Wybrane zagrożenia bezpieczeństwa dla systemów teleinformatycznych w elektroenergetyce (część 2.)
W aspekcie planowanych funkcjonalności zautomatyzowanych sieci elektroenergetycznych typu Smart Grid
![Rys. 2. Ogólna struktura systemu WIDS/WIPS [18]
Rys. M. Szewczyk](https://www.elektro.info.pl/media/cache/typical_view/data/202002/wybrane-zagrozenia-bezpieczenstwa-dla-systemow-teleinformatycznych-w-elektroenergetyce-cz2.jpg)
Rys. 2. Ogólna struktura systemu WIDS/WIPS [18]
Rys. M. Szewczyk
Powiększająca się sieć teletransmisyjna energetyki jest coraz bardziej podatna na działania, które mogą spowodować zakłócenia w jej pracy. Możliwe jest zarówno przechwycenie ważnych informacji, zwłaszcza tych o charakterze administracyjnym, związanych z handlem energią, jak i atak powodujący zablokowanie funkcjonowania danego fragmentu sieci lub danej usługi (np. dostępu do serwera z bazą danych).
Zobacz także
AUTOMATION TECHNOLOGY Sp. z o.o. Automation Technology – nowy gracz na rynku
Automation Technology prężnie działa w obszarach energetyki, automatyki przemysłowej oraz robotyki.
Automation Technology prężnie działa w obszarach energetyki, automatyki przemysłowej oraz robotyki.
mgr inż. Grzegorz Pióro Procesowe podejście do redukcji zużycia energii w obiektach technicznych
Redukcja zużycia energii to proces, a nie działanie jednorazowe – wymaga ciągłego monitorowania, analizy danych i korekty pracy systemów. Kluczowe obszary optymalizacji to: systemy HVAC, oświetlenie, urządzenia...
Redukcja zużycia energii to proces, a nie działanie jednorazowe – wymaga ciągłego monitorowania, analizy danych i korekty pracy systemów. Kluczowe obszary optymalizacji to: systemy HVAC, oświetlenie, urządzenia pomocnicze i kompensacja energii biernej. Największy potencjał oszczędności energii tkwi nie tylko w samych technologiach, ale przede wszystkim w zrozumieniu procesów fizycznych, świadomym dostosowaniu instalacji do rzeczywistych potrzeb operacyjnych oraz precyzyjnym zarządzaniu energią na...
mgr inż. Krzysztof Szymański, mgr inż. Jerzy Żurawski, inż. Beata Kluczberg Zarządzanie energią w budynkach
Ideę inteligentnego budynku zapoczątkowano już w latach 70. XX wieku. Obecnie przez „inteligentny” rozumie się budynek wyposażony w odpowiednie urządzenia techniczne i taki, w którym zachodzi możliwość...
Ideę inteligentnego budynku zapoczątkowano już w latach 70. XX wieku. Obecnie przez „inteligentny” rozumie się budynek wyposażony w odpowiednie urządzenia techniczne i taki, w którym zachodzi możliwość efektywnego współkorzystania z tych urządzeń.
StreszczenieW artykule przedstawiono warunki funkcjonowania struktur teletransmisyjnych i teleinformatycznych w aspekcie planowanych funkcjonalności zautomatyzowanych sieci elektroenergetycznych Smart Grid. W drugiej części artykułu w sposób szczególny zwrócono uwagę na elementy bezpieczeństwa pracy takich sieci i ich podatności na ataki wynikające z konwergencji usług teleinformatycznych.AbstractSelected security threats of the teleinformatic structures with reference to the forecasting functions of electric power Smart Grid networksThe paper discusses the conditions of functioning of the teletransmission and teleinformatic structures as regards the forecasting functions of electric power Smart Grid networks. In the second part of the paper special attention is paid to the safety of such networks and their vulnerability to the attacks resulting from the convergence of ICT services. |
Szczególnie niebezpieczne może być zablokowanie działania sieci przesyłającej informacje czasu rzeczywistego, związane z zabezpieczeniami, telesterowaniem i telekontrolą. Włamania do sieci mogą dokonać również uprawnieni użytkownicy od wewnątrz systemu.
Udostępnienie teleinformatycznej sieci energetyki na potrzeby zewnętrznych użytkowników, to potencjalne źródło zagrożenia. Niezbędne jest oddzielenie informacji przesyłanych na potrzeby energetyki od zewnętrznego ruchu. Ponadto ruch administracyjno-biurowy powinien być również odseparowany od ruchu związanego ze zdalnym prowadzeniem nadzoru nad obiektami energetyki.
Brak wyraźnego rozdzielenia tych sieci może przykładowo spowodować potencjalne włamanie do systemu sterowania pracą elektrowni, dzięki dostępowi przez sieć administracyjną, czy spowodować zablokowanie działania i skasowanie danych z systemu SCADA [1, 2, 10, 11]. Logicznego rozdzielenia sieci można dokonać wykorzystując sieci prywatne VPN z wyznaczaniem tras za pomocą protokołu MPLS. Przykładem może być wykorzystanie tej techniki do ustalenia bezpiecznej i wydzielonej trasy dla przepływających pakietów pomiędzy oddziałami spółki dystrybucyjnej. Dostęp do sieci administracyjnej będzie oddzielony od podobnej sieci innej spółki, mimo że sieć przesyłająca dane technologiczne może być współdzielona.
Jak wspomniano w pierwszej części artykułu [21], istnieją cztery podstawowe filary bezpieczeństwa transmisji informacji: uwierzytelnianie, poufność informacji, integralność danych i niezaprzeczalność. Uwierzytelnienie tożsamości może być oparte na:
- posiadaniu – something you own (np. karta magnetyczna i czytnik),
wiedzy – something you know (np. znajomość nazwy użytkownika i hasła),
posiadaniu i wiedzy – something you own, something you know (np. token RSA – rysunek 1.),
biometrii – something you are (identyfikacja na podstawie indywidualnych cech biometrycznych użytkownika).
Pozostałe trzy filary (poufność informacji, integralność danych i niezaprzeczalność) wymagają zastosowania algorytmów kryptograficznych. Szyfrowanie informacji ma na celu eliminację zagrożeń związanych z naruszeniem poufności informacji. Metody kryptograficzne zapewniają też usługę uwierzytelniania. Mogą zostać zastosowane również do sprawdzania integralności wiadomości (razem z sumami kontrolnymi) oraz uniemożliwić, zarówno nadawcy, jak i odbiorcy, zaprzeczenie faktowi wysłania lub odebrania wiadomości. Systemy kryptograficzne opierają się na pojęciu klucza, elementu, bez którego nawet znajomość samego algorytmu szyfrowania nie pozwala na odczytanie zaszyfrowanej informacji. Skuteczność kryptografii zależy od długości klucza i czasu potrzebnego na złamanie szyfru. Istnieją dwa podstawowe typy algorytmów kryptograficznych [4, 5, 11]:
- algorytmy symetryczne (np. AES, ang. Advanced Encryption Standard). Algorytmy te wymagają znajomości klucza przez obydwie strony przekazu informacji. Wadą tych algorytmów jest konieczność bezpiecznego przekazania klucza odbiorcy oraz używania tylu kluczy, ilu jest odbiorców (lub jednego klucza dla wszystkich, co w przypadku jego przejęcia jest bardzo niebezpieczne),
- algorytmy asymetryczne (np. RSA – nazwa pochodzi od nazwisk twórców: Rivest, Shamir, Adelman). W tym typie algorytmów występuje para kluczy: publiczny i prywatny. Klucz publiczny jest dostępny dla każdego. Klucz prywatny jest znany tylko właścicielowi i może być dodatkowo zabezpieczony hasłem chroniącym przed nieautoryzowanym użyciem w przypadku utracenia klucza. Algorytmy te pozwalają na oddzielenie autentyczności i poufności oraz umożliwiają sprawdzenie integralności wiadomości za pomocą podpisu cyfrowego.
Zasada działania tych mechanizmów została dokładniej przedstawiona m.in. w [4, 10].
Zapewnienie bezpieczeństwa systemów teleinformatycznych energetyki wymaga zarówno zastosowania wspomnianych technik, jak i stworzenia odpowiedniej polityki bezpieczeństwa. Powinna ona zawierać definicję bezpieczeństwa oraz określać zasady dostępu do określonych zasobów. Należy uwzględnić fakt, iż wiele systemów energetyki (np. telezabezpieczeń, telesterowania) wymaga wysokiego poziomu dostępności i wysokiego priorytetu w działaniu, gdyż przesyłają krytyczne dane. W zależności od topologii sieci i ważności danych zasobów można określić dodatkowe uwarunkowania.
Proponowanym przez CIGRE podejściem do klasyfikacji informacji w systemie pod względem bezpieczeństwa i dostępu do poszczególnych usług jest koncepcja domen bezpieczeństwa [1, 2]. Przykładowo można wyróżnić następujące domeny, w których będą obowiązywać różne poziomy bezpieczeństwa:
- utrzymania ruchu,
- sterowania pracą elektrowni,
- sterowania pracą stacji elektroenergetycznej,
- telekomunikacyjna,
- aplikacji czasu rzeczywistego,
- administracyjna,
- publiczna.
Domeny bezpieczeństwa są ze sobą powiązane, gdyż współdzielą medium transmisyjne. Różnią się jednak co do wymagań względem bezpieczeństwa, gdyż różne jest ich przeznaczenie.
W różnych zastosowaniach w elektroenergetyce coraz częściej wykorzystuje się sieci bezprzewodowe. Szczególnego znaczenia nabierają one w przypadku wybranych funkcjonalności zautomatyzowanych sieci Smart Grid. Wraz z wprowadzeniem standardów 802.11n czy 802.11ac sieci bezprzewodowe coraz częściej pełnią funkcję podstawowej infrastruktury dostępowej [18, 19, 20]. W sieciach coraz częściej pojawia się znacząca liczba urządzeń mobilnych, takich jak tablety i smartfony. Urządzenia te posiadają wyłącznie interfejsy bezprzewodowe lub łączność komórkową. Znaczenie sieci bezprzewodowych wzrasta wraz z upowszechnieniem się terminu BYOD (Bring Your Own Device). Termin ten oznacza trend polegający na wykorzystaniu urządzeń mobilnych zarówno w domu, jak i w pracy. Ma to ogromne znaczenie dla niektórych planowanych funkcjonalności sieci Smart Grid, które mogą być realizowane za pomocą połączeń bezprzewodowych. W sieci przewodowej jednym z elementów zapewniających w sposób bezpośredni bezpieczeństwo dostępu jest fakt, że dopuszcza się tylko określonych użytkowników do medium transmisyjnego. Ochrona dostępu jest realizowana np. przez infrastrukturę chroniącą samo okablowanie (np. budynek). W takim przypadku „nielegalne” podłączenie się do infrastruktury sieciowej nie jest proste. Dodatkowo można w strukturze przewodowej implementować mechanizmy określone standardem 802.1x. W ten sposób można osiągnąć wysoki stopień bezpieczeństwa (wsparty przede wszystkim mechanizmami zabezpieczeń zaimplementowanymi w aktywne przełączniki sieciowe). Inaczej rzecz ma się w mediach bezprzewodowych, ponieważ nie ma możliwości całkowitego ograniczenia propagacji fali radiowej. Konieczne są zatem dodatkowe elementy zabezpieczeń, a kwestia uwierzytelniania czy szyfrowania transmisji ma tu kluczowe znaczenie. Podstawową ochroną przed niepowołanym dostępem w sieciach przewodowych są systemy IDS/IPS (Intrusion Detection System/Intrusion Prevention System). Dla tego typu sieci systemy te analizują dane i informacje w warstwie 3 i wyższych modelu OSI/ISO. Warstwy niższe (1 i 2) w tych systemach są rzadziej wykorzystywane do wykrywania nieautoryzowanego dostępu ze względu na to, że zabezpieczenia w nich stosowane są trudne do złamania bez fizycznego dostępu do medium transmisyjnego. W sieciach bezprzewodowych, biorąc pod uwagę zasięg i dostęp do medium transmisyjnego, nie można już przyjmować takiego założenia. Każdy bowiem ma dostęp do środowiska RF. Dlatego dla takich sieci powinno wdrażać się systemy WIDS i WISP (Wireless Intrusion Detection System i Wireless Intrusion Prevention System – rysunek 2.).
Wspomniane systemy oparte są najczęściej na scentralizowanym oprogramowaniu, zainstalowanym na serwerze WIDS/WIPS. Ma ono na celu ochronę użytkowników sieci przed zagrożeniami wynikającymi z nieautoryzowanego dostępu do medium oraz wspomaga infrastrukturę teleinformatyczną w osiągnięciu maksymalnej wydajności. Podstawowym elementem sprzętowym takiego rozwiązania jest sensor, który skanuje określony zakres częstotliwości (kanały) oraz przekazuje podstawowe wyniki swoich analiz do serwera WIDS/WIPS. Sensor może być urządzeniem samodzielnym lub zintegrowanym z punktami dostępowymi. W pierwszym przypadku mamy do czynienia z tzw. infrastrukturą dedykowaną, w drugim – z tzw. rozwiązaniem zintegrowanym. Istnieje możliwość połączenia powyższych struktur i utworzenia architektury hybrydowej. Zadaniem sensorów jest ciągłe skanowanie częstotliwości – również tych, które pochodzą od innych sprzętów pracujących w standardzie 802.11 lub na zbliżonym do tych standardów zakresie częstotliwości (np. urządzeń mikrofalowych). W samodzielnych sensorach nie następuje ograniczenie ruchu w czasie detekcji zagrożeń. W przypadku rozwiązań zintegrowanych wydajność sieci spada ze względu na podwójną rolę punktów dostępowych (rola punktu dostępowego i sensora nie może być realizowana równocześnie). Dlatego też pierwsze z opisywanych rozwiązań stosowane jest w większych sieciach o dużej wymaganej przepustowości. Drugie z rozwiązań zalecane jest do małych i średnich sieci bezprzewodowych.
Ostatnio w sieciach teletransmisyjnych coraz częściej zaczyna też odchodzić się od tradycyjnego modelu klient – serwer na rzecz wirtualizacji oraz cloud computingu. Wynika to z faktu przenoszenia coraz większej ilości zasobów do środowiska „cyfrowego”. Trend ten wymusza również fakt coraz większego dostępu do zasobów przez użytkowników wykorzystujących urządzenia mobilne. Stąd też sieci teletransmisyjne stały się krytycznym komponentem infrastruktury IT. Analizy bezpieczeństwa wskazują, że aby spełnić wszystkie aspekty bezpieczeństwa, wirtualizacji i mobilności promuje się koncepcję sieci sterowanej programowo SDN [19]. SDN separuje płaszczyznę kontroli od płaszczyzny danych. Przyjęcie takiego modelu sieci pozwala na szybkie dostarczanie usług i aplikacji w środowisku IT, które w przyszłości będą podstawą działania zautomatyzowanych sieci Smart Grid. Jednym z podstawowych kryteriów, które decydują o powodzeniu wdrożenia modelu SDN, będą jednak opóźnienia transmisji danych. Przy bardzo dużych przepływnościach opóźnienia nie mogą przekraczać nanosekund.
Podsumowanie
Dla uzyskania odpowiednich właściwości sieci teletransmisyjnej i struktury systemów IT istotne są pogłębione analizy takich struktur oraz właściwy dobór jej urządzeń. W wielu przypadkach analizy takie zbyt często ogranicza się jedynie do podstawowych parametrów sieciowych, takich jak np. przepustowość czy skalowalność danego rozwiązania. Dotyczy to w szczególności infrastruktury teleinformatycznej elektroenergetyki. Dla większości zastosowań, a szczególnie specyficznych funkcjonalności, których oczekuje się od zautomatyzowanych sieci Smart Grid, często pomija się konsekwencje, jakie wynikają z konkretnego wyboru topologii, medium transmisyjnego, użytego protokołu czy też rozwiązania sprzętowego. Mówi się też o dopuszczalnych opóźnieniach, kiedy znacznie bardziej istotnym parametrem jest zmienność opóźnienia (jitter). Ma ona szczególne znaczenie w transmisjach typu izochronicznego, gdzie wymagana jest stała wartość szybkości przesyłu danych niezależnie od obciążenia sieciowego. Dlatego struktury przesyłu danych i wymiany informacji oraz systemy IT w elektroenergetyce nie powinny być projektowane tylko i wyłącznie na bazie stałych wytycznych [9, 10, 13]. Szczególną uwagę należy zwrócić na zapewnienie odpowiedniego bezpieczeństwa i poufności przesyłanych danych [4, 10]. W każdym przypadku powinno analizować się je pod kątem konkretnego obiektu elektroenergetycznego mając na uwadze nie tylko niezawodność i jakość transmisji danych, ale również perspektywiczne wykorzystanie danej struktury do realizacji przyszłych funkcjonalności o znacznie wyższych wymaganiach. Wprowadzanie do energetyki zautomatyzowanych sieci elektroenergetycznych Smart Grid powoduje konwergencję różnych technologii informatycznych i komunikacyjnych. Znaczenie analiz bezpieczeństwa pracy takich systemów znacząco wzrasta. Niestety opracowywane standardy są najczęściej w wersjach rozwojowych i nie nadążają za dynamiką zmian funkcjonalności i powszechności dostępności pewnych obszarów systemów teleinformatycznych infrastruktury elektroenergetyki dla ogółu ludności. Każdy możliwy punkt styku sieci teleinformatycznych ogólnodostępnych z sieciami o znaczeniu krytycznym jest potencjalnym punktem możliwego ataku na tego typu sieć. Doświadczenia ostatnich lat wskazują, że dla tego typu sieci zagadnienia bezpieczeństwa nie są traktowane z należytą uwagą. Wielokrotnie dochodziło np. do ataków na teoretycznie dobrze zabezpieczone sieci banków lub wielkich korporacji (również na strony rządowe). Na początku 2014 roku została nagłośniona poważna luka w protokole SSL (CVE-2014-0160 – tzw. Heartbleed). Luka ta daje ogromne możliwości wykradania danych ze stron internetowych, w których transmisja zabezpieczona jest „bezpiecznym” protokołem SSL. Większość serwerów dostępowych o dużym znaczeniu strategicznym posługuje się właśnie takimi zabezpieczeniami. Szacuje się, że na powyższą lukę może być podatnych ponad 60% witryn internetowych. Atak z wykorzystaniem takiej luki może skutkować nie tylko uzyskaniem klucza prywatnego witryny internetowej, ale również – poprzez deszyfrację transmisji – uzyskaniem dostępu do haseł użytkowników i danych. Pokazuje to jak podatne są systemy wystawione bezpośrednio lub pośrednio na dostęp z sieci Internet. Dlatego wprowadzanie nowych funkcjonalności do systemów teleinformatycznych elektroenergetyki powinno być poprzedzone starannymi analizami wpływu tychże funkcjonalności na bezpieczeństwo pracy takich systemów.
Literatura
- CIGRE, JWG D2-B3-C2.01: Cyber security considerations in power system operations. Electra 218/2005
- CIGRE, JWG D2-B3-C2.01 Managing information security in an electric utility. Electra 216/2004
- Comer D.E.: Sieci komputerowe i intersieci. Warszawa, WNT 2003
- Halinka A., Szewczyk M.: Bezpieczeństwo przesyłu informacji oraz algorytmy szyfrujące możliwe do wykorzystania w infrastrukturze teleinformatycznej energetyki, Wiadomości Elektrotechniczne, ISSN 0043-5112, 6/2008, s. 3-8
- Vademecum teleinformatyka Tom 1-3. Warszawa, IDG Poland 1999, 2002, 2004
- Marzio P. Pozzuoli: The Need for “Substation Hardened” Ethernet Switches
- Scrimger R., LaSalle P., Leitzke C., Parihar M., Gupta M.: Biblia TCP/IP, Helion, 2004
- Simmonds A.: Wprowadzenie do transmisji danych, Wydawnictwa Komunikacji i Łączności, Warszawa 1999
- Szewczyk M. Analizy wymagań niezawodnościowych i jakościowych układów i urządzeń transmisji danych we współczesnej elektroenergetyce. Przegląd Elektrotechniczny R. 90 nr 3, s. 84-89, 2014
- Szewczyk M. Wybrane analizy pracy struktur teletransmisyjnych i teleinformatycznych w elektroenergetyce. Przegląd Elektrotechniczny R. 90 nr 3, s. 1-5, 2014
- Szewczyk M., Halinka A.: Media transmisyjne w automatyce elektroenergetycznej, Materiały Sympozjum Naukowo-Technicznego pod patronatem honorowym Komitetu Automatyki Elektroenergetycznej SEP "Zabezpieczenia elektroenergetyczne w zakładach górniczych", ISBN 978-83-60837-04-7, Gliwice, 3 kwietnia 2007, s. 43 - 61
- Tekniska S.A.: IEC61850, biuletyn wewnętrzny
- Wieczorek Z.: Sieć Ethernet LAN w stacjach elektroenergetycznych zgodnych z IEC61850 – podstawy projektowania, Urządzenia dla energetyki 8/2009
- Wieczorek Z.: Komunikacja zgodna z IEC61850, elektro.info 5/2010
- IEC 61850-3: “Communications networks and systems in substations – Part 3: General Requirements”
- IEC 61000-6-5 “Generic Standards – Immunity for power station and substation environments”
- Specyfikacja funkcjonalna PSE - Operator S.A.: Standardowa specyfikacja funkcjonalna dla sieci LAN stacji; Standardowe wymagania funkcjonalne dla systemów telekomunikacyjnych obiektów stacyjnych PSE - Operator S.A.
- Networld 12/2013: „Bezprzewodowe systemy detekcji i prewencji antywłamaniowej”, s. 41-45
- Networld 1/2014: „Oddzielić dane od kontroli”, s. 44-48
- Networld 3/2014: „„Zintegrowana ochrona sieci LAN/WAN, s. 61-65
![Rys. 2. Ogólna struktura systemu WIDS/WIPS [18]](https://www.elektro.info.pl/media/cache/typical_view/data/202002/b-szewczyk-elektro-7-8-rys2.jpg)
