufności. LITERATURA [1] Billewicz K.: Problematyka bezpieczeństwa informatycznego w inteligentnych sieciach. Konferencja APE 2011, T.2, str. 115-120. [2] Flick T., Morehouse J.: Securing the Smart Grid. Next Generation Power Grid Security, 2011 Elsevier Inc. [3] Parks R.C.: Advanced Metering Infrastructure Security Considerations. SANDIA REPORT, Sandia National Laboratories, November 2007. CYBER SECURITY OF ADVANCED METERING INFRASTRUCTURE Key words: metering infrastructure, cyber security, smart meter Summary. Implementation and use of advanced metering infrastructure is associated with a danger of abuse of its functionality to achieve their goals. The paper describes several threats: manipulation of the smart meter by the customer, an insider in collusion with a generation provider, the possible risks arising from activities carried out by terrorists and the possibility of manipulation of data by engineers databases. Also presents the problem of third party access to the AMI. Krzysztof Billewicz, dr inż., Politechnika Wrocławska, e-mail: krzysztof.billewicz@pwr.wroc.pl