"Умные сети электроснабжения" (smart grid) и проблемы с кибербезопасностью

Дмитрий Костров
Заместитель директора центра систем кибербезопасности
ООО “Энвижн Специальные проекты", NVision Group,
член правления АРСИБ

Отметим, что ресурсы организации и пользователя обычно включают подсоединенные компьютерные устройства, персонал, инфраструктуру, приложения, услуги, системы электросвязи и всю совокупность переданной и/или сохраненной в киберсреде информации. Под киберсредой связисты понимают пользователей, сети, устройства, все ПО, процессы, сохраненную или транзитную информацию, приложения, услуги и системы, которые могут быть прямо или косвенно соединены с сетями.

Необходимо понимать, что суть кибербезопасности состоит в достижении и сохранении свойств безопасности у ресурсов организации или пользователя, направленных против соответствующих угроз безопасности в киберсреде. Общие задачи обеспечения безопасности включают доступность, целостность (в которую могут входить аутентичность и неотказуемость) и конфиденциальность. В ряде национальных и региональных нормативных и законодательных актов может требоваться реализация механизмов защиты информации, позволяющих установить личность.

Архитектура УСЭ

Под "умными сетями электроснабжения" (УСЭ) обычно понимают модернизированные сети электроснабжения, которые используют информационные и коммуникационные технологии (ИКТ) для сбора информации об энергопроизводстве и энергопотреблении, позволяющей автоматически повышать эффективность, надежность, экономическую выгоду, а также устойчивость производства и распределения электроэнергии.

Исследование проблем кибербезопасности "умных сетей электроснабжения" целесообразно начать с анализа упрощенной модели УСЭ с учетом применения ИКТ (см. рис.). Модель состоит из пяти поддоменов, которые рассматриваются на трех различных уровнях: сервисы/приложения, коммуникация, оборудование. Каждый из этих трех уровней охватывает один или более поддоменов:

• электроснабжение (генерация, передача, распределение);
• измерительные приборы;
• клиентский поддомен (смарт-устройства, электрическое оборудование, локальные сети и т.п.);
• сеть связи;
• поддомен сервис-провайдера (операторы, сервис-провайдеры, рынок услуг и т.п.).

На рисунке также показаны пять интерфейсов взаимодействия. Интерфейсы взаимодействия – это точки коммуникаций (обмена информацией) между сетью связи и остальными четырьмя поддоменами, а также между поддоменом измерительных приборов и пользовательским поддоменом. Все эти пять интерфейсов могут быть стандартизированы, чем и занимаются в Международном союзе электросвязи.

Информационный обмен

Приведем общее описание функциональности интерфейсов взаимодействия.

Интерфейс 1 – между поддоменом электроснабжения и сетями связи, позволяет обмениваться информацией и служебными сигналами между устройствами в поддоменах. Примером может послужить работа SCADA (Supervisory Control And Data Acquisition, диспетчерское управление и сбор данных – программный пакет, предназначенный для разработки или обеспечения работы в реальном времени систем сбора, обработки, отображения и архивирования информации об объекте мониторинга или управления) со следующими объектами:

• удаленные терминалы (Remote Terminal Unit, RTU);
• интеллектуальные электронные устройства (Intelligent Electronic Devices, IED) для взаимодействия со SCADA в рамках поддомена сервис-провайдеров;
• система управления электростанцией для работы со SCADA и система энергетического менеджмента (Energy Management System, EMS), возможно, сертифицированная по ISO 50001 в рамках поддомена сервис-провайдеров;
• система контроля электрогенерации с региональными передающими организациями и/или независимыми дистрибьюторами электроэнергии для работы на свободном рынке;
• информационными и служебными данными, а также информацией о сгенерированной и распределенной электроэнергии между поддоменом электроснабжения (общая генерация электроэнергии) и поддоменом сервис-провайдеров (контроль и операционная деятельность);
• поддоменом электроснабжения (получение информации от сенсоров и измерительных приборов) для обмена с поддоменом сервис-провайдеров (через оператора связи с обеспечением приемлемого уровня киберзащиты) для уведомления, подготовки отчетов и накопления информации;
• подсистемы обмена информацией и координирования действий между поддоменом электроснабжения и поддоменом сервис-провайдеров;
• территориально-распределенные сенсоры и измерительные приборы для работы с распределенными энергетическими ресурсами (Distributed Energy Resources, DER).

Интерфейс 2 – между поддоменом измерительных приборов и сетью связи (оператором связи), позволяет обмениваться измерительной информацией и с пользователями (пользовательский поддомен) через оператора связи, и с сервис-провайдерами. Пример:

• управление измерениями, получение агрегированных показаний приборов учета электроэнергии в поддомене сервис-провайдеров;
• взаимодействие с клиентом EMS для работы с ценами на бирже, учет спроса на электроэнергию, оценка существующих возможностей дистрибьюторов и генерирующих станций;
• расчет за услуги (биллинг) в поддомене сервис-провайдеров на основе получения информации о замере потребления электроэнергии из пользовательского поддомена.

Интерфейс 3 – между пользовательским поддоменом и сетью связи, позволяет обеспечивать взаимодействие между операторами связи и сервис-провайдерами в рамках поддомена сервис-провайдеров и приборами в пользовательском поддомене. Примеры:

• взаимодействие с домашней сетью (Home Area Network, HAN) через специализированный шлюз безопасности или напрямую через Интернет (опасно);
• взаимодействие шлюза HAN/ESI с биллингом через поддомен сервис-провайдеров и т.п.

Интерфейс 4 – между поддоменом сервис-провайдеров и сетью связи, позволяет коммуницировать сервисам/приложениям в рамках поддомена сервис-провайдеров, для управления другими доменами.

Интерфейс 5 – между поддоменом измерительных приборов и пользовательским поддоменом через интерфейс ESI, в частности взаимодействие измерительных приборов и пользовательского оборудования;

Потенциальные угрозы

Определение безопасности функциональной архитектуры для сервисов УСЭ с применением телекоммуникационных сетей должно учитывать:

• угрозы безопасности для сервисов УСЭ с применением телекоммуникационных сетей;
• требования к безопасности для сервисов УСЭ с применением телекоммуникационных сетей;
• функциональную архитектуру безопасности для сервисов УСЭ с применением телекоммуникационных сетей на основе базовой функциональной модели Smart Grid.

Для начала попробуем определить перечень набор угроз безопасности в УСЭ. Угрозы могут быть разделены на следующие типы:

• угрозы безопасности уровня платформ УСЭ;
• угрозы уровня приложений;
• угрозы сетевого уровня;
• угрозы для АСУ ТП;
• угрозы для терминальных устройств УСЭ;
• угрозы клиентов УСЭ.

Защита активов

Необходимо понимать, что активы платформ, которые поддерживают сервисы УСЭ, принадлежат сервис-провайдеру. Они включают систему управления энергоресурсами (EMS), системы управления данными измерительных приборов (MDMS), системы управления спросом (DRMS), биллинг-сервер, клиенты информационной системы и др.

Можно определить следующие угрозы безопасности для платформ УСЭ:

• атаки типа DDoS;
• заражение вредоносным программным обеспечением;
• раскрытие и модификация информации, обрабатываемой и хранимой в сервисной платформе;
• раскрытие и модификация операционных данных, обрабатываемых и хранимых в сервисной платформе.

Активы уровня приложений УСЭ являются различными приложениями и связанной с ними информацией, включая данные о пользовании электричеством, счета и т.п. Сервис-провайдер может передавать информацию об использованных сервисах клиенту через клиентский терминал или другое конечное устройство (например, через Интернет). Данные активы должны быть защищены с учетом требований безопасности:

• персональных данных самих клиентов;
• информации об использованном электричестве;
• информации, которая используется для удаленного управления;
• дополнительной служебной информации и т.п.

Можно отметить следующие угрозы безопасности уровня приложений:

• несанкционированное раскрытие персональных данных клиентов;
• несанкционированное раскрытие и модификация информации об использовании электроэнергии;
• несанкционированное раскрытие служебной (сервисной) информации.

Сетевые активы, в свою очередь, принадлежат сетевому провайдеру. Они могут включать в себя оборудование сети (маршрутизаторы, коммутаторы и т.п.) и сетевые ресурсы (например, полоса пропускания). Модель угроз безопасности и другие фундаментальные материалы можно взять из Рекомендаций МСЭ-Т Х.800 и Х.805. Данные документы идентифицируют следующие угрозы сетевой безопасности: уничтожение информации и/или других ресурсов; несанкционированный доступ и изменение информации; кража, удаление или потеря информации и/или других ресурсов; раскрытие информации; прерывание услуг и сервисов.

Группируем инциденты

В качестве общих характеристик предлагается разделить инциденты информационной безопасности УСЭ с применением ИКТ на несколько групп:

1-я группа – раскрытие информации, которая хранится в оборудовании или в системах, при этом атакующий может иметь доступ к оборудованию или системам удаленно или непосредственно, вследствие чего нарушаются конфиденциальность и целостность. В зависимости от критичности данных раскрытие может нанести вред клиенту, сервисам и самим компаниям. При этом уровни критичности данных делят на два уровня: низкоуровневые и высокоуровневые.

2-я группа – раскрытие информации при передаче с использованием ИКТ. Злоумышленник может получить доступ к информации путем перехвата данных при передаче между системами.

3-я группа – удаление информации, которая хранится в оборудовании или в системах, что приведет к сбоям в работе систем. Это проблема доступности.

4-я группа – изменение информации, которая хранится в оборудовании или в системах, что может привести к ложному решению. Следствием является нарушение целостности.

5-я группа – изменение информации при передаче с использованием ИКТ. Данная проблема связана с целостностью и доступностью.

6-я группа – подделка информации при передаче с использованием ИКТ для специально выбранных целей. Данная проблема связана с целостностью и доступностью. Для всех шести вышеперечисленных групп критичность данных может характеризоваться как низкоуровневая либо высокоуровневая

7-я группа – подмена оборудования посредством физического доступа. Многие устройства инсталлированы без надлежащей защиты, и злоумышленник легко может подменить оборудование на свое. Данная проблема связана с целостностью и доступностью. При этом в зависимости от критичности данные делят на три уровня: низкоуровневые, высокоуровневые с низким уровнем распространения и высокоуровневые с высоким уровнем распространения (подмена систем управления).

8-я группа – несанкционированный доступ к сетевому оборудованию и вычислительным системам. Это проблема целостности самой сети связи. Можно разделить несанкционированный доступ к сетевым элементам (не носит характер атаки высокого уровня), а также к системам, отвечающим за работоспособность (эксплуатацию) сети в целом.

9-я группа – отказ в действии. Данная ситуация описывает целостность самого сервиса. Проблема делится на две части: отказ в действии применительно к индивидуальным сенсорам и отказ в действии в масштабах группы сенсоров, отдельной отрасли, страны в целом.

10-я группа – несанкционированное использование функций персонала, оборудования и процессов. Делится на несанкционированное использование, связанное только с чтением данных; несанкционированное использование, связанное с созданием или изменением данных; несанкционированное использование функций управления.

11-я группа – чрезмерное использование ресурсов. Характеризует доступность систем, оборудования и сетей, подразделяющуюся на чрезмерное использование базовых системных ресурсов (процессор, память, сетевые интерфейсы одной из систем) и чрезмерное использование сетевых ресурсов или главных систем.