26 dr inż. Krzysztof Billewicz Instytut Energoelektryki
Transkrypt
26 dr inż. Krzysztof Billewicz Instytut Energoelektryki
Nowe technologie energetyczne dr inż. Krzysztof Billewicz Instytut Energoelektryki Politechnika Wrocławska INTELIGENTNE SIECI ELEKTROENERGETYCZNE – ZAGADNIENIA BEZPIECZEŃSTWA CYFROWEGO 1. Wprowadzenie System elektroenergetyczny jest największym i najbardziej złożonym system stworzonym przez człowieka. Ponieważ tak się rozrósł, zarządzanie i kontrolowanie takiego systemu przez ludzi okazują się dość trudne [10]. Aby to osiągnąć, potrzebna jest jedna wizja, jedno spojrzenie na całość oraz w przyszłości kompleksowe zarządzanie całością. W przeciwnym razie mogą rozwinąć się bardzo zaawansowane technologicznie rozwiązania małej skali i będą one tworzyć odseparowane wyspy. Systemy informacyjne w elektroenergetyce przez długi czas nie były traktowane jako spójna infrastruktura, lecz były postrzegane jako zbiór poszczególnych kanałów komunikacyjnych, baz danych, systemów wielu odrębnych i różnych protokołów. Wdrażanie i stosowanie takich, pojedynczych rozwiązań na dłuższą metę pochłonie dużo środków finansowych, jednak korzyść z takich jednostkowych rozwiązań dla całego systemu elektroenergetycznego będzie niewielka. Takie fragmentaryczne podejście nie zapewni przyszłych wizji działania systemu jako całości. Dlatego też najpierw należy określić stan docelowy, do którego będzie się dążyć, a nie zadowalać się tylko pojedynczymi krokami naprzód. To tak, jak planuje się podróż. Nie wystarczy jechać pociągiem lub lecieć samolotem we właściwym kierunku, do jakiejś stacji pośredniej i tam zastanawiać się, jak kontynuować podróż. Należy kompleksowo zaplanować całą podróż. Podobnie, jak w przypadku wszystkich podróży, mając wizję ostatecznego przeznaczenia jest niezbędne, aby znaleźć najlepszą drogę do następnego punktu orientacyjnego, unikać pułapek, i jednocześnie zminimalizować wydatki. Jedna z wizji systemu elektroenergetycznego przyszłości jest następująca [10]: · system elektroenergetyczny składa się z licznych zautomatyzowanych systemów przesyłowych i dystrybucyjnych, wszystko działa w sposób skoordynowany, wydajny i niezawodny. · system elektroenergetyczny, który funkcjonuje również w warunkach awaryjnych dzięki funkcjonalności „samonaprawy” oraz reaguje na potrzeby rynku energii i potrzeby biznesowe przedsiębiorstw energetycznych. · system elektroenergetyczny, który służy milionom klientów i posiada inteligentną infrastrukturę komunikacyjną umożliwiającą terminowy, bezpieczny i elastyczny przepływ potrzebnych informacji, aby zapewnić niezawodne i ekonomiczne zasilanie dla rozwijającej się gospodarki cyfrowej. Przez ostatnich kilka lat przeprowadzono wiele studiów i badań, które opisują konieczność przekształcenia sektora elektroenergetycznego. Badania te często mówią o braku inwestycji w podstawową infrastrukturę, w tym sieci przesyłowej i dystrybucyjnej, potrzebie innowacji, starzeniu się wyposażenia i siły roboczej, kosztach 26 Nowe technologie energetyczne przerw w zasilaniu, konieczności redukcji emisji itd. Jednak jeżeli światło świeci, zapewnione jest ogrzewanie i klimatyzacja, posiada się dostęp do telewizji, Internetu i innych rozrywek, z gwarancją prawie 100%, trudno czuć potrzebę dokonania pilnych zmian [4]. Można powiedzieć, że rozwój elektroenergetyki w kierunku inteligentnych sieci (ang. smart grid) jest bardzo prawdopodobnym scenariuszem. Powszechne zastosowanie inteligentnych urządzeń oraz zaawansowanego oprogramowania znacznie ułatwi efektywne, skuteczne oraz bezpieczne zarządzanie i eksploatowanie tych sieci. Jednak inteligentna sieć oparta jest o rozwiązania informatyczne, które jednak niosą ze sobą pewne zagrożenia. Jednym z głównych zagrożeń jest możliwość ingerencji cyberprzestępców. Zapewnienie przez lata prawidłowego funkcjonowania takich sieci, ich bezpieczeństwa oraz ochrony przed atakami hackerów staje się poważnym problemem. 2. Bezpieczeństwo inteligentnej sieci Inteligentne sieci mają coraz bardziej strategiczne znaczenie w kwestii bezpieczeństwa energetycznego. Inteligentna sieć jest unowocześnieniem istniejących sieci energetycznych. Umożliwia lepszą diagnostykę pracy sieci oraz pozwala sieciom podejmować działania samonaprawcze (oczywiście w określonym zakresie). Dodatkowo umożliwia dynamiczne zintegrowanie lokalnych źródeł energii, w tym również odnawialnej oraz bardziej efektywnie wykorzystywać energię elektryczną. Zwiększenie automatyzacji i komunikacji w ramach sieci elektrycznej oprócz wielu niewątpliwych zalet ma również, przynajmniej teoretycznie, ciemną stronę: zwiększenie podatności na ataki [8]. Obecnie funkcjonowanie sieci elektroenergetycznej oraz sprawna kontrola jej pracy zależy od wielu komputerów, sieci komputerowych, oprogramowania oraz technologii komunikacyjnych. Nieupoważniona ingerencja w tę informatyczną infrastrukturę cyberprzestępcy może doprowadzić do ogromnych strat zarówno wynikających bezpośrednio (np. niemożność bieżącego funkcjonowania przedsiębiorstwa) i pośrednio (np. niezrealizowane kontrakty w terminie, utrata dobrego wizerunku firmy) z braku zasilania określonych odbiorców [8]. Złożoność sieci oznacza, że istnieją luki, które jeszcze nie zostały zidentyfikowane. Dlatego trudno jest oszacować ryzyko związane z potencjalnym atakiem ze względu na wielkość, złożoność i dynamiczny charakter sieci energetycznej oraz nieprzewidywalność potencjalnych napastników [8]. Cyberatak ma wyjątkową cechę: może być uruchomiony za pośrednictwem publicznej sieci z odległych miejsc na całym świecie. Dodatkowo może być w formie skoordynowanego ataku z wielu miejsc jednocześnie. Ponadto może atakować różne miejsca jednocześnie [8]. Wykorzystywanie wszelkich rozwiązań do większego wykorzystania inteligentnych sieci oraz zwiększenie i powielenie ich dróg komunikacji dwustronnej narazi konsumentów i dostawców na więcej form ataków cyberprzestępców. Największe zagrożenia będą występowały po roku 2015, kiedy to szacuje się, że inteligentne sieci w Europie obejmą do 440 milionów potencjalnych punktów do ataku hakerskiego. Cykl życia inteligentnych systemów to ok. 10 – 20 lat. Jeżeli w tym czasie zostaną złamane niektóre zabezpieczenia sieci, zwłaszcza urządzeń oraz koncentratorów, to Nr 154-155 27 Nowe technologie energetyczne nie będzie możliwości ich wymiany. Nie ma bowiem technicznej możliwości, aby łatwo i tanio wymienić oprogramowanie tych urządzeń w zakresie zwiększenia zabezpieczeń podczas autoryzowania dostępu do danych oraz sterowania urządzeniami. Inteligentne sieci wdrażane dziś mogą doprowadzić za kilka lub kilkanaście lat do katastrofy. Osoba mogąca dwukierunkowo transmitować dane w systemach pomiarowo-rozliczeniowych (ang. smart metering) może w pewnym stopniu sterować licznikami, zabezpieczeniami zalicznikowymi w zakresie odłączania zasilania oraz załączania dodatkowych odbiorów. Dodatkowo może zmienić taryfę przypisaną do licznika i dokonać innych zmian uciążliwych dla odbiorcy oraz wiążących się z koniecznością poniesienia przez niego dodatkowych kosztów. Przyczyny zagrożeń leżą: · w lukach systemów operacyjnych, które są potencjalnymi miejscami ataków hackerów, · po stronie niezadowolonych pracowników, przykładowo zwolniony pracownik może włamać się z chęci zemsty lub sabotażu, np. nieprawidłowo zainstaluje oprogramowanie antywirusowe, oraz dostarczy złośliwe oprogramowanie, które będzie siać spustoszenie w inteligentnej sieci. Taki cyberprzestępca zna zabezpieczenia oraz wie, jak je obejść lub jak prawidłowo zautoryzować swój dostęp. Działanie może polegać na przesyłaniu złośliwego oprogramowania. Dlatego konieczne są odpowiednie certyfikaty oraz zaawansowane metody autoryzacji, które jeżeli nawet nie uniemożliwią, to przynajmniej w znacznym stopniu utrudnią i ograniczą nieautoryzowany dostęp do inteligentnej sieci osobom nieupoważnionym. Potrzebne jest zaangażowanie dodatkowych firm zajmujących się zarówno zabezpieczaniem sieci, jak również eliminowaniem oraz wykrywaniem działalności cyberprzestępców. Nie ma takich zabezpieczeń, których nie można byłoby złamać. Niestety nie jest to optymistyczne stwierdzenie. Dlatego warto już teraz, na etapie projektowania systemów inteligentnych sieci, zwrócić uwagę na odpowiedni poziom bezpieczeństwa, możliwości prostej rozbudowy w tym zakresie oraz uwzględnić i przewidzieć potencjalne ataki cyberprzestępców. 3. Polityka bezpieczeństwa – teoria Polityka bezpieczeństwa (ang. security policy) jest zbiorem spójnych, precyzyjnych i zgodnych z obowiązującym prawem przepisów, reguł i procedur, według których dana organizacja buduje, zarządza oraz udostępnia zasoby i systemy informacyjne i informatyczne. Określa ona, które zasoby i w jaki sposób mają być chronione [wikipedia.org]. Polityka bezpieczeństwa powinna być dokumentem spisanym, dostępnym dla pracowników. Każdy z nich po zapoznaniu się z jego treścią powinien potwierdzić ten fakt własnoręcznie złożonym podpisem. Polityka bezpieczeństwa obejmuje swym zakresem całość zagadnień związanych z bezpieczeństwem danych, posiadanych przez przedsiębiorstwo, a nie tylko samą sieć komputerową lub dostęp do systemu informatycznego. Polityka bezpieczeństwa powinna konkretnie określać pożądane oraz niedopuszczalne zachowania związane z wykorzystaniem kont użytkowników oraz dostępnych zasobów danych. Polityka bezpieczeństwa nie jest dokumentem statycznym. Wymaga ciągłych modyfikacji dostosowujących zapisy do zmieniających się uwarunkowań pracy firmy. 28 Nowe technologie energetyczne Zasoby chronione to: oprogramowanie, sprzęt komputerowy, dane firmy, ludzie, dokumentacja sprzętu oraz dane krytyczne firmy: dane o kontrahentach, informacje handlowe, dane narażające na utratę pozytywnego wizerunku, sposoby nieautoryzowanego dostępu itd. Dodatkowo należy kierować się zasadą przydzielania najmniejszych uprawnień do aplikacji oraz do danych. Dostęp do zasobów powinien być ograniczony tylko do osób, które ten dostęp powinny mieć. Należy również określić: · poziom akceptowanego ryzyka, · mechanizmy kontroli dostępu, · mechanizmy identyfikacji oraz autoryzowania dostępu, · rejestrację dokonywanych zmian w systemie: konfiguracyjnych oraz modyfikacji danych, · śledzenie zdarzeń w systemie. Nie sposób uniknąć błędów podczas pracy z aplikacją. Pomyłki pracowników często spowodowane są niekompetencją lub przemęczeniem. Aby zminimalizować ryzyko, pracownikom nadaje się minimum uprawnień oraz nie przydziela się nadmiaru obowiązków, które mogłyby przeszkodzić w przemyślanej pracy z systemem informatycznym. 4. Polityka bezpieczeństwa – praktyka Coraz ważniejszym zagadnieniem stają się weryfikacja, pewność i bezpieczeństwo danych. Aby zmniejszyć ilość danych nieprawidłowych, zabezpiecza się sieci przed próbami włamania się hackerów i manipulowania przez nich danymi, do których nie powinni posiadać dostępu. Mnoży się procedury polityki bezpieczeństwa, które utrudniają pracę normalnym użytkownikom aplikacji. Każdy z użytkowników powinien mieć dostęp do aplikacji po prawidłowym zalogowaniu się. W przypadku trzeciej, nieprawidłowej próby wpisania hasła, dostęp dla tego użytkownika powinien być nieaktywny przez ok. 15 minut. Użytkownicy aplikacji to ludzie, którzy korzystają z Internetu. Zapewne każdy z nich musi pamiętać hasła do [1]: · konta użytkownika podczas logowania się do komputera służbowego, · konta użytkownika podczas logowania się do komputera prywatnego, · aplikacji pomiarowo-rozliczeniowej, · konta poczty służbowej, · konta poczty prywatnej, · portalu przedsiębiorstwa pracy, · konta bankowego, · PIN do karty bankomatowej, · PIN do karty kredytowej, · PIN do karty SIM telefonu służbowego, · PIN do karty SIM telefonu prywatnego, · portalu społecznościowego, np. Facebook.pl, nasza-klasa.pl, · forum, z którego korzysta, Nr 154-155 29 Nowe technologie energetyczne · serwisu aukcyjnego lub zakupowego: allegro.pl, ebay.pl, snajper.pl itp., · komunikatora internetowego, np. Skype, Gadu-gadu, · innych portali, które wymagają autoryzowanego dostępu, np. portal szkolny, dziennik internetowy, portale specjalistyczne itp. Do tego polityka bezpieczeństwa niektórych zakładów pracy wymusza okresową zmianę haseł. Nowe hasła muszą różnić się np. od 10 poprzednich, nie mogą być zbyt proste, np. takie jak nazwa użytkownika. Dodatkowo muszą one zawierać małe i wielkie litery, cyfry oraz znaki dodatkowe. Przeciętny pracownik po 5. zmianie hasła przestaje panować nad hasłami. Dlatego albo wprowadza jedno hasło, identyczne do wszystkich aplikacji, albo zapisuje je w pliku lub na łatwo dostępnej kartce papieru, np. znajdującej się w podręcznej szufladzie. Czasami na monitorze przyklejona jest kartka z obecnym hasłem logowania do systemu. Konsekwencje takiej polityki bezpieczeństwa nie są trudne do przewidzenia. Bezpieczeństwo tak chronionego systemu coraz bardziej staje się fikcją. Dlatego coraz poważniejszym zagadnieniem staje się inna, niż za pomocą haseł statycznych, autoryzacja użytkownika (ang. authorization) lub kontrola dostępu (ang. access control). Pewnym rozwiązaniem jest stosowanie tokenów lub dokonywania uwierzytelnienia na podstawie danych biometrycznych (np. odciski palców). Obecnie stosowane automatyczne podpowiadanie haseł w nowszych systemach operacyjnych powoduje, że cyberprzestępca dostając się usługą terminalową na tę maszynę może bez trudu zalogować się na konto jej użytkownika. Pracownicy powinni zapoznać się szczegółowo z treścią Polityki bezpieczeństwa obowiązującą w przedsiębiorstwie. Jednak czasami zdarza się, że zapoznają się z tym dokumentem pobieżnie z powodu dużej liczby obowiązków albo w krótkim czasie zapomną część przeczytanych zapisów, które powinni stosować. Takie podejście pracowników naraża przedsiębiorstwo na straty, w tym również finansowe. Dostawca usług informatycznych w przypadku serwisowania aplikacji oczekuje dostępu do zabezpieczonych komputerów. Każde skomplikowanie dla takiego dostępu wydłuża czas wykonywania usługi serwisowej, co w przypadku niemożności realizacji kluczowych procesów biznesowych u OSD, naraża go na dodatkowe, czasem niemałe, koszty. Do tego dochodzą kwestie aktualizacji oprogramowania, czyli podstawiania nowszych wersji programu lub takich z poprawionymi usterkami. Każda komplikacja w kwestii dostępu do zasobów serwisowanego komputera również wydłuża czas naprawy usterki. Nieprawidłowo lub zbyt rygorystycznie stosowana polityka bezpieczeństwa utrudnia pracę z serwisowaną aplikacją oraz naraża OSD na dodatkowe koszty. 5. Najczęstsze zagrożenia systemów informatycznych Do najczęstszych zagrożeń systemów informatycznych należy zaliczyć [6]: · Zablokowanie dostępu do usługi, · Włamanie do infrastruktury systemu informacyjnego, · Utrata danych, · Kradzież danych, · Ujawnienie danych poufnych, 30 Nowe technologie energetyczne · Zafałszowanie informacji, · Kradzież kodu oprogramowania, · Kradzież sprzętu, · Uszkodzenia systemów komputerowych. 6. Ochrona prywatności odbiorców Prywatność jest to prawo do utrzymania swych danych osobowych, informacji prywatnych, osobistych zwyczajów i zachowań nieujawnionych publicznie. Zagadnienie prywatności odbiorców jest nowym tematem dla sektora elektroenergetycznego. Dane z inteligentnych liczników oraz z inteligentnych systemów pomiarowych zawierają bardzo wiele prywatnych informacji o odbiorcach. Inteligentna sieć jest unowocześnieniem istniejących sieci energetycznych. Umożliwia lepszą diagnostykę pracy sieci oraz pozwala sieciom podejmować działania samonaprawcze (oczywiście w określonym zakresie). Dodatkowo umożliwia dynamiczne zintegrowanie lokalnych źródeł energii, w tym również odnawialnej, oraz bardziej efektywnie wykorzystywać energię elektryczną. Zwiększenie automatyzacji i komunikacji w ramach sieci elektrycznej oprócz wielu niewątpliwych zalet ma również, przynajmniej teoretycznie, ciemną stronę: zwiększenie podatności na ataki. Inteligentne systemy pomiarowe oraz aplikacje inteligentnych sieci muszą być zabezpieczone przed próbami kradzieży tożsamości odbiorcy, danych pomiarowych oraz przed nieautoryzowanym dostępem. Dodatkowo pracownicy OSD lub pracownicy dostawcy oprogramowania mogą chcieć użyć danych personalnych odbiorców do celów innych niż realizacja i rozliczanie dostaw energii, zarządzanie popytem, czy nadzorowanie dokonywanych płatności. Zatem należałoby jakoś ograniczyć możliwość wykorzystania danych osobowych, gromadzonych w bazach w systemach informatycznych w sektorze elektroenergetyki, do celów niezwiązanych z realizacją misji konkretnego przedsiębiorstwa [7]. Niektórych odbiorców niepokoi brak kontroli nad gromadzeniem, przetwarzaniem, dostępem oraz wykorzystywaniem wrażliwych danych osobowych. Problem oczywiście jest nieco szerszy i dotyczy również nieautoryzowanego gromadzenia, pozyskiwania, wykorzystywania i ujawniania innych informacji. Dlatego też potrzebna jest kompleksowa strategia na rzecz ochrony prywatności w Internecie, najlepiej jako część narodowej strategii dostępu do szerokopasmowego Internetu [7]. Smart Metering oraz Smart Grid, które jednoznacznie identyfikują poszczególne urządzenia i ich zastosowanie, stwarzają nowe zagrożenia dla prywatności i mogą ujawniać intymne szczegóły życia rodzinnego. Szczególnym sposobem przetwarzania danych jest tzw. profilowanie klientów. Profilowanie jest to dochodzenie do krótkiej, dynamicznej charakterystyki zwięźle ujmującej najważniejsze cechy nieznanej osoby i przejawy jej zachowań. Profilowanie polega na zbieraniu z bardzo różnych źródeł pozyskanych legalnie danych i tworzeniu na ich podstawie profilu osobowego klienta lub kandydata na klienta. Do tego celu również wykorzystuje się informacje na temat danej osoby zebrane w innym celu przez podmioty działające w tej samej grupie kapitałowej, a także informacje ogólnie dostępne, np. pochodzące z serwisów społecznościowych lub forów internetowych. Na podstawie tak zebranych ze zgromadzonych danych i informacji przygoNr 154-155 31 Nowe technologie energetyczne towuje się sylwetkę klienta, czyli jego profil. Umożliwia to bankowi bądź instytucji ubezpieczeniowej przygotowanie precyzyjnej oferty skierowanej do tego klienta lub ocenę jego zdolności kredytowej czy ryzyka ubezpieczeniowego [5]. Dodatkowo do tak stworzonego profilu dodaje się informacje statystyczne. Przypisanie określonych cech nie oznacza, że tak jest na pewno, lecz to, że statystycznie najczęściej tak jest. W konsekwencji kompletuje się informacje niepotwierdzone. Przykładowo, jeżeli klient ma czwórkę dzieci, to znaczy, że być może zechce mieć ich więcej. Z kolei jeśli np. osoba ma 38 lat i od 10 lat pozostaje w związku małżeńskim, a nie ma dzieci, to najprawdopodobniej nie chce ich mieć lub nie może [5]. Takie gromadzenie danych do celów marketingowych narusza prywatność danej osoby. Dodatkowo klient nie ma wpływu na to, co dana instytucja „domniemuje” na jego temat. 7. Dwa podejścia do kwestii bezpieczeństwa cyfrowego Obecnie podczas rozpatrywania problematyki bezpieczeństwa cyfrowego inteligentnej sieci dominują dwa podejścia. Główny akcent stawia się na: · zagrożenia dla pojedynczego klienta [1], · zagrożenia dla pracy całego systemu lub dużej jego części [3]. Zaawansowana infrastruktura pomiarowa AMI w swej podstawowej funkcjonalności zapewnia opomiarowanie wszystkich punktów końcowych oraz automatyzację komunikacji z nimi. Dokonywane pojedyncze włamania i manipulacje przy takiej funkcjonalności zazwyczaj mają bardzo mały wpływ na pracę systemu elektroenergetycznego jako całości. Problemem dopiero byłoby manipulowanie i zaniżanie wskazań licznika prowadzone na masową skalę. AMI jednak posiada wiele innych funkcji, np. sterowanie odbiorami przy zmianie stref czasowych lub wyświetlanie cen, na podstawie których inna automatyka będzie włączała bądź wyłączała określone odbiorniki. Manipulując takimi funkcjami można doprowadzić do przeciążenia systemu elektroenergetycznego. Pierwsze podejście bierze się z obaw, które mają odbiorcy w stosunku do wdrażania inteligentnych liczników oraz zaawansowanej infrastruktury pomiarowej. Opis możliwych manipulacji pokazuje, że nie są to obawy bezpodstawne. Takie podejście również koncentruje się na wyszukiwaniu motywów, którymi kierują się pojedynczy hackerzy, aby włamać się do zaawansowanej infrastruktury pomiarowej AMI (ang. Advanced Metering Infrastructure). Najczęściej skutkami takich włamań jest pewna uciążliwość korzystania z energii elektrycznej przez odbiorców lub oszustwa, których celem jest zapłata mniejszej kwoty lub nie płacenie w ogólności za pobraną energię. Takie podejście zostało opisane w różnych publikacjach [1][2]. Drugie podejście wiąże się z konsekwencjami włamań do inteligentnego systemu pomiarowego dla całego systemu elektroenergetycznego lub dużej jego części. Przykładowo Prezes URE nie powinien zajmować się kwestią pojedynczych włamań do infrastruktury AMI dokonywanych przez hackerów, ponieważ konsekwencje takich działań dla systemu elektroenergetycznego nie będą wielkie. Natomiast powinien zwracać uwagę na te zagrożenia, które mogą spowodować niestabilną pracę systemu elektroenergetycznego lub jego przeciążenie. Można wyróżnić trzy grupy podmiotów – osób, które mogą chcieć dokonywać manipulacji w AMI i których działania mogą doprowadzić do przeciążenia systemu elektroenergetycznego [3]: 32 Nowe technologie energetyczne · klienci, · kompetentni (wtajemniczeni) pracownicy operatora systemu dystrybucyjnego, · terroryści. W tym podejściu pomija się takie zagrożenia jak np.: · niekompetencja pracownika, · złośliwe działanie pracownika, · włamania hackera do AMI w celu osiągnięcia korzyści lub w celu zakłócenia korzystania z użytkowania energii dla pojedynczego odbiorcy. Oczywiście takie zjawiska są problemem i to dość poważnym, jednak najczęściej nie prowadzą one do zakłócenia dostaw energii elektrycznej większości do odbiorców. 8. Zagrożenia dla pojedynczego klienta Lista potencjalnych niebezpieczeństw powstałych w wyniku stosowania inteligentnych sieci [7]: 1. Kradzież tożsamości. 2. Ujawnienie osobistych wzorców zachowań (skowronek – rano wstaje, sowa – późno idzie spać, regularny tryb życia, chaotyczny pobór itp.). 3. Gromadzenie i grupowanie odbiorców wg wzorców zachowań. 4. Dostarczanie niechcianych, czasem zawstydzających reklam dobranych na podstawie wzorców zachowań (to tak, jakby dostawca usług internetowych dostarczał reklamy na podstawie listy odwiedzanych stron www; dla niektórych ludzi mogłoby to być krępujące); przykładowo dla osób, u których rejestruje się znaczący pobór energii nocą mogą być przesłane reklamy środków nasennych albo wyższa stawka samochodowego obowiązkowego ubezpieczenia OC – dla towarzystwa ubezpieczeniowego pozbawiony regularnego snu, niewyspany kierowca oznacza większe ryzyko spowodowania przez niego szkody. 5. Możliwość ujawnienia sterowanych urządzeń znajdujących się w danym domu lub mieszkaniu. 6. Decyzje sterowania odbiorami podejmowane na podstawie nieprawidłowych danych, w tym również w skutek działania cyberprzestępców, np. hacker sterował pralką lub zmywarką. 7. Nadzór w czasie rzeczywistym, OSD sam może zdecydować o odłączeniu odbiorcy w dowolnym momencie, pod tym względem nie jest nadzorowany przez żadne inne instytucje ani podmioty. 8. Cenzura aktywności – jeżeli OSD mógłby rozpoznawać aktualną aktywność w domu na podstawie pracy określonych urządzeń (określonego zużycia energii bieżącego i historycznego) oraz mógłby zdalnie odłączać zasilanie, to istniałaby pokusa do cenzurowania wykonywania pewnych działalności – ich wykonywanie przez odbiorcę byłoby „nagradzane” przez OSD wyłączeniami zasilania. 9. Monitorowanie zużycia w czasie rzeczywistym – niebezpieczeństwo ujawnienia nieobecności odbiorcy w lokalu mieszkalnym. 10. Ukierunkowanie włamań – dane mogą pokazywać, że pobór energii jest charakterystyczny dla zużycia energii osób w podeszłym wieku, niedołężnych albo dzieci w wieku wczesnoszkolnym. Nr 154-155 33 Nowe technologie energetyczne 11. Zablokowanie odbiorcy dostępu do usług internetowych. 12. Przejmowanie kontroli nad wrażliwymi elementami systemu w zdalnych, słabo kontrolowanych lokalizacjach; czasem może wiązać się to z irytacją ludzi, którzy nie mogą oglądać telewizji lub rozmraża się im lodówka, jednak jeżeli jest mróz, takie manipulacje mogą spowodować nawet śmierć niektórych osób. 13. Przechwytywanie danych przez cyberprzestępców oraz manipulowanie inteligentną siecią – zwłaszcza w kwestii sterowania popytem, wyłączania zasilania (w tym również dla prostych domowych systemów alarmowych) lub złośliwego odłączania odbiorcy. 14. Zmanipulowanie cen energii przesyłanych do licznika; przesyłanie np. znacznie zaniżonej ceny energii w godzinach szczytowych oraz wyświetlanie jej u wielu odbiorców może spowodować nawet znaczną zmianę zachowania w kwestii zużycia energii, znaczące zwiększenie zużycia energii przez wielu odbiorców, oszukanych w ten sposób, może być niebezpieczne dla sieci. 15. OSD lub inne instytucje widząc, że pobór energii danego odbiorcy jest większy niż innych, zwłaszcza w godzinach szczytowych, może zachęcać ich do oszczędzania energii, naruszając prywatność tego odbiorcy. Oczywiście należy być świadomym, że nie są to wszystkie możliwe scenariusze, które mogą wystąpić w niedostatecznie zabezpieczonej sieci elektroenergetycznej, w szczególności w nowych sieciach inteligentnych. Należy zdać sobie sprawę, że dane pomiarowe z licznika będą pokazywały określone zachowanie i takie dane będą mogły być wykorzystywane gdzie indziej. Przykładowo takie dane mogłyby być przydatne dla sprzedawcy ubezpieczeń: komunikacyjnych oraz tzw. „na życie”. Mógłby on dostosować stawkę ubezpieczenia w zależności np. od stopnia uporządkowania profilu odbiorcy, który obrazowałby uporządkowany tryb życia lub bardziej chaotyczny. Niektórzy odbiorcy wykazują niechęć do udostępniania danych pomiarowych informujących o ich zużyciu energii. Takie dane mogą pokazywać poziom zamożności lub specyficzny pobór energii przez tych klientów. Wyciek takich danych na zewnątrz do podmiotów nieupoważnionych jest zjawiskiem wysoce niepożądanym, ponieważ narusza ich prywatność. 9. Manipulacje w liczniku dokonywane przez klienta Ogólnie rzecz biorąc celem manipulacji dokonywanych przez klienta jest: · zaburzenie danych zapisanych w liczniku, · przekonfigurowanie ustawień i parametrów licznika, · zakłócanie transmisji danych, · podmiana oprogramowania wewnętrznego licznika tak, aby przekazywał on zaniżone wartości energii (w opracowaniach nt. AMI zwraca się uwagę, żeby podmiana oprogramowania wewnętrznego nie miała wpływu na własności metrologiczne liczników). Oczywiście modyfikacje konfiguracji w inteligentnym liczniku lub podmiana jego oprogramowania wewnętrznego są łatwe do wykrycia, jednak jeżeli operator obsługuje miliony liczników, to dokonywanie kontroli każdego z nich jest bardzo kłopotliwe. Ponadto trudno jest udowodnić klientowi, że to on przekonfigurował licznik 34 Nowe technologie energetyczne – mogła to być pomyłka pracownika OSD, której nie można wykluczyć w przypadku instalowania milionów liczników. Nieprawidłowa konfiguracja może również wynikać z błędów oprogramowania centralnego wykorzystywanego w siedzibie operatora lub nieprawidłowego zadziałania któregoś urządzenia pośredniczącego w przesyłaniu sygnału konfiguracyjnego. Nie można pociągnąć do odpowiedzialności odbiorcy, nawet jeżeli stwierdzi się w „jego” inteligentnym liczniku nieautoryzowane oprogramowanie wewnętrzne, ponieważ obecność takiego oprogramowania nie świadczy o winie klienta. Oprogramowanie mógł bowiem podstawić ktoś bez wiedzy klienta. Przykładowo hacker może podstawić własne oprogramowanie w inteligentnym liczniku odbiorcy, aby zakłócać pracę tego licznika lub aby móc dodatkowo manipulować tym licznikiem i utrudniać życie klientowi. Nawet jeżeli dokonanoby szczegółowej analizy oprogramowania licznika i jej wynik jednoznacznie sugerowałby, że licznik nieprawidłowo zlicza energię, to może to wynikać z działania niezależnego hackera, który może realizować swoje nielegalne działanie – złośliwe działanie na niekorzyść operatora. Inteligentne liczniki wykorzystują otwarte, powszechnie znane standardy protokołów komunikacyjnych. Dzięki temu można stosować zamiennie urządzenia różnych producentów. Z drugiej strony stosowanie takich protokołów, których szczegółową specyfikację można za darmo pobrać z Internetu, zwiększa podatność na ataki. Przykładowo jeden z dwóch najczęściej stosowanych w Polsce protokołów: IEC 61107 jest nieszyfrowanym protokołem tekstowym, w którym wykorzystano standardowe kody OBIS do opisu poszczególnych danych pochodzących z liczników. Stosowanie zamkniętych, autorskich protokołów jest korzystne, ponieważ dużo trudniej jest je złamać. Jednak wiąże się to z koniecznością uzależnienia się od producenta liczników, który jest jedynym znawcą protokołu. Taki wyłączny producent po pewnym czasie może zwiększać ceny wiedząc, że nie można kupić innych liczników, jak tylko te, pochodzące od niego. Stosowanie zamkniętych protokołów nie tyle uniemożliwia, co raczej utrudnia włamanie się do inteligentnego licznika. Do takiego włamania potrzebne są większe umiejętności niż ma to miejsce w przypadku liczników wykorzystujących otwarty protokół. Sygnalizuje się jednak, że klient może prowadzić nasłuch sygnałów dochodzących i wychodzących z licznika i posługiwać się tzw. inżynierią wsteczną [3]. Prowadzenie nasłuchu nie jest rzeczą nową ani skomplikowanym działaniem. Przykładowo jeżeli operator sieci dystrybucyjnej nie może komunikować się z jakimś licznikiem energii elektrycznej, to prowadzi się nasłuch – podgląd wymienianych sygnałów i komunikatów. Dzięki takiemu nasłuchowi można określić, co jest przyczyną braku komunikacji. Przykładowe przyczyny: · licznik nie odpowiada – sygnał albo nie dociera do licznika, albo licznik nie odpowiada, · nieprawidłowa komunikacja licznika, · nieprawidłowa konfiguracja portu szeregowego, · za mały bufor w module komunikacyjnym, · uszkodzony moduł komunikacyjny, · niektóre uszkodzenia licznika (określa je rejestr F.F.), · itp. Nr 154-155 35 Nowe technologie energetyczne Inżynieria wsteczna lub inżynieria odwrotna (ang. reverse engineering) jest to analiza gotowego produktu (urządzenia lub oprogramowania), która ma na celu ustalenie jak on dokładnie działa, a także w jaki sposób i jakim kosztem został wykonany. Celem może być również próba odpowiedzenia na pytanie: jak przebiegał proces jego tworzenia. Inżynieria wsteczna może być wykorzystywana w celu osiągnięcia pewnej funkcjonalności, przy ominięciu konsekwencji wynikających z praw autorskich lub patentów. Inżynieria taka może być stosowana w celu zapewnienia obsługi nieudokumentowanych standardów lub protokołów komunikacyjnych. W przypadku, kiedy mała liczba klientów będzie podejmowała próby manipulacji przy inteligentnym liczniku to nie powinno być problemów z dostawą energii. Jednak nawet wtedy zwiększy się zapotrzebowanie na energię, również w godzinach szczytowych. Jeżeli jednak klienci na masową skalę będą podejmowali działania zmierzające do zakłócenia pracy liczników, zmniejszenia zliczania przez nich energii, w konsekwencji może doprowadzić to do tak znacznego zwiększenia zapotrzebowania w godzinach szczytowych, że w konsekwencji dojdzie do przeciążenia systemu elektroenergetycznego i konieczne będą przymusowe wyłączenia – np. zadziałanie samoczynnego częstotliwościowego odciążania. Ataki klientów na system AMI spowodują większe zużycie energii w szczycie zapotrzebowania, kiedy cena energii dla przedsiębiorstw obrotu i niektórych klientów jest najwyższa. Spowoduje to zaniżenie przekazywanej informacji o zużyciu energii. Będzie to miało wpływ na planowanie zakupów energii na pokrycie bieżącego zapotrzebowania. Jeżeli tylko kilku klientów będzie manipulować przy swoich licznikach, to nie będzie poważniejszego problemu. Jeżeli jednak włamywanie się do liczników będzie łatwe i powszechne, to może to znacząco oddziaływać na system elektroenergetyczny. Ważnym czynnikiem, od którego zależy nasilenie ataków jest określenie, jak bardzo powszechne staną się ataki klientów. Jeżeli bowiem atak będzie możliwy dla klientów posiadających umiarkowane umiejętności techniczne i klienci będą z tego korzystać, to znacznie wzrośnie zagrożenie dla systemu elektroenergetycznego. Należy pamiętać, że cena energii powoduje, że odbiorcy ograniczają pobór energii. W przypadku dopuszczenia do manipulowania przy liczniku przez odbiorcę, którego działanie doprowadzi do niezliczania pewnej części pobieranej energii, w konsekwencji spowoduje to zwiększenie zużycia energii przez konsumentów oraz większe marnotrawienie energii. 10. „Sabotaż” pracownika OSD Zaawansowana infrastruktura pomiarowa jest przeznaczona m.in. do podejmowania działań w celu zmniejszenia obciążenia szczytowego oraz w celu zminimalizowania kosztów energii na rzecz przedsiębiorstw energetycznych oraz klientów końcowych. Poufne porozumienie wtajemniczonego pracownika operatora sieci dystrybucyjnej z zarządem elektrowni wraz z wykorzystaniem AMI mogą służyć do zarabiania pieniędzy. Pracownik w przedsiębiorstwie dystrybucyjnym będzie wykorzystywał AMI do zwiększenia zużycia energii w szczycie obciążenia, tworząc tym samym zwiększone zapotrzebowanie na wytwarzanie energii. Działanie takie na dużą skalę spowoduje na rynkach hurtowych zwiększenie cen w stosunku do tych, które obo36 Nowe technologie energetyczne wiązywałyby bez działań powodujących wzrost obciążenia sieci. Wytwórcy energii będą zatem zarabiali więcej pieniędzy i w ramach rekompensaty mogą podzielić się nadwyżką z osobą, która przyczyniła się do zwiększenia zapotrzebowania na energię [3]. Cechy charakterystyczne takich działań: · działania takie służą do zarabiania pieniędzy; nie powodują ingerencji w AMI, · wysoki poziom ukrywania takich działań – są one trudne do wykrycia, · wystarczą niskie umiejętności informatyczne i internetowe: są to nadużycia systemu AMI, a nie cyberataki, · czas realizacji w miesiącach, · podmiotem poszkodowanym jest klient, który musi płacić wyższą cenę za energię lub przedsiębiorstwo obrotu, jeżeli stosuje ono zryczałtowane stawki za energię dla klientów końcowych, a samo musi energię kupować na rynkach hurtowych. Osoba wtajemniczona może mieć dostęp do jednego lub wielu miejsc w systemie AMI. Taki pracownik może kontrolować cały system AMI i mieć dostęp do całego systemu AMI. Zagrożenie zwiększa się, jeżeli osoba wtajemniczona współpracuje z wytwórcami energii w celu zawyżania zapotrzebowania na energię w ramach tej samej grupy kapitałowej lub koncernu energetycznego. W takim przypadku działa na szkodę odbiorców, a nie na szkodę przedsiębiorstwa energetycznego. Osoba wtajemniczona może wykorzystać swój dostęp do stacji centralnej systemu AMI, w tym do mechanizmów odpowiedzialnych za tworzenie informacji o cenach. Taki pracownik mógłby, jako operator lub inżynier, zmodyfikować funkcję odpowiedzialną za zmianę ceny wyświetlanej u odbiorców końcowych. Takie działanie jest bardzo problematyczne. Oprogramowanie AMI nie powinno umożliwiać modyfikowania takich funkcji odpowiedzialnych za informowanie o cenach ani o przepływach energii w systemie. Jeżeli jednak istnieje interfejs do modyfikacji takich funkcji, to osoby wtajemniczone nie muszą mieć dużej wiedzy technicznej do wykonania takiego ataku. Osoba wtajemniczona będzie posiadała fizyczny lub nawet administracyjny dostęp do systemu AMI [3]. W przeciwieństwie do ataku przeprowadzonego przez klienta, w rezultacie ataku osoby wtajemniczonej nie będzie spadku rentowności przedsiębiorstwa dystrybucyjnego. Takie działania skutkują sztucznie zawyżonymi kosztami energii dla klientów. Jednakże cena dla klientów może być regulowana przez organ regulacyjny energetyki, a ten może nie wyrazić zgody na przenoszenie takich, zawyżonych kosztów na klienta. W konsekwencji przedsiębiorstwo obrotu będzie działało ze stratą finansową, ponieważ będzie musiało kupować energię na rynku hurtowym po zawyżonych cenach. Niewątpliwym dodatkowym skutkiem w przypadku zawyżenia ceny dla klienta, będzie jego niezadowolenie. W przypadku wykrycia działalności osoby wtajemniczonej wiązałby się z przeprowadzeniem odpowiedniego postępowania wyjaśniającego. Jeżeli działania takie byłyby w grupie energetycznej lub koncernie energetycznym, to w konsekwencji mogłoby dojść do bankructwa lub restrukturyzacji przedsiębiorstwa obrotu, które nie mogłoby już działać z powodu konsekwencji finansowych wynikających z przeprowadzanych ataków. Dotychczasowi ich klienci, którzy przestaliby darzyć zaufaniem takie przedsiębiorstwa obrotu, po prostu zmieniliby sprzedawcę energii. Nr 154-155 37 Nowe technologie energetyczne 11. Działania terrorystyczne Przedsiębiorstwa energetyczne planują wykorzystywać AMI do wielu celów: · redukcji szczytowego obciążenia systemu, · dynamicznego modelowania obciążenia w czasie rzeczywistym, · wykrywania awarii (zwarć) i raportowania oraz · do wielu innych celów. Możliwość redukcji obciążenia jest jedną z głównych funkcji AMI, należy to rozpatrywać w relacji żądanie-odpowiedź systemu. Jest zatem oczywiste, że przedsiębiorstwa energetyczne wykorzystujące AMI będą spodziewać się, że osiągną redukcję obciążeń szczytowych. Jest to bardzo prawdopodobne, jeżeli będą wykorzystywane systemy takie jak zarządzanie popytem DSM (ang. Demand Side Management) lub bezpośrednie sterowanie odbiorami DLC (ang. Direct Load Control). Już w 1997 roku odkryto lukę w zabezpieczeniach systemu komunikacyjnego, która pozwoliła atakującemu, który ma fizyczny dostęp do węzła, na wysyłanie sygnałów do wszystkich innych węzłów [3]. Prezes URE w dokumencie opisującym minimalne wymagania AMI wdrażanych w przedsiębiorstwach energetycznych, funkcjonalność sterowania odbiorami charakteryzuje w następujący sposób [9]: Udział odbioru statystycznie rozproszonego w kształtowaniu krzywej obciążenia w najbardziej newralgicznych godzinach roku jest bezsporny. (...) istnieje więc zapotrzebowanie na wyposażenie odbiorców, oprócz „inteligentnego licznika” również w narzędzie, które pozwoli w sposób zautomatyzowany przenieść napływające z systemu sygnały na konkretne działania w zakresie wykorzystania posiadanych odbiorników, bez ingerencji w ich konstrukcję ani w instalację domową. Przykładowo osoba atakująca może wykorzystać DSM do wysyłania sygnałów wyłączenia wszystkich sterowanych urządzeń klienta. Po wystarczająco długim czasie, po którym wszystkie urządzenia powinny zostać wyłączone, atakujący może wysłać sygnał do włączenia wszystkich urządzeń jednocześnie. Spowoduje to maksymalne możliwe obciążenie szczytowe systemu, które będzie narastać w bardzo krótkim czasie. W konsekwencji będzie to miało wpływ na dużą część sieci elektroenergetycznej [3]. W przypadku ataku na AMI podkreśla się, że niektóre rozwiązania AMI nie mają możliwości bezpośredniego sterowania obciążeniem. W nich atakujący może wysłać nieprawidłową cenę energii (lub ustawić droższą strefę czasową) do klienta i dopiero na podstawie takiej informacji niektóre urządzenia mogą zostać wyłączone. Po takiej redukcji obciążenia i ustabilizowaniu się pracy systemu osoba atakująca może wysłać nową informację o cenie (obowiązującej strefie czasowej) i w ten sposób inteligentne liczniki masowo uruchomią wiele odbiorników u wielu klientów. Obecnie trudno jest dokładnie przewidzieć skutki wpływu gwałtownego wzrostu obciążenia szczytowego na dużą część sieci elektroenergetycznej. Przedsiębiorstwa dystrybucyjne i agencje regulacyjne nie są zainteresowane wdrożeniami AMI, jeśli zaawansowana infrastruktura pomiarowa nie mogłaby mieć pozytywnego wpływu na pracę sieci elektroenergetycznej. Taka możliwość przecież nie oznacza automatycznie negatywnego wpływu AMI na sieć, jeżeli nadużywa się funkcjonalności AMI [3]. 38 Nowe technologie energetyczne Wpływ ataków terrorystycznych na AMI może powodować niestabilność pracy systemu elektroenergetycznego, powszechne awarie i uszkodzenia sprzętu. 12. Administratorzy i inżynierowie systemowi Działanie mające dokonać manipulacji danych może być dokonane również przez inżyniera systemowego lub administratora baz danych. Wystarczy, że zorientowaliby się oni w której tabeli przechowywane są dane pomiarowo-rozliczeniowe i wtedy mieliby oni możliwość manipulowania takimi danymi. Obecnie w Polsce u operatorów sieci dystrybucyjnych często stosowane są relacyjne bazy Oracle, które umożliwiają rejestrowanie tak dokonywanych zmian. Jednak ze względu na to, że bazy te są bardzo przeciążone podczas okresowych przeliczeń, zwłaszcza dokonywanych w celu dokonania rozliczenia całego okresu rozliczeniowego, dość często rezygnuje się z rejestrowania modyfikacji dokonywanych przez administratorów baz oraz przez inżynierów systemowych. Nawet jeżeli dokonywany jest rejestr zmian dokonywanych na bazie danych, to zajmuje on bardzo wiele miejsca, dlatego okresowo musi być archiwizowany lub kasowany. Zmniejsza to prawdopodobieństwo znalezienia osoby odpowiedzialnej za manipulację danych. 13. Dostęp trzeciej strony Niebagatelnym zagadnieniem w kwestii bezpieczeństwa cyfrowego zaawansowanej infrastruktury pomiarowej jest tzw. dostęp trzeciej strony. Okazuje się bowiem, że to nie tylko wtajemniczony pracownik przedsiębiorstwa dystrybucyjnego może zautoryzować swój dostęp do AMI i dokonać w nim pewnych zmian. Wśród innych podmiotów można wyliczyć: · Dostawca rozwiązania AMI i jego poddostawcy, · Producenci liczników i koncentratorów, · Firma informatyczna dostarczająca oprogramowanie, · Firmy świadczące usługi outsourcingowe (ang. outside-resource-using – korzystanie z zasobów zewnętrznych) – ze względów finansowych część prac przedsiębiorstwa dystrybucyjnego, dostawcy AMI lub przedsiębiorstwa IT może być realizowane przez inne firmy, które te same prace wykonają taniej i skuteczniej, · Wynajmowani pracownicy, zwłaszcza przez przedsiębiorstwo informatyczne; rzadko kiedy stać dostawcę rozwiązań AMI do zatrudnienia wysoko wykwalifikowanego personelu – zwłaszcza informatyków. Utrzymanie ich pochłaniałoby znacznie budżet przedsiębiorstwa. Dlatego czasem są oni wynajmowani od innych przedsiębiorstw na czas realizacji określonego projektu. Dzięki temu nie są oni stałym kosztem przedsiębiorstw – dostawców AMI, a w razie potrzeby ich kwalifikacje mogą zostać wykorzystane, · Byli pracownicy przedsiębiorstwa dystrybucyjnego, dostawcy AMI lub przedsiębiorstwa informatycznego. Ze względu na to, że bardzo wiele osób będzie znało sposoby dokonywania autoryzacji i autoryzacji dostępu oraz stosowane zabezpieczenia itp., należy bardzo skrupulatnie rozważyć politykę bezpieczeństwa, aby zmniejszyć liczbę możliwych Nr 154-155 39 Nowe technologie energetyczne „kanałów” dojść do manipulacji konfiguracją i ustawieniami urządzeń pomiarowych lub do baz danych i systemów pomiarowo-rozliczeniowych. 14. Zasady zarządzania bezpieczeństwem cyfrowym W ramach zarządzania bezpieczeństwem infrastruktury systemów AMI powinny być stosowane m.in. następujące zasady [6]: · poufność transakcji – komunikacja urządzeń i aplikacji działających w ramach współpracy z systemem powinna być zawsze szyfrowana, · identyfikacja i autoryzacja elementów systemu na wszystkich jego warstwach, · każda zmiana konfiguracji systemu wymaga weryfikacji pod względem zgodności z polityką bezpieczeństwa, · nie spełnienie norm polityki bezpieczeństwa systemu powinno powodować fizyczne odłączenie systemu od sieci, · decyzję o dołączeniu lub odłączeniu systemu powinny podejmować osoby do tego upoważnione. 15. Rekomendacje Sugerowane jest również przyjęcie następujących zaleceń [3]: 1. Przyjęcie otwartego referencyjnego standardu dla inteligentnych liczników, 2. Wymuszanie pełnego wdrożenia standardów bezpieczeństwa w inteligentnych licznikach przez ich producentów, 3. Uwierzytelnianie wszystkich poleceń (komend) przesyłanych z aplikacji nadrzędnej do punktu końcowego u klienta, 4. Uwierzytelnianie wszystkich raportów i paczek danych przesyłanych z punktu końcowego u klienta do aplikacji nadrzędnej, 5. Ochrona aplikacji centralnej w taki sposób, jakby to były cyfrowe zasoby krytyczne, 6. Wdrożenie wykrywania włamań z kontrolą integralności oprogramowania systemów i aplikacji nadrzędnych, 7. Wykonywanie często, nieregularnie audytów, podczas których dokona się sprawdzenia czy stan wyjść (dane wyjściowe) aplikacji nadrzędnej odzwierciedlają stan wejść (dane wejściowe), 8. Zastosowanie silnego uwierzytelniania użytkowników korzystających z aplikacji nadrzędnej oraz rejestrowanie wszystkich działań tych użytkowników, 9. Wdrożenie separacji sieci, silnych zapór (ang. firewall) i ograniczonej listy kontroli dostępu do rutera w sieci AMI, 10. Wdrożenie mocnej separacji i ustalenie elektronicznych granic bezpieczeństwa pomiędzy siecią AMI i innymi systemami takimi jak EMS, 11. Wdrożenie odpowiedniej logiki bezpieczeństwa, aby zapobiec szybkim zmianom w informacjach o cenach wysyłanych aplikacji nadrzędnej do punktu końcowego klienta. 16. Wnioski i konkluzje Zagadnienie bezpieczeństwa cyfrowego zaawansowanej infrastruktury pomiarowej jest zagadnieniem bardzo złożonym. Łańcuch jest tak silny, jak najsłabsze ogniwo. 40 Nowe technologie energetyczne Podobnie jest z kwestią bezpieczeństwa cyfrowego. Dlatego nie można zaniedbać zabezpieczenia żadnego z obszarów. Ponadto bardzo ważnym zagadnieniem jest zapewnienie bezpieczeństwa cyfrowego oraz poufności danych przez przedsiębiorstwa wdrażające rozwiązania AMI, pracowników firm informatycznych oraz byłych pracowników przedsiębiorstwa dystrybucyjnego. Należałoby opracować odpowiednie standardy zapewnienia bezpieczeństwa w różnych częściach AMI, stosować szyfrowaną transmisję danych oraz wymagać od kooperantów gwarancji zachowania poufności. Zagadnienie bezpieczeństwa inteligentnej sieci pojawia się niejako obok dyskusji o zaletach i korzyściach zaawansowanych technologicznie rozwiązań informatycznych w sektorze elektroenergetycznym. Nie jest to temat nowy. Problematyka z nim związana będzie dynamicznie ewoluowała w zależności od wdrożonych rozwiązań, przyjętych standardów oraz doświadczeń związanych z działalnością cyberprzestępców oraz eliminowania jej skutków. 17. Literatura [1] Billewicz K., Problematyka bezpieczeństwa informatycznego w inteligentnych sieciach, Konferencja APE 2011, T. 2, str. 115-120. [2] Flick T., Morehouse J., Securing the Smart Grid, Next Generation Power Grid Security, 2011 Elsevier Inc. [3] Parks R.C., Advanced Metering Infrastructure – Security Considerations, SANDIA REPORT, Sandia National Laboratories, November 2007. [4] Sioshansi F., Smart Grid, Integrating Renewable, Distributed and Efficient Energy, Academic Press, 2012 Elsevier Inc. [5] Wiewiórowski W., GIODO: Trzeba informować klienta o tworzeniu jego profilu, www.lex.pl, 2011-06-05. [6] Wilczyński A., Tymorek A., Rola i cechy systemów informacyjnych w elektroenergetyce, Rynek energii, 2(87)/2010. [7] Concerning Privacy and Smart Grid Technology, The Smart Grid and Privacy – epic.org/privacy/smartgrid/smartgrid. html. [8] U.S. Department of Energy Office of Electricity Delivery and Energy Reliability, Study of Security Attributes of Smart Grid Systems – Current Cyber Security Issue, April 2009 – http://www.inl.gov/scada/publications/d/securing_thesmart _ grid_current_issues.pdf. [9] URE, Stanowisko Prezesa URE w sprawie niezbędnych wymagań wobec wdrażanych przez OSD E inteligentnych systemów pomiarówo-rozliczeniowych z uwzględnieniem funkcji celu oraz proponowanych mechanizmów wsparcia przy postulowanym modelu rynku, Warszawa, 31.05.2011. [10] The integrated energy and communication systems architecture, EPRI, Palo Alto, CA and Electricity Innovation Institute, Palo Alto, CA: 2003; www.intelligrid.info. Źródło: Referat o skróconej treści artykułu został wygłoszony na XVI Konferencji Naukowo-Technicznej SEP Busko 2012, 11 maja 2012 r. Nr 154-155 41