طرق جديدة لتحليل مخاطر الأمن السيبراني في أنظمة الطاقة الكهربائية الفيزيائية السيبرانية.
إن زيادة كهربة المجتمع والحاجة إلى إدارة الموارد الجديدة (مثل مصادر الطاقة المتجددة والموارد المرنة) والأحمال الجديدة (مثل السيارات الكهربائية) تغيير نظام الطاقة الكهربائية.
النظام الرقمي، لوحة الدوائر المطبوعة – صورة توضيحية. مصدر الصورة: Bermix Studio عبر Unsplash، ترخيص مجاني
ويتزايد نطاق أجهزة الاستشعار والاتصالات والأتمتة، كما أصبحت مراقبة شبكة الطاقة الكهربائية والتحكم فيها أكثر نشاطًا ورقمنة. والنتيجة هي نظام الطاقة الكهربائية المادية السيبرانية حيث يعتمد تشغيل نظام الطاقة المادية بشكل متزايد على البيانات المنقولة عبر الشبكات الرقمية.
يؤدي هذا التطور إلى زيادة عدد نقاط الدخول المحتملة للمهاجم ويجعل حماية الأنظمة أكثر صعوبة. كما أن المجتمع أصبح أكثر اعتماداً على الطاقة الكهربائية من أي وقت مضى، وقد تصبح عواقب أي هجوم إلكتروني ناجح على الأنظمة الرقمية المتفاعلة كارثية.
ولذلك، نحن بحاجة إلى أساليب مناسبة لتقييم وتقليل مخاطر الأمن السيبراني في أنظمة الطاقة الكهربائية المادية السيبرانية. وفي مشروع InterSecure، قامت شركات SINTEF Energi وSINTEF Digital وNTNU وProactima بتطوير مثل هذه الأساليب بالتعاون مع شركات الشبكات والسلطات النرويجية.
ما هو نظام الطاقة الكهربائية الفيزيائية السيبرانية؟
نحن نفهم النظام المادي السيبراني كنظام من المكونات المادية التي يتم التحكم فيها عبر الشبكات الرقمية.
عادة، الطاقة الكهربائية الفيزيائية السيبرانية الشبكات تسمى الشبكات الذكية. ويؤكد هذا الاسم على الإمكانيات المعززة للذكاء، أي التحكم والمراقبة والأتمتة، التي يتم جلبها إلى الشبكات الكهربائية عندما تكون مرتبطة بشكل متزايد بالشبكات الرقمية.
ما الذي يقلق مشغلي الشبكة اليوم؟
تعمل الشبكة الذكية الناشئة، مع ترابطها المتزايد وتبادل البيانات، على زيادة عدد الجهات الفاعلة وأصحاب المصلحة في تشغيل أنظمة الطاقة. من المحتمل أن يتسبب هذا في العديد من التهديدات ونقاط الضعف الجديدة أو المتغيرة.
كشفت المناقشات في المشروع عن بعض المصادر الرئيسية للتهديدات ونقاط الضعف التي تقلق مشغلي الشبكة اليوم، والتي من المتوقع أن تصبح أكثر أهمية في المستقبل:
- الشبكات الرقمية الموسعة التي تزيد من عدد نقاط الدخول المحتملة للمهاجمين السيبرانيين،
- التكنولوجيا والمكونات والأنظمة الجديدة التي يتم تقديمها بسرعة،
- اتصالات جديدة بين أنظمة تكنولوجيا المعلومات الإدارية وأنظمة التحكم التي تزيد من تدفق البيانات عبر الأنظمة،
- زيادة تعقيد النظام،
- المزيد من الواجهات بين التطبيقات أو الأنظمة المترابطة، و
- الاعتماد على الخدمات الرقمية من الموردين الخارجيين.
ويجب أن تكون شركات الشبكات قادرة على فهم المخاطر الجديدة والتعامل معها بسبب تطورات النظام هذه.
ما نوع الأساليب التي يحتاجها مشغلو الشبكة لمعالجة مخاوفهم؟
يقوم مشغلو الشبكة في المشروع بتأمين أنظمتهم وإدارة المخاطر وفقًا للوائح الحالية. اللوائح الرئيسية ذات الصلة هي Energiloven وKraftberedskapsforskriften وSikkerhetsloven.
علاوة على ذلك، يقوم مشغلو الشبكة بجمع واستخدام معلومات التهديد المحدثة من المنظمات التي تقدم خدمات الإخطار، مثل KraftCERT وPST (خدمة أمن الشرطة النرويجية) وNSM (هيئة الأمن القومي النرويجية).
على الرغم من أن مصدر الطاقة يمكن الاعتماد عليه اليوم، واللوائح الحالية وممارسات إدارة المخاطر راسخة، فإن مشغلي الشبكة ليسوا مجهزين بشكل جيد للتعامل مع المصادر الجديدة للتهديدات ونقاط الضعف الموضحة في القسم السابق.
لا تركز إدارة مخاطر أنظمة الطاقة التقليدية على تحديد الطبيعة المتعمدة لحوادث الأمن السيبراني، أو نقاط الدخول واسعة النطاق بسبب الطبيعة بعيدة المدى للشبكات الرقمية، ولا نقاط الضعف أمام المهاجمين السيبرانيين الذين يستغلون نقاط الدخول هذه.
كما يتم تنفيذ مخاطر الأمن السيبراني وتحليل المخاطر التقليدية بشكل منفصل. هذا النهج ليس الأمثل، لأنه لا يتيح تقييم نقاط الضعف المحتملة بسبب ترابط النظام والترابط والتعقيد.
فيما يلي وصف موجز لطرق تقييم المخاطر التي تم تطويرها في مشروع InterSecure.
إطار لتقييم مخاطر أنظمة الطاقة الكهربائية الفيزيائية السيبرانية
يعتمد الإطار على معايير ISO 31000 وNS 5814. إنه لا يركز على النظام المادي فحسب، بل على نظام الأنظمة بأكمله المتضمن في تشغيل الشبكات الذكية.
في الواقع، مع تطور الشبكات الذكية وتزايد تعقيد النظام، سيكون من غير المجدي محاولة فهم النظام بأكمله وكيفية ارتباط جميع العناصر وتفاعلها. إن الحجم الهائل للنظام وتعقيده سيجعل هذا الأمر مستحيلاً.
ولذلك، يجب معالجة إدارة مخاطر النظام من منظور أعلى مستوى، قبل التركيز على أقسام أو مجالات مختلفة من النظام.
كجزء من مشروع InterSecure، تم اقتراح إطار لإدارة المخاطر يتيح اتباع نهج أكثر تكرارية لإدارة مخاطر الأنظمة الاجتماعية التقنية المعقدة، مثل الشبكات الذكية.
ويتبع الإطار هيكل "التخطيط، والتنفيذ، والتحقق، والتصرف" الشائع في أطر إدارة المخاطر. وتتكون من ثلاث مراحل رئيسية: التخطيط والتقييم والإدارة بالإضافة إلى ثلاث مراحل مستمرة للاتصال والتشاور، والتسجيل وإعداد التقارير، والرصد والمراجعة.
الشكل 1: إطار إدارة المخاطر المقترح لتفاعل الأنظمة الرقمية في الشبكات الذكية
الهيكل العام لإطار إدارة المخاطر هو عملية تكرارية. ويشمل ذلك النظر في التعقيد داخل النظام، وبدلاً من محاولة فهم النظام بأكمله ووضع نموذج له، فإنه بدلاً من ذلك يتخذ نهجًا تدريجيًا من أعلى إلى أسفل.
يتيح ذلك معالجة النظام أولاً من منظور رفيع المستوى ومن ثم يصبح أكثر دراية بمجالات ومخاطر النظام المختلفة، وإيجاد المستوى المناسب لإدارة المخاطر المختلفة.
نمذجة التهديد
إن نمذجة التهديدات للأنظمة الرقمية المتفاعلة هي تمرين لتحليل كيفية مهاجمة برنامج أو نظام بهدف الحماية من مثل هذه الهجمات. على الرغم من وجود عدة طرق، إلا أن إحدى الطرق الأكثر شهرة هي STRIDE (الانتحال، والتلطيف، والتنصل، والكشف عن المعلومات، ورفض الخدمة، ورفع الامتيازات).
تبدأ STRIDE بإنشاء نموذج للنظام لتصور كيفية ونوع البيانات التي يتم نقلها بين الأجزاء المختلفة للنظام. على سبيل المثال، يظهر في الشكل 2 جزء من النموذج المستخدم في InterSecure. وبناءً على هذا النموذج، يتم تحديد التهديدات (أي الهجمات المحتملة) للأجزاء المختلفة من النظام.
للمساعدة في عملية نمذجة التهديدات STRIDE، قامت Microsoft بتطوير أداة Microsoft Threat Modeling. توفر هذه الأداة واجهة مستخدم رسومية لبناء نموذج النظام وطريقة منظمة لتحديد التهديدات وتقييمها.
تم تصميم الأداة في الأصل نحو نمذجة التهديدات الخاصة بالبرمجيات، ولكن نظرًا لأن الأداة تتيح للمستخدمين إنشاء قالب خاص بهم، فقد قمنا بتكييف الأداة لتحديد التهديدات ضد الشبكة الذكية. هنا يمكنك العثور على القالب الذي تم تطويره.
الشكل 2: النموذج المستخدم في نمذجة التهديدات STRIDE
في هذا المشروع، قمنا بإجراء نمذجة التهديد لمحطة فرعية رقمية ثانوية لاختبار وإظهار استخدام الأداة في سياق الشبكة الذكية.
تم تحديد التهديدات الموجهة نحو المحطة الفرعية من كل فئة من الفئات، مسترشدة بفئات التهديد التي تشكل تذكير STRIDE. تم تحديد تهديدات الكشف عن المعلومات ورفض الخدمة باعتبارها التهديدات الأكثر أهمية ويرجع ذلك أساسًا إلى بساطة تنفيذ مثل هذه الهجمات.
والسبب هو أنه تم تقييم هذه التهديدات على أنها قد تكون لها عواقب خطيرة نسبيًا دون الحاجة إلى معرفة محددة أو أدوات متخصصة لتنفيذها.
محاكاة تأثير الاتصالات
الشكل 3: نموذج محاكاة التأثير في محاكي شبكة Mininet
لقد قمنا بتطوير نموذجي محاكاة للتحقق من التهديدات الأكثر أهمية (هجمات الاستنشاق والتوفر) التي تم تحديدها من خلال نمذجة التهديدات. يحتوي كلا النموذجين على طوبولوجيا تشتمل على محطتين فرعيتين رقميتين ومركز تحكم.
تم إنشاء النموذج الأول ضمن محاكي شبكة Mininet وتم اختياره كنموذج أساسي نظرًا لسهولة استخدامه وإمكانية نقله، حيث يتكون النموذج بأكمله من جهاز افتراضي واحد. يظهر مخطط النموذج الأول في الشكل 3.
تم إنشاء النموذج الثاني باستخدام أجهزة افتراضية منفصلة لكل مكون (وحدات RTU والبوابات وأجهزة التوجيه وجهاز المراقبة).
تم استخدام هذا النموذج فقط لاختبار الأداء أثناء هجمات رفض الخدمة حيث كانت نتائجه أكثر توافقًا مع الواقع عند مقارنتها بنموذج Mininet.
تم إجراء تقييم أداء النموذج ووصفه في المقالة "نمذجة التهديدات لمحطة فرعية ثانوية للشبكة الذكية". لم يتم النظر في هذا النموذج مرة أخرى بسبب تعقيده وعدم سهولة تصديره. يظهر مخطط النموذج في الشكل 4.
الشكل 4: نموذج محاكاة التأثير باستخدام الأجهزة الافتراضية
استخدم كلا نموذجي محاكاة التأثير اتصالات IEC 104 المطابقة للبيانات الواردة من المختبر الوطني للشبكة الذكية في تروندهايم.
يمكن لمشغلي الشبكة استخدام النتائج المكتسبة من اختبار نماذج المحاكاة لتحسين أمن الشبكة، على سبيل المثال، عن طريق ضبط الأجهزة الأمنية مثل جدران الحماية. تم تقديم النموذج الأول لجميع أعضاء مشروع InterSecure وتم عرضه أيضاً.
في هذا العرض التوضيحي، تمكن جميع المشاركين من تثبيت النموذج على أجهزتهم وتعلم التحكم الأساسي في النموذج في السيناريو المقدم. مظاهرة متاحة أيضا على يوتيوب .
تقييم نقاط الضعف وعواقب الفشل
تعتبر الشبكات الذكية أنظمة معقدة، لذا لا يمكن لأي نموذج أو إطار عمل واحد أن يكشف عن جميع نقاط الضعف. وبالتالي، هناك حاجة لمجموعة مختارة من النماذج والأطر لمساعدة مشغلي الشبكة على رؤية المشكلة المطروحة من زوايا مختلفة.
لاستكمال الطرق الأخرى في مشروع InterSecure، تم تطوير نهج لتقييم نقاط الضعف وعواقب الفشل لشبكات الطاقة المادية السيبرانية على أساس نموذج ربطة العنق.
يوضح الشكل 5 هذا النهج. الجزء الأول من التحليل هو إجراء تحليل ربط لسيناريو مختار لأصل بالغ الأهمية محدد، أي الأصل الذي يمكن أن يؤثر بشكل مباشر على توزيع الكهرباء.
بعد ذلك، يتم وضع افتراضات حول حالة تشغيل نظام الطاقة، ويتم تقييم قدرة المواجهة والعواقب على مستوى النظام.
الشكل 5: نموذج ربطة عنق مع حدث الأصول المهم في المركز. ويوضح الجانب الأيسر المناطق الأربع في نموذج بوردو. على الجانب الأيمن، ترتبط المنطقة الأقرب إلى المركز بشجرة الأحداث من منظور الأصول، بينما يرتبط باقي الجانب الأيمن بتقييم عواقب نظام الطاقة. تمثل الأشرطة البرتقالية العمودية الحواجز. مقتبس من سبيرستاد وآخرون، 2020.
تم اختبار النهج المقترح في حالة تتعلق باتفاقيات الاتصال المشروط في مشغل نظام التوزيع النرويجي. تتمثل مزايا النهج المقترح في أن نموذج ربطة العنق معروف جيدًا في الصناعة.
وبالتالي، لم يكن هناك حاجة إلى سوى القليل من الوقت لشرح الطريقة للمشاركين. وقد تبين أن نموذج ربطة العنق مرن بدرجة كافية لدمج كل من التهديدات التقليدية، مثل الأعطال الفنية والتهديدات السيبرانية من الجهات الفاعلة الضارة، في نفس المخطط.
علاوة على ذلك، ساعد هذا النهج في بناء فهم مشترك بين المشاركين من مختلف أقسام مشغل الشبكة من خلال تصور التهديدات ونقاط الضعف والحواجز والعواقب في نفس الرسم البياني.
ومع ذلك، فإن تحليلات ربطة العنق تستغرق وقتًا طويلاً في تنفيذها. ويلزم أيضًا وقت طويل لمعالجة النتائج قبل أن يتم استخدامها بشكل أكبر في عملية إدارة المخاطر.
والنتيجة الأخرى لمرونة أسلوب ربطة العنق هي أن الاستخدام الناجح يعتمد على قدرة الميسر على توجيه المناقشة في المجموعة بحيث تتم مناقشة التهديدات ونقاط الضعف ذات الصلة.
ولهذا السبب، هناك حاجة إلى نهج شامل منظم لضمان استخدام هذا النوع من التحليل على الأصول والتهديدات ذات الصلة.
لتلخيص الطرق التي تم اختبارها في InterSecure، فهي قابلة للتطبيق في مواقف مختلفة حيث تكون هناك حاجة إلى مستويات مختلفة من التفاصيل. يمكن استخدام الإطار المقترح على مستوى عالٍ.
بينما يمكن استخدام نموذج التهديد لتحديد تدفقات المعلومات والتهديدات و"فرز" التهديدات الأكثر أهمية لإجراء تحليل ومتابعة أكثر تفصيلاً.
يعد نموذج المحاكاة مفيدًا للاختبار التفصيلي للهجمات الملموسة باستخدام طوبولوجيا الاتصالات والشبكة الواقعية، في حين أن تقييم نقاط الضعف مفيد للتحليل المتعمق لكل من التهديدات المادية والسيبرانية ونقاط الضعف والحواجز. يجب على DSO اختبار الأساليب والتخطيط للطريقة التي سيتم استخدامها ومتى.
المصدر SINTEF
