26 dr inż. Krzysztof Billewicz Instytut Energoelektryki

Nowe technologie energetyczne
dr inż. Krzysztof Billewicz
Instytut Energoelektryki Politechnika Wrocławska
INTELIGENTNE SIECI ELEKTROENERGETYCZNE
– ZAGADNIENIA BEZPIECZEŃSTWA CYFROWEGO
1. Wprowadzenie
System elektroenergetyczny jest największym i najbardziej złożonym system
stworzonym przez człowieka. Ponieważ tak się rozrósł, zarządzanie i kontrolowanie
takiego systemu przez ludzi okazują się dość trudne [10].
Aby to osiągnąć, potrzebna jest jedna wizja, jedno spojrzenie na całość oraz
w przyszłości kompleksowe zarządzanie całością. W przeciwnym razie mogą rozwinąć się bardzo zaawansowane technologicznie rozwiązania małej skali i będą one
tworzyć odseparowane wyspy. Systemy informacyjne w elektroenergetyce przez długi
czas nie były traktowane jako spójna infrastruktura, lecz były postrzegane jako zbiór
poszczególnych kanałów komunikacyjnych, baz danych, systemów wielu odrębnych
i różnych protokołów. Wdrażanie i stosowanie takich, pojedynczych rozwiązań na
dłuższą metę pochłonie dużo środków finansowych, jednak korzyść z takich jednostkowych rozwiązań dla całego systemu elektroenergetycznego będzie niewielka.
Takie fragmentaryczne podejście nie zapewni przyszłych wizji działania systemu
jako całości. Dlatego też najpierw należy określić stan docelowy, do którego będzie
się dążyć, a nie zadowalać się tylko pojedynczymi krokami naprzód.
To tak, jak planuje się podróż. Nie wystarczy jechać pociągiem lub lecieć samolotem we właściwym kierunku, do jakiejś stacji pośredniej i tam zastanawiać się, jak
kontynuować podróż. Należy kompleksowo zaplanować całą podróż. Podobnie, jak
w przypadku wszystkich podróży, mając wizję ostatecznego przeznaczenia jest niezbędne, aby znaleźć najlepszą drogę do następnego punktu orientacyjnego, unikać pułapek,
i jednocześnie zminimalizować wydatki. Jedna z wizji systemu elektroenergetycznego przyszłości jest następująca [10]:
·
system elektroenergetyczny składa się z licznych zautomatyzowanych systemów przesyłowych i dystrybucyjnych, wszystko działa w sposób skoordynowany, wydajny i niezawodny.
·
system elektroenergetyczny, który funkcjonuje również w warunkach awaryjnych dzięki funkcjonalności „samonaprawy” oraz reaguje na potrzeby rynku
energii i potrzeby biznesowe przedsiębiorstw energetycznych.
·
system elektroenergetyczny, który służy milionom klientów i posiada inteligentną infrastrukturę komunikacyjną umożliwiającą terminowy, bezpieczny i elastyczny przepływ potrzebnych informacji, aby zapewnić niezawodne i ekonomiczne
zasilanie dla rozwijającej się gospodarki cyfrowej.
Przez ostatnich kilka lat przeprowadzono wiele studiów i badań, które opisują
konieczność przekształcenia sektora elektroenergetycznego. Badania te często mówią
o braku inwestycji w podstawową infrastrukturę, w tym sieci przesyłowej i dystrybucyjnej, potrzebie innowacji, starzeniu się wyposażenia i siły roboczej, kosztach
26
Nowe technologie energetyczne
przerw w zasilaniu, konieczności redukcji emisji itd. Jednak jeżeli światło świeci, zapewnione jest ogrzewanie i klimatyzacja, posiada się dostęp do telewizji, Internetu
i innych rozrywek, z gwarancją prawie 100%, trudno czuć potrzebę dokonania pilnych
zmian [4].
Można powiedzieć, że rozwój elektroenergetyki w kierunku inteligentnych sieci
(ang. smart grid) jest bardzo prawdopodobnym scenariuszem. Powszechne zastosowanie inteligentnych urządzeń oraz zaawansowanego oprogramowania znacznie ułatwi
efektywne, skuteczne oraz bezpieczne zarządzanie i eksploatowanie tych sieci. Jednak
inteligentna sieć oparta jest o rozwiązania informatyczne, które jednak niosą ze sobą
pewne zagrożenia. Jednym z głównych zagrożeń jest możliwość ingerencji cyberprzestępców. Zapewnienie przez lata prawidłowego funkcjonowania takich sieci, ich
bezpieczeństwa oraz ochrony przed atakami hackerów staje się poważnym problemem.
2. Bezpieczeństwo inteligentnej sieci
Inteligentne sieci mają coraz bardziej strategiczne znaczenie w kwestii bezpieczeństwa energetycznego. Inteligentna sieć jest unowocześnieniem istniejących
sieci energetycznych. Umożliwia lepszą diagnostykę pracy sieci oraz pozwala sieciom podejmować działania samonaprawcze (oczywiście w określonym zakresie).
Dodatkowo umożliwia dynamiczne zintegrowanie lokalnych źródeł energii, w tym
również odnawialnej oraz bardziej efektywnie wykorzystywać energię elektryczną.
Zwiększenie automatyzacji i komunikacji w ramach sieci elektrycznej oprócz wielu
niewątpliwych zalet ma również, przynajmniej teoretycznie, ciemną stronę: zwiększenie podatności na ataki [8].
Obecnie funkcjonowanie sieci elektroenergetycznej oraz sprawna kontrola jej
pracy zależy od wielu komputerów, sieci komputerowych, oprogramowania oraz
technologii komunikacyjnych. Nieupoważniona ingerencja w tę informatyczną infrastrukturę cyberprzestępcy może doprowadzić do ogromnych strat zarówno wynikających bezpośrednio (np. niemożność bieżącego funkcjonowania przedsiębiorstwa)
i pośrednio (np. niezrealizowane kontrakty w terminie, utrata dobrego wizerunku
firmy) z braku zasilania określonych odbiorców [8].
Złożoność sieci oznacza, że istnieją luki, które jeszcze nie zostały zidentyfikowane. Dlatego trudno jest oszacować ryzyko związane z potencjalnym atakiem ze
względu na wielkość, złożoność i dynamiczny charakter sieci energetycznej oraz nieprzewidywalność potencjalnych napastników [8].
Cyberatak ma wyjątkową cechę: może być uruchomiony za pośrednictwem publicznej sieci z odległych miejsc na całym świecie. Dodatkowo może być w formie
skoordynowanego ataku z wielu miejsc jednocześnie. Ponadto może atakować różne
miejsca jednocześnie [8].
Wykorzystywanie wszelkich rozwiązań do większego wykorzystania inteligentnych sieci oraz zwiększenie i powielenie ich dróg komunikacji dwustronnej narazi
konsumentów i dostawców na więcej form ataków cyberprzestępców. Największe
zagrożenia będą występowały po roku 2015, kiedy to szacuje się, że inteligentne sieci
w Europie obejmą do 440 milionów potencjalnych punktów do ataku hakerskiego.
Cykl życia inteligentnych systemów to ok. 10 – 20 lat. Jeżeli w tym czasie zostaną
złamane niektóre zabezpieczenia sieci, zwłaszcza urządzeń oraz koncentratorów, to
Nr 154-155
27
Nowe technologie energetyczne
nie będzie możliwości ich wymiany. Nie ma bowiem technicznej możliwości, aby
łatwo i tanio wymienić oprogramowanie tych urządzeń w zakresie zwiększenia zabezpieczeń podczas autoryzowania dostępu do danych oraz sterowania urządzeniami.
Inteligentne sieci wdrażane dziś mogą doprowadzić za kilka lub kilkanaście lat do
katastrofy. Osoba mogąca dwukierunkowo transmitować dane w systemach pomiarowo-rozliczeniowych (ang. smart metering) może w pewnym stopniu sterować licznikami, zabezpieczeniami zalicznikowymi w zakresie odłączania zasilania oraz załączania
dodatkowych odbiorów. Dodatkowo może zmienić taryfę przypisaną do licznika i dokonać innych zmian uciążliwych dla odbiorcy oraz wiążących się z koniecznością
poniesienia przez niego dodatkowych kosztów. Przyczyny zagrożeń leżą:
·
w lukach systemów operacyjnych, które są potencjalnymi miejscami ataków
hackerów,
·
po stronie niezadowolonych pracowników, przykładowo zwolniony pracownik
może włamać się z chęci zemsty lub sabotażu, np. nieprawidłowo zainstaluje
oprogramowanie antywirusowe, oraz dostarczy złośliwe oprogramowanie, które będzie siać spustoszenie w inteligentnej sieci. Taki cyberprzestępca zna zabezpieczenia oraz wie, jak je obejść lub jak prawidłowo zautoryzować swój dostęp.
Działanie może polegać na przesyłaniu złośliwego oprogramowania. Dlatego konieczne są odpowiednie certyfikaty oraz zaawansowane metody autoryzacji, które
jeżeli nawet nie uniemożliwią, to przynajmniej w znacznym stopniu utrudnią i ograniczą nieautoryzowany dostęp do inteligentnej sieci osobom nieupoważnionym.
Potrzebne jest zaangażowanie dodatkowych firm zajmujących się zarówno zabezpieczaniem sieci, jak również eliminowaniem oraz wykrywaniem działalności cyberprzestępców.
Nie ma takich zabezpieczeń, których nie można byłoby złamać. Niestety nie jest to
optymistyczne stwierdzenie. Dlatego warto już teraz, na etapie projektowania systemów inteligentnych sieci, zwrócić uwagę na odpowiedni poziom bezpieczeństwa,
możliwości prostej rozbudowy w tym zakresie oraz uwzględnić i przewidzieć potencjalne ataki cyberprzestępców.
3. Polityka bezpieczeństwa – teoria
Polityka bezpieczeństwa (ang. security policy) jest zbiorem spójnych, precyzyjnych i zgodnych z obowiązującym prawem przepisów, reguł i procedur, według
których dana organizacja buduje, zarządza oraz udostępnia zasoby i systemy informacyjne i informatyczne. Określa ona, które zasoby i w jaki sposób mają być chronione
[wikipedia.org]. Polityka bezpieczeństwa powinna być dokumentem spisanym,
dostępnym dla pracowników. Każdy z nich po zapoznaniu się z jego treścią powinien
potwierdzić ten fakt własnoręcznie złożonym podpisem.
Polityka bezpieczeństwa obejmuje swym zakresem całość zagadnień związanych
z bezpieczeństwem danych, posiadanych przez przedsiębiorstwo, a nie tylko samą
sieć komputerową lub dostęp do systemu informatycznego. Polityka bezpieczeństwa
powinna konkretnie określać pożądane oraz niedopuszczalne zachowania związane
z wykorzystaniem kont użytkowników oraz dostępnych zasobów danych. Polityka
bezpieczeństwa nie jest dokumentem statycznym. Wymaga ciągłych modyfikacji
dostosowujących zapisy do zmieniających się uwarunkowań pracy firmy.
28
Nowe technologie energetyczne
Zasoby chronione to: oprogramowanie, sprzęt komputerowy, dane firmy, ludzie,
dokumentacja sprzętu oraz dane krytyczne firmy: dane o kontrahentach, informacje
handlowe, dane narażające na utratę pozytywnego wizerunku, sposoby nieautoryzowanego dostępu itd.
Dodatkowo należy kierować się zasadą przydzielania najmniejszych uprawnień
do aplikacji oraz do danych. Dostęp do zasobów powinien być ograniczony tylko do
osób, które ten dostęp powinny mieć.
Należy również określić:
·
poziom akceptowanego ryzyka,
·
mechanizmy kontroli dostępu,
·
mechanizmy identyfikacji oraz autoryzowania dostępu,
·
rejestrację dokonywanych zmian w systemie: konfiguracyjnych oraz modyfikacji danych,
·
śledzenie zdarzeń w systemie.
Nie sposób uniknąć błędów podczas pracy z aplikacją. Pomyłki pracowników
często spowodowane są niekompetencją lub przemęczeniem. Aby zminimalizować
ryzyko, pracownikom nadaje się minimum uprawnień oraz nie przydziela się nadmiaru obowiązków, które mogłyby przeszkodzić w przemyślanej pracy z systemem
informatycznym.
4. Polityka bezpieczeństwa – praktyka
Coraz ważniejszym zagadnieniem stają się weryfikacja, pewność i bezpieczeństwo danych. Aby zmniejszyć ilość danych nieprawidłowych, zabezpiecza się sieci
przed próbami włamania się hackerów i manipulowania przez nich danymi, do których nie powinni posiadać dostępu. Mnoży się procedury polityki bezpieczeństwa,
które utrudniają pracę normalnym użytkownikom aplikacji.
Każdy z użytkowników powinien mieć dostęp do aplikacji po prawidłowym zalogowaniu się. W przypadku trzeciej, nieprawidłowej próby wpisania hasła, dostęp
dla tego użytkownika powinien być nieaktywny przez ok. 15 minut.
Użytkownicy aplikacji to ludzie, którzy korzystają z Internetu. Zapewne każdy
z nich musi pamiętać hasła do [1]:
·
konta użytkownika podczas logowania się do komputera służbowego,
·
konta użytkownika podczas logowania się do komputera prywatnego,
·
aplikacji pomiarowo-rozliczeniowej,
·
konta poczty służbowej,
·
konta poczty prywatnej,
·
portalu przedsiębiorstwa pracy,
·
konta bankowego,
·
PIN do karty bankomatowej,
·
PIN do karty kredytowej,
·
PIN do karty SIM telefonu służbowego,
·
PIN do karty SIM telefonu prywatnego,
·
portalu społecznościowego, np. Facebook.pl, nasza-klasa.pl,
·
forum, z którego korzysta,
Nr 154-155
29
Nowe technologie energetyczne
·
serwisu aukcyjnego lub zakupowego: allegro.pl, ebay.pl, snajper.pl itp.,
·
komunikatora internetowego, np. Skype, Gadu-gadu,
·
innych portali, które wymagają autoryzowanego dostępu, np. portal szkolny,
dziennik internetowy, portale specjalistyczne itp.
Do tego polityka bezpieczeństwa niektórych zakładów pracy wymusza okresową
zmianę haseł. Nowe hasła muszą różnić się np. od 10 poprzednich, nie mogą być zbyt
proste, np. takie jak nazwa użytkownika. Dodatkowo muszą one zawierać małe i wielkie
litery, cyfry oraz znaki dodatkowe.
Przeciętny pracownik po 5. zmianie hasła przestaje panować nad hasłami. Dlatego
albo wprowadza jedno hasło, identyczne do wszystkich aplikacji, albo zapisuje je
w pliku lub na łatwo dostępnej kartce papieru, np. znajdującej się w podręcznej szufladzie. Czasami na monitorze przyklejona jest kartka z obecnym hasłem logowania do
systemu.
Konsekwencje takiej polityki bezpieczeństwa nie są trudne do przewidzenia. Bezpieczeństwo tak chronionego systemu coraz bardziej staje się fikcją. Dlatego coraz
poważniejszym zagadnieniem staje się inna, niż za pomocą haseł statycznych, autoryzacja użytkownika (ang. authorization) lub kontrola dostępu (ang. access control).
Pewnym rozwiązaniem jest stosowanie tokenów lub dokonywania uwierzytelnienia
na podstawie danych biometrycznych (np. odciski palców). Obecnie stosowane automatyczne podpowiadanie haseł w nowszych systemach operacyjnych powoduje, że
cyberprzestępca dostając się usługą terminalową na tę maszynę może bez trudu zalogować się na konto jej użytkownika.
Pracownicy powinni zapoznać się szczegółowo z treścią Polityki bezpieczeństwa
obowiązującą w przedsiębiorstwie. Jednak czasami zdarza się, że zapoznają się z tym
dokumentem pobieżnie z powodu dużej liczby obowiązków albo w krótkim czasie
zapomną część przeczytanych zapisów, które powinni stosować. Takie podejście pracowników naraża przedsiębiorstwo na straty, w tym również finansowe.
Dostawca usług informatycznych w przypadku serwisowania aplikacji oczekuje
dostępu do zabezpieczonych komputerów. Każde skomplikowanie dla takiego dostępu
wydłuża czas wykonywania usługi serwisowej, co w przypadku niemożności realizacji kluczowych procesów biznesowych u OSD, naraża go na dodatkowe, czasem niemałe,
koszty. Do tego dochodzą kwestie aktualizacji oprogramowania, czyli podstawiania
nowszych wersji programu lub takich z poprawionymi usterkami. Każda komplikacja w kwestii dostępu do zasobów serwisowanego komputera również wydłuża
czas naprawy usterki. Nieprawidłowo lub zbyt rygorystycznie stosowana polityka
bezpieczeństwa utrudnia pracę z serwisowaną aplikacją oraz naraża OSD na dodatkowe koszty.
5. Najczęstsze zagrożenia systemów informatycznych
Do najczęstszych zagrożeń systemów informatycznych należy zaliczyć [6]:
·
Zablokowanie dostępu do usługi,
·
Włamanie do infrastruktury systemu informacyjnego,
·
Utrata danych,
·
Kradzież danych,
·
Ujawnienie danych poufnych,
30
Nowe technologie energetyczne
·
Zafałszowanie informacji,
·
Kradzież kodu oprogramowania,
·
Kradzież sprzętu,
·
Uszkodzenia systemów komputerowych.
6. Ochrona prywatności odbiorców
Prywatność jest to prawo do utrzymania swych danych osobowych, informacji
prywatnych, osobistych zwyczajów i zachowań nieujawnionych publicznie. Zagadnienie prywatności odbiorców jest nowym tematem dla sektora elektroenergetycznego. Dane z inteligentnych liczników oraz z inteligentnych systemów pomiarowych
zawierają bardzo wiele prywatnych informacji o odbiorcach.
Inteligentna sieć jest unowocześnieniem istniejących sieci energetycznych. Umożliwia lepszą diagnostykę pracy sieci oraz pozwala sieciom podejmować działania
samonaprawcze (oczywiście w określonym zakresie). Dodatkowo umożliwia dynamiczne zintegrowanie lokalnych źródeł energii, w tym również odnawialnej, oraz
bardziej efektywnie wykorzystywać energię elektryczną. Zwiększenie automatyzacji
i komunikacji w ramach sieci elektrycznej oprócz wielu niewątpliwych zalet ma również, przynajmniej teoretycznie, ciemną stronę: zwiększenie podatności na ataki.
Inteligentne systemy pomiarowe oraz aplikacje inteligentnych sieci muszą być zabezpieczone przed próbami kradzieży tożsamości odbiorcy, danych pomiarowych
oraz przed nieautoryzowanym dostępem. Dodatkowo pracownicy OSD lub pracownicy dostawcy oprogramowania mogą chcieć użyć danych personalnych odbiorców
do celów innych niż realizacja i rozliczanie dostaw energii, zarządzanie popytem, czy
nadzorowanie dokonywanych płatności. Zatem należałoby jakoś ograniczyć możliwość
wykorzystania danych osobowych, gromadzonych w bazach w systemach informatycznych w sektorze elektroenergetyki, do celów niezwiązanych z realizacją misji
konkretnego przedsiębiorstwa [7].
Niektórych odbiorców niepokoi brak kontroli nad gromadzeniem, przetwarzaniem,
dostępem oraz wykorzystywaniem wrażliwych danych osobowych. Problem oczywiście
jest nieco szerszy i dotyczy również nieautoryzowanego gromadzenia, pozyskiwania,
wykorzystywania i ujawniania innych informacji. Dlatego też potrzebna jest kompleksowa strategia na rzecz ochrony prywatności w Internecie, najlepiej jako część narodowej strategii dostępu do szerokopasmowego Internetu [7].
Smart Metering oraz Smart Grid, które jednoznacznie identyfikują poszczególne
urządzenia i ich zastosowanie, stwarzają nowe zagrożenia dla prywatności i mogą
ujawniać intymne szczegóły życia rodzinnego.
Szczególnym sposobem przetwarzania danych jest tzw. profilowanie klientów.
Profilowanie jest to dochodzenie do krótkiej, dynamicznej charakterystyki zwięźle
ujmującej najważniejsze cechy nieznanej osoby i przejawy jej zachowań. Profilowanie polega na zbieraniu z bardzo różnych źródeł pozyskanych legalnie danych
i tworzeniu na ich podstawie profilu osobowego klienta lub kandydata na klienta. Do
tego celu również wykorzystuje się informacje na temat danej osoby zebrane w innym
celu przez podmioty działające w tej samej grupie kapitałowej, a także informacje
ogólnie dostępne, np. pochodzące z serwisów społecznościowych lub forów internetowych. Na podstawie tak zebranych ze zgromadzonych danych i informacji przygoNr 154-155
31
Nowe technologie energetyczne
towuje się sylwetkę klienta, czyli jego profil. Umożliwia to bankowi bądź instytucji
ubezpieczeniowej przygotowanie precyzyjnej oferty skierowanej do tego klienta lub
ocenę jego zdolności kredytowej czy ryzyka ubezpieczeniowego [5].
Dodatkowo do tak stworzonego profilu dodaje się informacje statystyczne. Przypisanie określonych cech nie oznacza, że tak jest na pewno, lecz to, że statystycznie
najczęściej tak jest. W konsekwencji kompletuje się informacje niepotwierdzone.
Przykładowo, jeżeli klient ma czwórkę dzieci, to znaczy, że być może zechce mieć ich
więcej. Z kolei jeśli np. osoba ma 38 lat i od 10 lat pozostaje w związku małżeńskim,
a nie ma dzieci, to najprawdopodobniej nie chce ich mieć lub nie może [5]. Takie gromadzenie danych do celów marketingowych narusza prywatność danej osoby. Dodatkowo klient nie ma wpływu na to, co dana instytucja „domniemuje” na jego temat.
7. Dwa podejścia do kwestii bezpieczeństwa cyfrowego
Obecnie podczas rozpatrywania problematyki bezpieczeństwa cyfrowego inteligentnej sieci dominują dwa podejścia. Główny akcent stawia się na:
·
zagrożenia dla pojedynczego klienta [1],
·
zagrożenia dla pracy całego systemu lub dużej jego części [3].
Zaawansowana infrastruktura pomiarowa AMI w swej podstawowej funkcjonalności zapewnia opomiarowanie wszystkich punktów końcowych oraz automatyzację
komunikacji z nimi. Dokonywane pojedyncze włamania i manipulacje przy takiej
funkcjonalności zazwyczaj mają bardzo mały wpływ na pracę systemu elektroenergetycznego jako całości. Problemem dopiero byłoby manipulowanie i zaniżanie wskazań
licznika prowadzone na masową skalę.
AMI jednak posiada wiele innych funkcji, np. sterowanie odbiorami przy zmianie
stref czasowych lub wyświetlanie cen, na podstawie których inna automatyka będzie
włączała bądź wyłączała określone odbiorniki. Manipulując takimi funkcjami można
doprowadzić do przeciążenia systemu elektroenergetycznego.
Pierwsze podejście bierze się z obaw, które mają odbiorcy w stosunku do wdrażania inteligentnych liczników oraz zaawansowanej infrastruktury pomiarowej. Opis
możliwych manipulacji pokazuje, że nie są to obawy bezpodstawne. Takie podejście
również koncentruje się na wyszukiwaniu motywów, którymi kierują się pojedynczy
hackerzy, aby włamać się do zaawansowanej infrastruktury pomiarowej AMI (ang.
Advanced Metering Infrastructure). Najczęściej skutkami takich włamań jest pewna
uciążliwość korzystania z energii elektrycznej przez odbiorców lub oszustwa, których celem jest zapłata mniejszej kwoty lub nie płacenie w ogólności za pobraną
energię. Takie podejście zostało opisane w różnych publikacjach [1][2].
Drugie podejście wiąże się z konsekwencjami włamań do inteligentnego systemu
pomiarowego dla całego systemu elektroenergetycznego lub dużej jego części. Przykładowo Prezes URE nie powinien zajmować się kwestią pojedynczych włamań do
infrastruktury AMI dokonywanych przez hackerów, ponieważ konsekwencje takich
działań dla systemu elektroenergetycznego nie będą wielkie. Natomiast powinien
zwracać uwagę na te zagrożenia, które mogą spowodować niestabilną pracę systemu
elektroenergetycznego lub jego przeciążenie.
Można wyróżnić trzy grupy podmiotów – osób, które mogą chcieć dokonywać
manipulacji w AMI i których działania mogą doprowadzić do przeciążenia systemu
elektroenergetycznego [3]:
32
Nowe technologie energetyczne
·
klienci,
·
kompetentni (wtajemniczeni) pracownicy operatora systemu dystrybucyjnego,
·
terroryści.
W tym podejściu pomija się takie zagrożenia jak np.:
·
niekompetencja pracownika,
·
złośliwe działanie pracownika,
·
włamania hackera do AMI w celu osiągnięcia korzyści lub w celu zakłócenia
korzystania z użytkowania energii dla pojedynczego odbiorcy.
Oczywiście takie zjawiska są problemem i to dość poważnym, jednak najczęściej
nie prowadzą one do zakłócenia dostaw energii elektrycznej większości do odbiorców.
8. Zagrożenia dla pojedynczego klienta
Lista potencjalnych niebezpieczeństw powstałych w wyniku stosowania inteligentnych sieci [7]:
1. Kradzież tożsamości.
2. Ujawnienie osobistych wzorców zachowań (skowronek – rano wstaje, sowa –
późno idzie spać, regularny tryb życia, chaotyczny pobór itp.).
3. Gromadzenie i grupowanie odbiorców wg wzorców zachowań.
4. Dostarczanie niechcianych, czasem zawstydzających reklam dobranych na
podstawie wzorców zachowań (to tak, jakby dostawca usług internetowych
dostarczał reklamy na podstawie listy odwiedzanych stron www; dla niektórych ludzi mogłoby to być krępujące); przykładowo dla osób, u których rejestruje się znaczący pobór energii nocą mogą być przesłane reklamy środków
nasennych albo wyższa stawka samochodowego obowiązkowego ubezpieczenia OC – dla towarzystwa ubezpieczeniowego pozbawiony regularnego snu,
niewyspany kierowca oznacza większe ryzyko spowodowania przez niego
szkody.
5. Możliwość ujawnienia sterowanych urządzeń znajdujących się w danym domu
lub mieszkaniu.
6. Decyzje sterowania odbiorami podejmowane na podstawie nieprawidłowych
danych, w tym również w skutek działania cyberprzestępców, np. hacker sterował pralką lub zmywarką.
7. Nadzór w czasie rzeczywistym, OSD sam może zdecydować o odłączeniu odbiorcy w dowolnym momencie, pod tym względem nie jest nadzorowany
przez żadne inne instytucje ani podmioty.
8. Cenzura aktywności – jeżeli OSD mógłby rozpoznawać aktualną aktywność
w domu na podstawie pracy określonych urządzeń (określonego zużycia energii
bieżącego i historycznego) oraz mógłby zdalnie odłączać zasilanie, to istniałaby pokusa do cenzurowania wykonywania pewnych działalności – ich wykonywanie przez odbiorcę byłoby „nagradzane” przez OSD wyłączeniami zasilania.
9. Monitorowanie zużycia w czasie rzeczywistym – niebezpieczeństwo ujawnienia nieobecności odbiorcy w lokalu mieszkalnym.
10. Ukierunkowanie włamań – dane mogą pokazywać, że pobór energii jest charakterystyczny dla zużycia energii osób w podeszłym wieku, niedołężnych albo
dzieci w wieku wczesnoszkolnym.
Nr 154-155
33
Nowe technologie energetyczne
11. Zablokowanie odbiorcy dostępu do usług internetowych.
12. Przejmowanie kontroli nad wrażliwymi elementami systemu w zdalnych, słabo
kontrolowanych lokalizacjach; czasem może wiązać się to z irytacją ludzi,
którzy nie mogą oglądać telewizji lub rozmraża się im lodówka, jednak jeżeli
jest mróz, takie manipulacje mogą spowodować nawet śmierć niektórych osób.
13. Przechwytywanie danych przez cyberprzestępców oraz manipulowanie inteligentną siecią – zwłaszcza w kwestii sterowania popytem, wyłączania zasilania
(w tym również dla prostych domowych systemów alarmowych) lub złośliwego odłączania odbiorcy.
14. Zmanipulowanie cen energii przesyłanych do licznika; przesyłanie np. znacznie zaniżonej ceny energii w godzinach szczytowych oraz wyświetlanie jej
u wielu odbiorców może spowodować nawet znaczną zmianę zachowania
w kwestii zużycia energii, znaczące zwiększenie zużycia energii przez wielu
odbiorców, oszukanych w ten sposób, może być niebezpieczne dla sieci.
15. OSD lub inne instytucje widząc, że pobór energii danego odbiorcy jest większy
niż innych, zwłaszcza w godzinach szczytowych, może zachęcać ich do oszczędzania energii, naruszając prywatność tego odbiorcy.
Oczywiście należy być świadomym, że nie są to wszystkie możliwe scenariusze,
które mogą wystąpić w niedostatecznie zabezpieczonej sieci elektroenergetycznej,
w szczególności w nowych sieciach inteligentnych.
Należy zdać sobie sprawę, że dane pomiarowe z licznika będą pokazywały określone zachowanie i takie dane będą mogły być wykorzystywane gdzie indziej. Przykładowo takie dane mogłyby być przydatne dla sprzedawcy ubezpieczeń: komunikacyjnych
oraz tzw. „na życie”. Mógłby on dostosować stawkę ubezpieczenia w zależności np.
od stopnia uporządkowania profilu odbiorcy, który obrazowałby uporządkowany tryb
życia lub bardziej chaotyczny.
Niektórzy odbiorcy wykazują niechęć do udostępniania danych pomiarowych
informujących o ich zużyciu energii. Takie dane mogą pokazywać poziom zamożności lub specyficzny pobór energii przez tych klientów. Wyciek takich danych na
zewnątrz do podmiotów nieupoważnionych jest zjawiskiem wysoce niepożądanym,
ponieważ narusza ich prywatność.
9. Manipulacje w liczniku dokonywane przez klienta
Ogólnie rzecz biorąc celem manipulacji dokonywanych przez klienta jest:
·
zaburzenie danych zapisanych w liczniku,
·
przekonfigurowanie ustawień i parametrów licznika,
·
zakłócanie transmisji danych,
·
podmiana oprogramowania wewnętrznego licznika tak, aby przekazywał on
zaniżone wartości energii (w opracowaniach nt. AMI zwraca się uwagę, żeby
podmiana oprogramowania wewnętrznego nie miała wpływu na własności metrologiczne liczników).
Oczywiście modyfikacje konfiguracji w inteligentnym liczniku lub podmiana
jego oprogramowania wewnętrznego są łatwe do wykrycia, jednak jeżeli operator
obsługuje miliony liczników, to dokonywanie kontroli każdego z nich jest bardzo kłopotliwe. Ponadto trudno jest udowodnić klientowi, że to on przekonfigurował licznik
34
Nowe technologie energetyczne
– mogła to być pomyłka pracownika OSD, której nie można wykluczyć w przypadku
instalowania milionów liczników. Nieprawidłowa konfiguracja może również wynikać z błędów oprogramowania centralnego wykorzystywanego w siedzibie operatora
lub nieprawidłowego zadziałania któregoś urządzenia pośredniczącego w przesyłaniu sygnału konfiguracyjnego.
Nie można pociągnąć do odpowiedzialności odbiorcy, nawet jeżeli stwierdzi się
w „jego” inteligentnym liczniku nieautoryzowane oprogramowanie wewnętrzne, ponieważ obecność takiego oprogramowania nie świadczy o winie klienta. Oprogramowanie mógł bowiem podstawić ktoś bez wiedzy klienta. Przykładowo hacker może
podstawić własne oprogramowanie w inteligentnym liczniku odbiorcy, aby zakłócać
pracę tego licznika lub aby móc dodatkowo manipulować tym licznikiem i utrudniać
życie klientowi. Nawet jeżeli dokonanoby szczegółowej analizy oprogramowania
licznika i jej wynik jednoznacznie sugerowałby, że licznik nieprawidłowo zlicza energię, to może to wynikać z działania niezależnego hackera, który może realizować swoje
nielegalne działanie – złośliwe działanie na niekorzyść operatora.
Inteligentne liczniki wykorzystują otwarte, powszechnie znane standardy protokołów komunikacyjnych. Dzięki temu można stosować zamiennie urządzenia różnych
producentów. Z drugiej strony stosowanie takich protokołów, których szczegółową
specyfikację można za darmo pobrać z Internetu, zwiększa podatność na ataki. Przykładowo jeden z dwóch najczęściej stosowanych w Polsce protokołów: IEC 61107
jest nieszyfrowanym protokołem tekstowym, w którym wykorzystano standardowe
kody OBIS do opisu poszczególnych danych pochodzących z liczników. Stosowanie
zamkniętych, autorskich protokołów jest korzystne, ponieważ dużo trudniej jest je
złamać. Jednak wiąże się to z koniecznością uzależnienia się od producenta liczników,
który jest jedynym znawcą protokołu. Taki wyłączny producent po pewnym czasie
może zwiększać ceny wiedząc, że nie można kupić innych liczników, jak tylko te,
pochodzące od niego.
Stosowanie zamkniętych protokołów nie tyle uniemożliwia, co raczej utrudnia
włamanie się do inteligentnego licznika. Do takiego włamania potrzebne są większe
umiejętności niż ma to miejsce w przypadku liczników wykorzystujących otwarty
protokół. Sygnalizuje się jednak, że klient może prowadzić nasłuch sygnałów dochodzących i wychodzących z licznika i posługiwać się tzw. inżynierią wsteczną [3].
Prowadzenie nasłuchu nie jest rzeczą nową ani skomplikowanym działaniem.
Przykładowo jeżeli operator sieci dystrybucyjnej nie może komunikować się z jakimś
licznikiem energii elektrycznej, to prowadzi się nasłuch – podgląd wymienianych
sygnałów i komunikatów. Dzięki takiemu nasłuchowi można określić, co jest przyczyną braku komunikacji. Przykładowe przyczyny:
·
licznik nie odpowiada – sygnał albo nie dociera do licznika, albo licznik nie
odpowiada,
·
nieprawidłowa komunikacja licznika,
·
nieprawidłowa konfiguracja portu szeregowego,
·
za mały bufor w module komunikacyjnym,
·
uszkodzony moduł komunikacyjny,
·
niektóre uszkodzenia licznika (określa je rejestr F.F.),
·
itp.
Nr 154-155
35
Nowe technologie energetyczne
Inżynieria wsteczna lub inżynieria odwrotna (ang. reverse engineering) jest to
analiza gotowego produktu (urządzenia lub oprogramowania), która ma na celu ustalenie jak on dokładnie działa, a także w jaki sposób i jakim kosztem został wykonany.
Celem może być również próba odpowiedzenia na pytanie: jak przebiegał proces jego
tworzenia. Inżynieria wsteczna może być wykorzystywana w celu osiągnięcia pewnej
funkcjonalności, przy ominięciu konsekwencji wynikających z praw autorskich lub
patentów. Inżynieria taka może być stosowana w celu zapewnienia obsługi nieudokumentowanych standardów lub protokołów komunikacyjnych.
W przypadku, kiedy mała liczba klientów będzie podejmowała próby manipulacji
przy inteligentnym liczniku to nie powinno być problemów z dostawą energii. Jednak
nawet wtedy zwiększy się zapotrzebowanie na energię, również w godzinach szczytowych. Jeżeli jednak klienci na masową skalę będą podejmowali działania zmierzające do zakłócenia pracy liczników, zmniejszenia zliczania przez nich energii, w konsekwencji może doprowadzić to do tak znacznego zwiększenia zapotrzebowania
w godzinach szczytowych, że w konsekwencji dojdzie do przeciążenia systemu elektroenergetycznego i konieczne będą przymusowe wyłączenia – np. zadziałanie samoczynnego częstotliwościowego odciążania.
Ataki klientów na system AMI spowodują większe zużycie energii w szczycie
zapotrzebowania, kiedy cena energii dla przedsiębiorstw obrotu i niektórych klientów
jest najwyższa. Spowoduje to zaniżenie przekazywanej informacji o zużyciu energii.
Będzie to miało wpływ na planowanie zakupów energii na pokrycie bieżącego zapotrzebowania. Jeżeli tylko kilku klientów będzie manipulować przy swoich licznikach, to nie będzie poważniejszego problemu. Jeżeli jednak włamywanie się do liczników będzie łatwe i powszechne, to może to znacząco oddziaływać na system elektroenergetyczny. Ważnym czynnikiem, od którego zależy nasilenie ataków jest określenie, jak bardzo powszechne staną się ataki klientów. Jeżeli bowiem atak będzie
możliwy dla klientów posiadających umiarkowane umiejętności techniczne i klienci
będą z tego korzystać, to znacznie wzrośnie zagrożenie dla systemu elektroenergetycznego.
Należy pamiętać, że cena energii powoduje, że odbiorcy ograniczają pobór energii.
W przypadku dopuszczenia do manipulowania przy liczniku przez odbiorcę, którego
działanie doprowadzi do niezliczania pewnej części pobieranej energii, w konsekwencji spowoduje to zwiększenie zużycia energii przez konsumentów oraz większe
marnotrawienie energii.
10. „Sabotaż” pracownika OSD
Zaawansowana infrastruktura pomiarowa jest przeznaczona m.in. do podejmowania działań w celu zmniejszenia obciążenia szczytowego oraz w celu zminimalizowania kosztów energii na rzecz przedsiębiorstw energetycznych oraz klientów
końcowych. Poufne porozumienie wtajemniczonego pracownika operatora sieci dystrybucyjnej z zarządem elektrowni wraz z wykorzystaniem AMI mogą służyć do zarabiania pieniędzy. Pracownik w przedsiębiorstwie dystrybucyjnym będzie wykorzystywał
AMI do zwiększenia zużycia energii w szczycie obciążenia, tworząc tym samym
zwiększone zapotrzebowanie na wytwarzanie energii. Działanie takie na dużą skalę
spowoduje na rynkach hurtowych zwiększenie cen w stosunku do tych, które obo36
Nowe technologie energetyczne
wiązywałyby bez działań powodujących wzrost obciążenia sieci. Wytwórcy energii
będą zatem zarabiali więcej pieniędzy i w ramach rekompensaty mogą podzielić się
nadwyżką z osobą, która przyczyniła się do zwiększenia zapotrzebowania na energię [3].
Cechy charakterystyczne takich działań:
·
działania takie służą do zarabiania pieniędzy; nie powodują ingerencji w AMI,
·
wysoki poziom ukrywania takich działań – są one trudne do wykrycia,
·
wystarczą niskie umiejętności informatyczne i internetowe: są to nadużycia
systemu AMI, a nie cyberataki,
·
czas realizacji w miesiącach,
·
podmiotem poszkodowanym jest klient, który musi płacić wyższą cenę za
energię lub przedsiębiorstwo obrotu, jeżeli stosuje ono zryczałtowane stawki za
energię dla klientów końcowych, a samo musi energię kupować na rynkach
hurtowych.
Osoba wtajemniczona może mieć dostęp do jednego lub wielu miejsc w systemie
AMI. Taki pracownik może kontrolować cały system AMI i mieć dostęp do całego
systemu AMI. Zagrożenie zwiększa się, jeżeli osoba wtajemniczona współpracuje
z wytwórcami energii w celu zawyżania zapotrzebowania na energię w ramach tej
samej grupy kapitałowej lub koncernu energetycznego. W takim przypadku działa na
szkodę odbiorców, a nie na szkodę przedsiębiorstwa energetycznego.
Osoba wtajemniczona może wykorzystać swój dostęp do stacji centralnej systemu
AMI, w tym do mechanizmów odpowiedzialnych za tworzenie informacji o cenach.
Taki pracownik mógłby, jako operator lub inżynier, zmodyfikować funkcję odpowiedzialną za zmianę ceny wyświetlanej u odbiorców końcowych. Takie działanie jest
bardzo problematyczne. Oprogramowanie AMI nie powinno umożliwiać modyfikowania takich funkcji odpowiedzialnych za informowanie o cenach ani o przepływach
energii w systemie. Jeżeli jednak istnieje interfejs do modyfikacji takich funkcji, to
osoby wtajemniczone nie muszą mieć dużej wiedzy technicznej do wykonania takiego ataku. Osoba wtajemniczona będzie posiadała fizyczny lub nawet administracyjny
dostęp do systemu AMI [3].
W przeciwieństwie do ataku przeprowadzonego przez klienta, w rezultacie ataku
osoby wtajemniczonej nie będzie spadku rentowności przedsiębiorstwa dystrybucyjnego. Takie działania skutkują sztucznie zawyżonymi kosztami energii dla klientów.
Jednakże cena dla klientów może być regulowana przez organ regulacyjny energetyki, a ten może nie wyrazić zgody na przenoszenie takich, zawyżonych kosztów na
klienta. W konsekwencji przedsiębiorstwo obrotu będzie działało ze stratą finansową,
ponieważ będzie musiało kupować energię na rynku hurtowym po zawyżonych cenach.
Niewątpliwym dodatkowym skutkiem w przypadku zawyżenia ceny dla klienta,
będzie jego niezadowolenie. W przypadku wykrycia działalności osoby wtajemniczonej wiązałby się z przeprowadzeniem odpowiedniego postępowania wyjaśniającego.
Jeżeli działania takie byłyby w grupie energetycznej lub koncernie energetycznym, to
w konsekwencji mogłoby dojść do bankructwa lub restrukturyzacji przedsiębiorstwa
obrotu, które nie mogłoby już działać z powodu konsekwencji finansowych wynikających z przeprowadzanych ataków. Dotychczasowi ich klienci, którzy przestaliby
darzyć zaufaniem takie przedsiębiorstwa obrotu, po prostu zmieniliby sprzedawcę
energii.
Nr 154-155
37
Nowe technologie energetyczne
11. Działania terrorystyczne
Przedsiębiorstwa energetyczne planują wykorzystywać AMI do wielu celów:
·
redukcji szczytowego obciążenia systemu,
·
dynamicznego modelowania obciążenia w czasie rzeczywistym,
·
wykrywania awarii (zwarć) i raportowania oraz
·
do wielu innych celów.
Możliwość redukcji obciążenia jest jedną z głównych funkcji AMI, należy to rozpatrywać w relacji żądanie-odpowiedź systemu. Jest zatem oczywiste, że przedsiębiorstwa energetyczne wykorzystujące AMI będą spodziewać się, że osiągną
redukcję obciążeń szczytowych. Jest to bardzo prawdopodobne, jeżeli będą wykorzystywane systemy takie jak zarządzanie popytem DSM (ang. Demand Side Management) lub bezpośrednie sterowanie odbiorami DLC (ang. Direct Load Control). Już
w 1997 roku odkryto lukę w zabezpieczeniach systemu komunikacyjnego, która pozwoliła atakującemu, który ma fizyczny dostęp do węzła, na wysyłanie sygnałów do
wszystkich innych węzłów [3].
Prezes URE w dokumencie opisującym minimalne wymagania AMI wdrażanych
w przedsiębiorstwach energetycznych, funkcjonalność sterowania odbiorami charakteryzuje w następujący sposób [9]: Udział odbioru statystycznie rozproszonego
w kształtowaniu krzywej obciążenia w najbardziej newralgicznych godzinach roku
jest bezsporny. (...) istnieje więc zapotrzebowanie na wyposażenie odbiorców, oprócz
„inteligentnego licznika” również w narzędzie, które pozwoli w sposób zautomatyzowany przenieść napływające z systemu sygnały na konkretne działania w zakresie
wykorzystania posiadanych odbiorników, bez ingerencji w ich konstrukcję ani
w instalację domową.
Przykładowo osoba atakująca może wykorzystać DSM do wysyłania sygnałów
wyłączenia wszystkich sterowanych urządzeń klienta. Po wystarczająco długim czasie,
po którym wszystkie urządzenia powinny zostać wyłączone, atakujący może wysłać
sygnał do włączenia wszystkich urządzeń jednocześnie. Spowoduje to maksymalne
możliwe obciążenie szczytowe systemu, które będzie narastać w bardzo krótkim
czasie. W konsekwencji będzie to miało wpływ na dużą część sieci elektroenergetycznej [3].
W przypadku ataku na AMI podkreśla się, że niektóre rozwiązania AMI nie mają
możliwości bezpośredniego sterowania obciążeniem. W nich atakujący może wysłać
nieprawidłową cenę energii (lub ustawić droższą strefę czasową) do klienta i dopiero
na podstawie takiej informacji niektóre urządzenia mogą zostać wyłączone. Po takiej
redukcji obciążenia i ustabilizowaniu się pracy systemu osoba atakująca może wysłać
nową informację o cenie (obowiązującej strefie czasowej) i w ten sposób inteligentne
liczniki masowo uruchomią wiele odbiorników u wielu klientów. Obecnie trudno jest
dokładnie przewidzieć skutki wpływu gwałtownego wzrostu obciążenia szczytowego
na dużą część sieci elektroenergetycznej. Przedsiębiorstwa dystrybucyjne i agencje
regulacyjne nie są zainteresowane wdrożeniami AMI, jeśli zaawansowana infrastruktura pomiarowa nie mogłaby mieć pozytywnego wpływu na pracę sieci elektroenergetycznej. Taka możliwość przecież nie oznacza automatycznie negatywnego wpływu
AMI na sieć, jeżeli nadużywa się funkcjonalności AMI [3].
38
Nowe technologie energetyczne
Wpływ ataków terrorystycznych na AMI może powodować niestabilność pracy
systemu elektroenergetycznego, powszechne awarie i uszkodzenia sprzętu.
12. Administratorzy i inżynierowie systemowi
Działanie mające dokonać manipulacji danych może być dokonane również przez
inżyniera systemowego lub administratora baz danych. Wystarczy, że zorientowaliby
się oni w której tabeli przechowywane są dane pomiarowo-rozliczeniowe i wtedy
mieliby oni możliwość manipulowania takimi danymi. Obecnie w Polsce u operatorów sieci dystrybucyjnych często stosowane są relacyjne bazy Oracle, które umożliwiają rejestrowanie tak dokonywanych zmian. Jednak ze względu na to, że bazy te są
bardzo przeciążone podczas okresowych przeliczeń, zwłaszcza dokonywanych w celu
dokonania rozliczenia całego okresu rozliczeniowego, dość często rezygnuje się z rejestrowania modyfikacji dokonywanych przez administratorów baz oraz przez inżynierów systemowych.
Nawet jeżeli dokonywany jest rejestr zmian dokonywanych na bazie danych, to
zajmuje on bardzo wiele miejsca, dlatego okresowo musi być archiwizowany lub
kasowany. Zmniejsza to prawdopodobieństwo znalezienia osoby odpowiedzialnej za
manipulację danych.
13. Dostęp trzeciej strony
Niebagatelnym zagadnieniem w kwestii bezpieczeństwa cyfrowego zaawansowanej infrastruktury pomiarowej jest tzw. dostęp trzeciej strony. Okazuje się bowiem,
że to nie tylko wtajemniczony pracownik przedsiębiorstwa dystrybucyjnego może
zautoryzować swój dostęp do AMI i dokonać w nim pewnych zmian. Wśród innych
podmiotów można wyliczyć:
·
Dostawca rozwiązania AMI i jego poddostawcy,
·
Producenci liczników i koncentratorów,
·
Firma informatyczna dostarczająca oprogramowanie,
·
Firmy świadczące usługi outsourcingowe (ang. outside-resource-using – korzystanie z zasobów zewnętrznych) – ze względów finansowych część prac
przedsiębiorstwa dystrybucyjnego, dostawcy AMI lub przedsiębiorstwa IT
może być realizowane przez inne firmy, które te same prace wykonają taniej
i skuteczniej,
·
Wynajmowani pracownicy, zwłaszcza przez przedsiębiorstwo informatyczne;
rzadko kiedy stać dostawcę rozwiązań AMI do zatrudnienia wysoko wykwalifikowanego personelu – zwłaszcza informatyków. Utrzymanie ich pochłaniałoby
znacznie budżet przedsiębiorstwa. Dlatego czasem są oni wynajmowani od innych przedsiębiorstw na czas realizacji określonego projektu. Dzięki temu nie
są oni stałym kosztem przedsiębiorstw – dostawców AMI, a w razie potrzeby
ich kwalifikacje mogą zostać wykorzystane,
·
Byli pracownicy przedsiębiorstwa dystrybucyjnego, dostawcy AMI lub przedsiębiorstwa informatycznego.
Ze względu na to, że bardzo wiele osób będzie znało sposoby dokonywania
autoryzacji i autoryzacji dostępu oraz stosowane zabezpieczenia itp., należy bardzo
skrupulatnie rozważyć politykę bezpieczeństwa, aby zmniejszyć liczbę możliwych
Nr 154-155
39
Nowe technologie energetyczne
„kanałów” dojść do manipulacji konfiguracją i ustawieniami urządzeń pomiarowych
lub do baz danych i systemów pomiarowo-rozliczeniowych.
14. Zasady zarządzania bezpieczeństwem cyfrowym
W ramach zarządzania bezpieczeństwem infrastruktury systemów AMI powinny
być stosowane m.in. następujące zasady [6]:
·
poufność transakcji – komunikacja urządzeń i aplikacji działających w ramach
współpracy z systemem powinna być zawsze szyfrowana,
·
identyfikacja i autoryzacja elementów systemu na wszystkich jego warstwach,
·
każda zmiana konfiguracji systemu wymaga weryfikacji pod względem zgodności z polityką bezpieczeństwa,
·
nie spełnienie norm polityki bezpieczeństwa systemu powinno powodować fizyczne odłączenie systemu od sieci,
·
decyzję o dołączeniu lub odłączeniu systemu powinny podejmować osoby do
tego upoważnione.
15. Rekomendacje
Sugerowane jest również przyjęcie następujących zaleceń [3]:
1. Przyjęcie otwartego referencyjnego standardu dla inteligentnych liczników,
2. Wymuszanie pełnego wdrożenia standardów bezpieczeństwa w inteligentnych
licznikach przez ich producentów,
3. Uwierzytelnianie wszystkich poleceń (komend) przesyłanych z aplikacji nadrzędnej do punktu końcowego u klienta,
4. Uwierzytelnianie wszystkich raportów i paczek danych przesyłanych z punktu
końcowego u klienta do aplikacji nadrzędnej,
5. Ochrona aplikacji centralnej w taki sposób, jakby to były cyfrowe zasoby krytyczne,
6. Wdrożenie wykrywania włamań z kontrolą integralności oprogramowania systemów i aplikacji nadrzędnych,
7. Wykonywanie często, nieregularnie audytów, podczas których dokona się sprawdzenia czy stan wyjść (dane wyjściowe) aplikacji nadrzędnej odzwierciedlają
stan wejść (dane wejściowe),
8. Zastosowanie silnego uwierzytelniania użytkowników korzystających z aplikacji nadrzędnej oraz rejestrowanie wszystkich działań tych użytkowników,
9. Wdrożenie separacji sieci, silnych zapór (ang. firewall) i ograniczonej listy kontroli dostępu do rutera w sieci AMI,
10. Wdrożenie mocnej separacji i ustalenie elektronicznych granic bezpieczeństwa pomiędzy siecią AMI i innymi systemami takimi jak EMS,
11. Wdrożenie odpowiedniej logiki bezpieczeństwa, aby zapobiec szybkim zmianom w informacjach o cenach wysyłanych aplikacji nadrzędnej do punktu
końcowego klienta.
16. Wnioski i konkluzje
Zagadnienie bezpieczeństwa cyfrowego zaawansowanej infrastruktury pomiarowej
jest zagadnieniem bardzo złożonym. Łańcuch jest tak silny, jak najsłabsze ogniwo.
40
Nowe technologie energetyczne
Podobnie jest z kwestią bezpieczeństwa cyfrowego. Dlatego nie można zaniedbać
zabezpieczenia żadnego z obszarów. Ponadto bardzo ważnym zagadnieniem jest zapewnienie bezpieczeństwa cyfrowego oraz poufności danych przez przedsiębiorstwa
wdrażające rozwiązania AMI, pracowników firm informatycznych oraz byłych
pracowników przedsiębiorstwa dystrybucyjnego. Należałoby opracować odpowiednie
standardy zapewnienia bezpieczeństwa w różnych częściach AMI, stosować szyfrowaną transmisję danych oraz wymagać od kooperantów gwarancji zachowania poufności.
Zagadnienie bezpieczeństwa inteligentnej sieci pojawia się niejako obok dyskusji
o zaletach i korzyściach zaawansowanych technologicznie rozwiązań informatycznych w sektorze elektroenergetycznym. Nie jest to temat nowy. Problematyka z nim
związana będzie dynamicznie ewoluowała w zależności od wdrożonych rozwiązań,
przyjętych standardów oraz doświadczeń związanych z działalnością cyberprzestępców oraz eliminowania jej skutków.
17. Literatura
[1] Billewicz K., Problematyka bezpieczeństwa informatycznego w inteligentnych
sieciach, Konferencja APE 2011, T. 2, str. 115-120.
[2] Flick T., Morehouse J., Securing the Smart Grid, Next Generation Power Grid
Security, 2011 Elsevier Inc.
[3] Parks R.C., Advanced Metering Infrastructure – Security Considerations,
SANDIA REPORT, Sandia National Laboratories, November 2007.
[4] Sioshansi F., Smart Grid, Integrating Renewable, Distributed and Efficient
Energy, Academic Press, 2012 Elsevier Inc.
[5] Wiewiórowski W., GIODO: Trzeba informować klienta o tworzeniu jego profilu, www.lex.pl, 2011-06-05.
[6] Wilczyński A., Tymorek A., Rola i cechy systemów informacyjnych w elektroenergetyce, Rynek energii, 2(87)/2010.
[7] Concerning Privacy and Smart Grid Technology, The Smart Grid and Privacy –
epic.org/privacy/smartgrid/smartgrid. html.
[8] U.S. Department of Energy Office of Electricity Delivery and Energy Reliability,
Study of Security Attributes of Smart Grid Systems – Current Cyber Security
Issue, April 2009 – http://www.inl.gov/scada/publications/d/securing_thesmart
_ grid_current_issues.pdf.
[9] URE, Stanowisko Prezesa URE w sprawie niezbędnych wymagań wobec wdrażanych przez OSD E inteligentnych systemów pomiarówo-rozliczeniowych
z uwzględnieniem funkcji celu oraz proponowanych mechanizmów wsparcia
przy postulowanym modelu rynku, Warszawa, 31.05.2011.
[10] The integrated energy and communication systems architecture, EPRI, Palo Alto,
CA and Electricity Innovation Institute, Palo Alto, CA: 2003; www.intelligrid.info.
Źródło: Referat o skróconej treści artykułu został wygłoszony na XVI Konferencji
Naukowo-Technicznej SEP Busko 2012, 11 maja 2012 r.
Nr 154-155
41