Cyberataki na sieci energetyczne za pomocą urządzeń IoT - wątek Polski
O cyberatakach wymierzonych w sieci dystrybucji energii (sieci energetyczne) mówi się coraz częściej. Mają one miejsce. Najbardziej znane to oczywiście te na Ukrainie (2015, 2016), gdzie cyber operacje doprowadziły do odcięcia prądu tysiącom odbiorców.
Infrastruktury energetyczne, będące częścią infrastruktury krytycznej faktycznie są podatne na cyberataki. Nie oznacza to, że takie ataki są łatwe. Wręcz przeciwnie - bardzo się różnią od większości “cyberataków”, tych o których można przeczytać w serwisach internetowych czy mediach. Technicznie rzecz biorąc ataki na infrastrukturę energetyczną są jednak możliwe. Włączając w to możliwość by za pomocą cyber operacji doprowadzić do przerwania dystrybucji energii na znacznych obszarach krajów. W niektórych przypadkach - być może łącznie z trwałym uszkodzeniem elementów infrastruktury (generatory, transformatory, itd), co również jest możliwe.
Upraszczając, system energetyczny składa się ze źródeł (produkcja energii - elektrownie), systemów przesyłowych (linie wysokiego, średniego, niskiego napięcia itd.), dystrybucji, oraz urządzeń końcowych i konsumenckich. Ataki możliwe są na każdą z tych warstw, każde z takich scenariuszy są ciekawe (różnią się podejściem i stopniem skomplikowania/trudności). Niektóre były też badane i nawet testowane w praktyce, w warunkach kontrolowanych. W innych sytuacjach - bez zgody odbiorców i operatorów energii.
Tu jednak skupiam się na problemie innym. Piszę o ciekawych badaniach poświęconych teoretycznym, przyszłym rodzajom ataków na urządzenia konsumenckie; co ciekawe, pojawia się w nim wątek polski. Nie będzie jednak mowy wprost o cyber operacjach w infrastrukturę systemu energetyczny.
Standardy bezpieczeństwa sieci energetycznych kierują się zasadą, że zapotrzebowanie na energię powinno (mniej-więcej) odpowiadać energii dostarczanej. Przy takiej równowadze systemy energetyczne działają stabilnie. Jest ona potrzebna, m.in. dlatego że nie istnieją środki do magazynowania ilości energii na dużą skalę. System jest zatem dynamiczny. Ataki na sieci energetyczne skupiają się więc na złamaniu tej równowagi. W niektórych z rozważanych scenariuszy, w wyniku takich prób mogłoby dojść nawet do przeciążenia sieci - oraz black outu (długotrwałej awarii zasilania).
W normalnych warunkach operatorzy energetyczni starają się by ilość energii przesyłana odpowiadała zapotrzebowaniu konsumentów. Zapotrzebowanie to przewiduje się uwzlędniając różne informacje, np. śledząc prognozy pogody, zużycie historyczne (w oparciu o dane dziennie, godzinowe, itd).
Problem polega na tym, że wkrótce te analizy i założenia mogą przestać być prawdziwe. Dlaczego? Stanie się tak w miarę rozpowszechniania urządzeń cechujących się dość dużym poborem energii (np. klimatyzatory - 1 kW; grzejniki - 1,5 kW; piecyki elektryczne - 4 kW), a jednocześnie podłączonych do sieci innej niż energetyczna - internetu. Chodzi więc o świat klimatyzatorów w ramach Internetu Rzeczy (IoT) i termostatów z dostępem przez sieć internet.
By bardziej obrazowo wyjaśnić w jaki sposób wiele urządzeń może doprowadzić do takich szkód, za autorami posłużę się analogią. Wystarczy sto tysięcy grzejników włączonych w jednej chwili, by z punktu widzenia sieci energetycznej zabrakło 1 GW mocy (odpowiednik elektrowni jądrowej). I tu powstają scenariusze ataków manipulacji popytem na energię za pomocą potencjalnie zhakowanych urządzeń Internetu Rzeczy (lub ich paneli kontroli), które potencjalnie mogą zakłócić działanie znacznych części sieci energetycznej
Jednym z takich ataków jest manipulacja częstotliwością sieci. Polega ona na synchronicznym, zdalnym włączaniu i wyłączaniu takich zhakowanych urządzeń IoT. Spowoduje to brak zbilansowania popytu i podaży energii, doprowadzając do nagłego spadku częstotliwości sieci. Po przekroczeniu poziomu bezpieczeństwa nastąpi przerwanie dostarczania energii. Ile potrzeba urządzeń by doprowadzić do takiego ataku? W zależności od architektury sieci energetycznej chodzi o ich dziesiątki tysięcy (dla porównania, niedawny malware VPNFilter kontrolował ok 500 tys routerów). Atak taki mógłby działać, bo manipulacje urządzeniami są z założenia zsynchronizowane.
Cyberatak na polską sieć energetyczną? ;-)
W badaniach tych posłużono się także modelami polskiej sieci energetycznej z 2008, gdzie w szczytowym zapotrzebowaniu potencjalny wzrost o 1% na zapotrzebowanie energii doprowadziłby do szerokiego black outu. Tutaj badacze zaliczają drobną wtopę, bo do obliczeń posłużyli się hipotetyczną liczbą zhakowanych 210 tys klimatyzatorów (1.5% wszystkich gospodarstw domowych w Polsce). Obliczenia są prawidłowe, tylko że w 2008 nie było w Polsce takiej liczby klimatyzatorów (ani nie ma w 2018).
Nie mas to jednak wpływu na całość hipotetycznego scenariusza ataku. Ma na uwadze przyszłość, a analiza ta jest całkiem rozsądna.
Ciekawe jest jednak i to, że w ramach symulacji sieć energetyczna w Polsce z 2004 okazała się bardziej odporna niż schemat sieci z 2008, gdzie padłoby 263 linii, a w wyniku takiego ataku przerwa w dostawie prądu dotknęłaby 86% odbiorców w Polsce. Osobiście nie potrafię powiedzieć skąd taka zmiana (w sieci), ale nie ma to specjalnie znaczenia dla tego ataku. Inną sprawą jest, że ten poziom 1% dotyczy także innego rodzaju ataków (których tu nie rozważam).
Skąd w tych badaniach Polska? Polska jako jeden z niewielu krajów udostępnia szczegółowy schemat sieci energetycznej publicznie. Zdecydowanie przydaje się to w pracy badawczej, jak widać - także takiej ;)
Atak ekonomiczny
Innym atakiem jest modulowanie zapotrzebowaniem na energię tak aby nie doprowadzić do black outu - ale by wymagane było zaangażowanie generatorów zapasowych (np. z zagranicy). Taki atak zwiększyłby koszt generacji energii o ok. 20%.
Atak ciągły
Ataki takie mogą sprawić problemy przy przywracaniu systemu energetycznego. Scenariusze ataków ciągłych cechuje ciekawa właściwość. Trudno byłoby je wykryć operatorom energii.
Wynika to z faktu, że mówimy o atakach za pomocą zhakowanych urządzeń konsumenckich. Urządzenia takie nie są pod kontrolą operatorów sieci energetycznych, ci mogą nawet nie wiedzieć o ich istnieniu. Co się dzieje, gdy urządzenia takie nie działają? Ich użytkownicy nie dzwonią do operatora energii, a raczej do serwisu gwarancyjnego urządzenia. Jeśli w ogóle wpadną na taki pomysł, bo np. atak za pomocą termostatu byłby przez użytkowników indywidualnych trudny do zauważenia (naturalne jest, że termostaty działają dynamicznie).
Operatorzy energii mogą mieć więc problem z detekcją. Co więcej, po wystąpieniu anomalii, czy nawet awarii zasilania - system energetyczny zawsze przywraca się stopniowo, sukcesywnie włączając elementy sieci (a nie wszystko na raz). Rozważany atak na urządzenia może być tak przeprowadzony, by przywrócenie sieci powiodło się łatwo.
Podsumowanie
Ryzyko takiego ataku w przewidywalnej przyszłości oceniam jako niskie. Jest to atak hipotetyczny. Scenariusz ten jest jednak nie tylko ciekawy badawczo. Jest istotny. Jeszcze kilka lat temu nie było powodów (i uzasadnienia) by go rozważać. Sytuacja ulega jednak szybkim zmianom, m.in. z powodu coraz popularniejszych urządzeń IoT, które kontrolują inne urządzenia pobierające znaczne ilości energii. To w połączeniu z ryzykiem zhakowania tych urządzeń na skalę masową - jest nową jakością. Sieci energetyczne nie były projektowane z myślą o cyberatakach, co dopiero o takich scenariuszach. Warto mieć też na uwadze, że "rynek urządzeń IoT" (i zagrożeń) rozwija się szybko, a architektury sieci energetycznych - dużo wolniej. Z "polskiego punktu widzenia" to że znajomi z Princeton wykorzystali w scenariuszu schemat polskiej sieci energetycznej jest dla kraju korzystny. To dobry moment na refleksję. Szeroką.
Innym ciekawym następstwem takiego cyberataku jest to, że formalnie nie podlega on pod definicje unijnej dyrektywy NIS, znanej w Polsce pod nazwą Ustawy o Krajowym Systemie Cyberbezpieczeństwa (moja krytyczna recenzja tutaj). Warto o tym pamiętać przy przyszłych pracach.
Na świecie coraz więcej mówi się o operacjach wymierzonych w infrastrukturę krytyczną, infrastruktury energetyczne. Ten czy inny kraj ma budować lub mieć zdolności, przeprowadzać testy, kontrolować infrastrukturę tego czy innego kraju. W tym lub innym kraju politycy, generałowie czy (mniej lub bardziej) eksperci mówią o atakach, podatnościach, czy ryzykach. Często mało w tych dyskusjach miejsca na fakty. Informacje takie podlegają także naturalnemu procesowi wyolbrzymień. Te zdarzają się one także w Polsce, gdzie metody czy zasoby krytycznej analizy są często ograniczone, czasem jedynie do przeczytania fragmentu tekstu w prasie zagranicznej, po czym tłumaczenia i rozpowszechniania utraciwszy już kontekst. Nie zawsze wychodzi to fortunnie.
Publikacja badawcza grupy Princeton znajduje się tutaj.