Technologie

Bezpieczeństwo w rozproszonym systemie elektroenergetycznym

Postępująca w energetyce integracja źródeł odnawialnych i wprowadzanie technologii Smart Grid wymaga  implementacji standardów obejmujących nie tylko bezpieczeństwo eksploatacji i dostaw energii, ale także ochronę informacji i obronę systemu przed ewentualnym atakiem. Podstawową rolę w tym zakresie pełnią odpowiednio zabezpieczone urządzenia i protokoły komunikacyjne.

Bezpieczeństwo w energetyce

Do niedawna powyższym pojęciem obejmowano aspekty związane z pewnością funkcjonowania systemów przesyłowych i dystrybucyjnych energii elektrycznej oraz ograniczaniem ilości i niebezpieczeństwa porażeń. Aby w jakiś sposób mierzyć stopień pewności dostaw energii wprowadzono i nadal rozbudowuje się różnorodne wskaźniki, które mają wręcz wymusić na spółkach dystrybucyjnych dbałość o stan infrastruktury. Bezpieczeństwo użytkowania sprzętu i minimalizację zagrożeń porażeniami zapewniają normy, wg których urządzenia są konstruowane i eksploatowane. Bardzo istotną rolę pełnią także specyfikacje techniczne, drobiazgowo określające parametry techniczne sprzętu i instalacji oraz wymagania funkcjonalne.

Wdrażane są coraz bardziej zaawansowane systemy monitorowania sprzętu pierwotnego pracującego na stacjach energetycznych, a także linii przesyłowych. Przykładem mogą być systemy monitoringu transformatorów mocy, systemy DOL badające możliwość dynamicznego obciążania linii, systemy monitoringu wyłączników próżniowych. Powyższe środki techniczne mają ograniczyć ilość niespodziewanych awarii, wspomóc racjonalne zarządzanie majątkiem, a tym samym zwiększyć bezpieczeństwo.

Bardzo istotne jest unikanie zagrożeń dla bezpieczeństwa, wynikających z niepoprawnego funkcjonowania sprzętu lub błędu ludzkiego. Przeciwdziałać takim zdarzeniom mają rozbudowane procedury sterowania w trybie „select before operation” (wybór przed sterowaniem) oraz stosowanie blokad technologicznych (interlocking), uniemożliwiających wykonanie niedozwolonej sekwencji sterującej. Z kolei rozbudowane i zestandaryzowane protokoły komunikacyjne mają zapewnić pewne i bezbłędne odczytanie stanów urządzeń, wszelkich pomiarów oraz wysłanie komend sterujących.

Powyżej przedstawione zagadnienia zawierają się w angielskim określeniu „safety”, czyli bezpieczeństwo rozumiane w kontekście bezpiecznego użytkowania, pewności, niezawodności, przewidywalności.

Zmiany strukturalne

Obecnie dynamicznie rozwija się energetyka odnawialna. Integracja w systemie elektroenergetycznym farm wiatrowych, parków fotowoltaicznych, biogazowni, tworzenie „wirtualnych elektrowni”, wymaga nowych rozwiązań i głębokich zmian w strukturze systemu energetycznego [1]. Wiąże się z tym konieczność instalacji zdalnie sterowanych rozłączników, reklozerów, stacji wnętrzowych i przebudowy istniejących stacji energetycznych. Działania operatorów systemu elektroenergetycznego zmierzają również do poprawy parametrów jakości energii elektrycznej, na przykład poprzez instalację układów kompensacji mocy biernej i układów regulacji napięcia.

Drugi obszar rozwoju to infrastruktura i technologia „Smart Grid”, która docelowo ma tworzyć  inteligentny system elektoenergetyczny. Taki system będzie się składał z automatycznych, bezobsługowych stacji przesyłowych i dystrybucyjnych, obsługujących różnorodne źródła wytwarzania energii, systemów monitoringu z funkcjami diagnostyki oraz centrów nadzoru, które będą nadzorować parametry systemu. W rezultacie powstanie rozproszony system elektroenergetyczny, nie tylko pod względem wytwarzania energii elektrycznej, ale także urządzeń IED i komunikacji. Zarządzanie taką strukturą będzie wymagało struktur typu „chmura” z urządzeniami wyposażonymi w zaawansowane funkcje automatyki i zabezpieczeń, pracującymi w głębi sieci energetycznej.

W powyższych zagadnieniach podstawowe wyzwanie to sprawna i wydajna komunikacja. W tym zakresie korzysta się obecnie z korporacyjnych sieci ethernetowych oraz tanich rozwiązań bezprzewodowych, opartych o ogólnie dostępne sieci bezprzewodowe, pracujące w standardzie GPRS/UMTS/LTE. W przykładowym systemie, pokazanym na rysunku 1, systemy SCADA 1 i SCADA 2 komunikują się poprzez routery z siecią bezprzewodową GSM z wydzielonym dostępem APN (ang. Access Point Number). Do sieci GSM podłączone są urządzenia obiektowe IDE1…IDEn. Systemy SCADA są uzupełnione o serwery centralnego zarzadzania (DM), serwery centralnej autentykacji poleceń RADIUS, TACACS+ oraz serwer walidacji certyfikatów bezpieczeństwa. Całość systemu dopełniają niezależne serwery NTP1 i NTP2, przeznaczone do synchronizacji czasu serwerów i urządzeń obiektowych.  Oprogramowanie konfiguracyjne pConfig dla urządzeń IED, obsługiwane poprzez interfejs sieciowy, może być stosowane lokalnie lub zdalnie.

Rys.1 Przykładowa architektura rozproszonego systemu

Rys.1 Przykładowa architektura rozproszonego systemu

Pojawia się zatem konieczność „obrony” tak rozproszonego systemu energetycznego przed nieuprawnionym dostępem i potencjalnymi działaniami przestępczymi w stosunku nie tylko do danych, ale także do parametrów, konfiguracji, a także wewnętrznego oprogramowania urządzeń IED, takich jak sterowniki polowe, zabezpieczenia, koncentratory danych i inne [2]. Zaniechanie tych działań może wprowadzić zagrożenia dla innych urządzeń, a nawet całej stacji energetycznej. Zagrożone mogą być dowolne elementu systemu energetycznego i jego stabilność, z uwagi na komunikację realizowaną poprzez zintegrowane połączenia sieciowe.

Powyższą tematykę, omówioną dokładniej w dalszej części artykułu, można określić angielskim słowem „security”, czyli bezpieczeństwem rozumianym w kontekście tajności, praw dostępu do danych i procedur, szyfrowania informacji.

Bezpieczne urządzenia IED

Skuteczne przeciwdziałanie powyżej zasygnalizowanym zagrożeniom wymaga nowych funkcjonalności i mechanizmów w urządzeniach IED, zapewniających wysoki poziom bezpieczeństwa typu „security”.  Rekomendacje dla tych zagadnień można znaleźć w opracowaniach takich instytucji jak ENISA[3], NIST[4], BDEW[5]. Implementacja mechanizmów bezpieczeństwa powinna być zgodna ze standardami IEC 62351[6], IEEE P1686[7], BDEW White Paper „Requirement for Secure Control and Telecommunication Systems”[5].

Praktyczna implementacja powyższych funkcjonalności, wdrożona już w naszym kraju na przykład w systemie SO52v21 firmy Mikronika, może polegać na wprowadzeniu chronionych obszarów pamięci i kolejnych warstw obronnych, określanych pojęciem „defence in depth”, jak zilustrowano to na rysunku 2. Warstwy te mają zapewnić ochronę wrażliwych danych, zdalnego i lokalnego dostępu do urządzenia oraz ochronę komunikacji.

Rys 2. Wielowarstwowa struktura bezpieczeństwa (Defence in Depth)

Rys 2. Wielowarstwowa struktura bezpieczeństwa (Defence in Depth)

Ochrona danych wrażliwych. Centralny obszar na rysunku 2, to tak zwany „sejf” – czyli dedykowana, szyfrowana przestrzeń pamięci, w której są przechowywane „wrażliwe dane”. Generalnie, dostęp do nich musi być bezpieczny i ograniczony do minimum. Do danych wrażliwych możemy zaliczyć:

  • klucze prywatne w kryptografii asymetrycznej, stosowanej w protokołach TLS, IPSEC, HTTPS,
  • lokalną bazę użytkowników i haseł,
  • klucze do uwierzytelniania komunikacji w protokołach DNP3.0, IEC 60870-5-104 i innych,
  • niektóre pliki konfiguracyjne.

Pliki konfiguracyjne korzystają z szyfrowanej partycji plików dm_crypt, a pozostałe dane przechowywane są w postaci plików – zaszyfrowanych silnymi algorytmami kryptograficznymi o ograniczonym do minimum poziomie dostępu.

Kontrola dostępu. Komunikacja urządzenia ze światem zewnętrznym podzielona jest na dwa obszary, pokazane na rysunku 2. Pierwszy obszar dotyczy zarządzania samym urządzeniem, na przykład poprzez oprogramowanie konfiguracyjne pConfig firmy Mikronika. Drugi obszar, to część operacyjna obejmująca protokoły DNP3.0, IEC 60870-104 i inne, wynikająca z funkcji danego IED w systemie elektroenergetycznym. Interfejsy do obu obszarów są fizycznie i logicznie odseparowane. Usługi uruchamiane w poszczególnych interfejsach są elementem konfiguracji urządzenia, w której  można zezwolić lub zabronić lokalnego lub zdalnego zarządzania tym urządzeniem.

Dostęp zdalny i lokalny do IED możliwy jest tylko po poprawnym uwierzytelnieniu użytkownika. Baza kont oparta została o mechanizm kontroli dostępu RBAC (ang. Role Based Access Control) zgodnie z normą IEC 62351-8. Zdefiniowane role mają przydzielone stosowne uprawnienia. Użytkownik może mieć przypisaną więcej niż jedną rolę i w zależności od skojarzonych z nimi uprawnieniami może wykonywać określone operacje.

Dostęp do sterownika może być również zrealizowany z wykorzystaniem centralnej autentykacji. Polega ona na tym, że baza użytkowników, haseł i przypisanych im ról, nie jest przechowywana w urządzeniu, ale na dedykowanych centralnych serwerach RADIUS/TACACS+. W celu uwierzytelnienia logującego się klienta, sterownik komunikuje się z serwerem autentykacji i w odpowiedzi otrzymuje pozwolenie lub odmowę dostępu.

Monitorowanie aktywności użytkowników. Dla zapewnienia bezpieczeństwa „security” istotne jest rejestrowanie w logach systemowych nie tylko zdarzeń związanych z działaniem IED, realizowanymi sterowaniami, przekroczeniami wartości zadanych, ale także zdarzeń związanych z zarządzaniem bezpieczeństwem. Każde takie zdarzenie zawiera czas wystąpienia, jego przyczynę lub źródło oraz opis. Do logów zapisywane są standardowo poniższe zdarzenia:

  • Poprawne lub błędne, zdalne lub lokalne logowanie użytkownika
  • Wylogowanie ręczne lub po zdefiniowanym czasie
  • Zmiana lub wymuszanie wartości pomiarowych lub stanów
  • Zmiana lub jedynie pobranie konfiguracji
  • Wymiana oprogramowania
  • Dodanie, usunięcie, zmiana uprawnień użytkowników lub kont
  • Przeglądanie logów
  • Zmiana daty i czasu
  • Alarmy bezpieczeństwa

Zdarzenia mogą być też przesyłane do zewnętrznego serwera logów, na przykład za pomocą protokołu syslog. Mogą one być niezależnie analizowane w celu wykrycia przyczyn naruszeń zasad bezpieczeństwa i modyfikacji procedur ochronnych.

Bezpieczeństwo komunikacji

W systemach rozproszonych, które ilustruje rysunek 1, najbardziej newralgiczna jest komunikacja – także w zakresie bezpieczeństwa „security” [2]. W zależności od wymagań, możliwe jest wykorzystanie wszystkich lub jedynie kilku poniżej przedstawionych mechanizmów bezpieczeństwa chroniących komunikację z systemami zewnętrznymi oraz dostęp do danych, zapisanych w urządzeniu.

Hardening. Dla ograniczenia ekspozycji IED na zagrożenia, są one poddawane procesowi hardeningu. Polega to na usunięciu wszystkich kont, usług, interfejsów, modułów programowych, które w danej konfiguracji nie są wykorzystywane oraz wyłączeniu tych funkcjonalności , które mogą być potrzebne, ale w standardowym trybie pracy nie są używane. Restart urządzenia nie może powodować ponownego uruchomienia dezaktywowanych komponentów.

IEEE 802.1X. Jest to standard umożliwiający uwierzytelnianie urządzenia dołączonego do portu sieci lokalnej. Uwierzytelnianie 802.1X eliminuje niebezpieczeństwo nieautoryzowanego dostępu do sieci już na poziomie warstwy dostępu.

Firewall. Standardowa konfiguracja powinna blokować cały ruch przychodzący i wychodzący, z wyjątkiem wprost dopuszczonego. Dozwolony ruch powinien wynikać z wymaganej polityki bezpieczeństwa, a konfiguracja powinna umożliwić odblokowanie usług i protokołów komunikacyjnych w odpowiednich interfejsach sieciowych.

Tunelowanie. IED powinno także posiadać możliwość zestawienia kilku tuneli VPN IPsec, czyli wirtualnych kanałów komunikacyjnych dla dowolnych interfejsów sieciowych. IPsec powinien pracować w trybie tunelowania i wykorzystywać protokół IKEv2 do negocjacji sesji.

Szyfrowanie. Komunikacja z systemami SCADA, realizowana standardowo w protokołach DNP3.0 oraz IEC 60870-5-104 może być dodatkowo szyfrowana. Oba protokoły umożliwiają załączenie szyfrowania w protokole TLS, zgodnie ze standardem IEC 62351-3.

Predefiniowane klucze oraz certyfikaty, używane do szyfrowania komunikacji, są umieszczane w IED w procesie produkcji. Uprawniony użytkownik ma możliwość zmiany zarówno kluczy jak i certyfikatów za pomocą oprogramowania narzędziowego. IED powinien także posiadać mechanizm walidacji certyfikatów za pomocą protokołu OCSP (ang. Online Certificate Status Protocol ).

Uwierzytelnianie. Uwierzytelnianie ma na celu potwierdzenie uprawnienia do wykonania konkretnych, krytycznych operacji takich jak np. komendy sterownicze. Uwierzytelnianie jest realizowane w standardzie IEC 62351-5 i dotyczy protokołów DNP3.0 oraz IEC 60870-5-104 [8].

Zarządzanie konfiguracją

Zachowanie bezpieczeństwa wymaga nie tylko wdrożenia właściwych struktur i mechanizmów „security” w urządzeniach ale również wprowadzenia adekwatnych mechanizmów zarzadzania konfiguracjami urządzeń IED, tak aby uniemożliwić ich nieautoryzowaną zmianę lub zniszczenie [9].

Do zarządzania konfiguracją na ogół wykorzystywane jest dedykowane oprogramowanie konfiguracyjne. Połączenie między IED, a tym oprogramowaniem musi być szyfrowane. Oprócz podstawowej funkcjonalności, jaką jest zmiana konfiguracji, oprogramowanie zarządzające powinno umożliwiać również bezpieczną wymianę firmware’u, czyli wewnętrznego oprogramowania  urządzenia. Firmware powinien być przez producenta „podpisany” elektronicznie w celu weryfikacji jego autentyczności. Urządzenie musi również umożliwić wymianę predefiniowanych kluczy, kluczy szyfrujących oraz certyfikatów, chociażby z powodu ich przeterminowania lub co gorsze – „skompromitowania” (tak w literaturze fachowej określa się ujawnienie klucza).

Co dalej?

Wydaje się, że wprowadzanie procedur bezpieczeństwa „security” stanie się obligatoryjne w najbliższej przyszłości. Specyfikacje techniczne dla sprzętu IED instalowanego w energetyce w Europie zachodniej już bardzo dokładnie te procedury precyzują. Od niedawna także w naszym kraju takie wymagania się pojawiają. Oczywiście sprzyja tej tendencji realne zagrożenie atakiem  terrorystycznym, który mógłby wywołać black-out, czyli awarię systemu elektroenergetycznego i zanik zasilania na dużym obszarze.

Wdrażanie technologii „security” będzie powodowało większe koszty urządzeń IED. Wynika to z potrzeby stosowania dużo większych zasobów pamięci i procesorów o większej wydajności. Większe koszty będą także wynikać z konieczności zapewnienia właściwego zarządzania infrastrukturą bezpieczeństwa, czyli kluczami kodowania, hasłami, prawami dostępu.

Utrudnione będzie także serwisowanie urządzeń i to nie tylko zdalne ale i lokalne. Wiąże się to z ograniczeniem, a niekiedy wręcz z zakazem realizacji zdalnego dostępu do IED. W przypadku dostępu lokalnego, utrudnienia mogą wynikać z procedur hardeningu. W tym zakresie z pewnością należy poszukiwać rozwiązań zapewniających bezpieczeństwo, ale także biorących pod uwagę ekonomikę eksploatacji urządzeń.

Bardzo ważne jest utrzymanie i stosowanie znormalizowanych rozwiązań w zakresie bezpieczeństwa. Zgoda na wprowadzenie jakichkolwiek dedykowanych rozwiązań fabrycznych będzie eliminowała kompatybilność i wymienność urządzeń, co w dłuższej perspektywie doprowadziłoby do praktyk monopolistycznych producentów sprzętu i oprogramowania.

Obserwując obecny rozwój zagadnień „cyber security” można stwierdzić, że upowszechnienie tych technologii będzie kolejnym przełomem w konstrukcji urządzeń IED i systemów informatycznych w energetyce, podobnym do przełomu jaki spowodowało powszechne wprowadzenie komunikacji światłowodowej i internetu.

Literatura

  1. W.Lubicki, M.Przygodzki, G.Tomasik “New methodology of transmission system planning in Poland based on economic and market approach”, CIGRE paper C1-308, Paris 2014
  2. G.Dondossola, R.Terrrany “Security of communicatios in voltage control for grids connecting DER: impact analysis and anomaleous behaviours”, CIGRE paper D2-203, Paris 2014
  3. ENISA European Network and Information Security Agency “Algorithms, key size and parameters report” 2014, 2014
  4. NIST (National Institute of Standards and Technology) “Recommendation for Key Management”, Special Publication 800-57 part 1 Rev. 3, July 2012
  5. BDEW Bundesverband der Energie- und Wasserwirtschaft e.V. “Requirements for Secure Control and Telecommunication Systems  v.01”, 2008 (English)
  6. IEC 62351 parts 1-8, “Power systems management and associated information exchange – Data and communications security”
  7. IEEE 1686 “Standard for Intelligent Electronic Devices (IEDs). Cyber Security Capabilities”
  8. IEC 60870-5-7 “Telecontrol equipment and systems: Transmission protocols – Security extensions to IEC 60870-5-101 and IEC 60870-5-104 protocols (applying IEC 62351)”
  9. P.Sitbon, C.Poirer, J.Zerbst “Security in remote services used by EPUs” CIGRE paper, Paris 2014

Wiesław Gil,  Marek Sztraube, MIKRONIKA

 

Click to comment

Leave a Reply

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

To Top