Nei Methoden fir Cyber Sécherheetsrisiko an cyberphysikaleschen elektresche Stroumsystemer ze analyséieren.
Déi verstäerkte Elektrifizéierung vun der Gesellschaft an de Besoin fir nei Ressourcen ze verwalten (wéi erneierbar Energiequellen a flexibel Ressourcen) an nei Lasten (wéi elektresch Gefierer) ass Ännerung vum elektresche Stroumsystem.
En digitale System, gedréckte Circuit Board - Illustratioun Foto. Bildkredit: Bermix Studio iwwer Unsplash, fräi Lizenz
D'Ausmooss vu Sensoren, Kommunikatioun an Automatisatioun geet erop, an d'Iwwerwaachung a Kontroll vum elektresche Stroumnetz gëtt méi aktiv an digitaliséiert. D'Resultat ass e cyber-kierperlechen elektresche Stroumsystem, wou d'Operatioun vum kierperleche Stroumsystem ëmmer méi hänkt vun Daten iwwer digital Netzwierker iwwerdroen.
Dës Entwécklung erhéicht d'Zuel vu potenziellen Entréespunkte fir en Ugräifer a mécht d'Systemer méi schwéier ze schützen. Och ass d'Gesellschaft méi ofhängeg vun elektrescher Kraaft wéi jee virdrun, an d'Konsequenze vun engem erfollegräichen Cyberattack op interagéierend digital Systemer kënne katastrophal ginn.
Dofir brauche mir adequat Methoden fir Cybersécherheetsrisiken an cyber-physikaleschen elektresche Stroumsystemer ze bewäerten an ze reduzéieren. Am InterSecure Projet hunn SINTEF Energi, SINTEF Digital, NTNU a Proactima esou Methoden an Zesummenaarbecht mat norwegesche Netzfirmen an Autoritéiten entwéckelt.
Wat ass e Cyber-physikaleschen elektresche Stroumsystem?
Mir verstinn e Cyber-physikalesche System als e System vu kierperleche Komponenten, déi iwwer digital Netzwierker kontrolléiert ginn.
Allgemeng, Cyber-kierperlech elektresch Kraaft Raster ginn intelligent Gitter genannt. Dësen Numm ënnersträicht déi verstäerkte Méiglechkeete fir Intelligenz, dh Kontroll, Iwwerwaachung an Automatisatioun, déi an elektresche Gitter bruecht ginn wann se ëmmer méi mat digitale Netzwierker verbonne sinn.
Wat mécht d'Netzbetreiber haut Suergen?
Dat opkomende Smart Gitter, mat senger Erhéijung vun der Interkonnektioun an dem Austausch vun Daten, erhéicht d'Zuel vun Akteuren an Akteuren an der Operatioun vu Kraaftsystemer. Dëst kann potenziell e puer nei oder geännert Bedrohungen a Schwachstelle verursaachen.
Diskussiounen am Projet hunn e puer Schlësselquellen vu Bedrohungen a Schwachstelle verroden, iwwer déi d'Netzbetreiber haut Suergen maachen, an déi erwaart ginn an der Zukunft nach méi relevant ze ginn:
- Verlängert digital Netzwierker déi d'Zuel vu méiglechen Entréespunkte fir Cyberattacker erhéijen,
- nei Technologien, Komponenten a Systemer déi séier agefouert ginn,
- nei Verbindungen tëscht administrativen IT Systemer a Kontrollsystemer déi den Datefloss iwwer Systemer erhéijen,
- erhéicht Systemkomplexitéit,
- méi Schnëttplazen tëscht interdependent Uwendungen oder Systemer, an
- Ofhängegkeet vun digitale Servicer vun externen Fournisseuren.
D'Netzbetriber mussen fäeg sinn nei Risiken ze verstoen an ze handhaben wéinst dëse Systementwécklungen.
Wéi eng Methode brauchen d'Netzbetreiber fir hir Bedenken unzegoen?
D'Netzbetreiber am Projet sécheren hir Systemer a verwalten Risiken no aktuellen Reglementer. D'Haaptrei relevant Reglementer sinn Energiloven, Kraftberedskapsforskriften an Sikkerhetsloven.
Ausserdeem sammelen a benotzen d'Netzbetreiber aktualiséiert Bedrohungsinformatioun vun Organisatiounen déi Notifikatiounsservicer ubidden, wéi KraftCERT, PST (Norwegian Police Security Service) an NSM (Norwegian National Security Authority).
Och wann d'Energieversuergung haut zouverlässeg ass, an déi aktuell Reglementer a Risikomanagementpraktiken gutt etabléiert sinn, sinn d'Netzbetreiber net gutt ausgestatt fir déi nei Quelle vu Bedrohungen a Schwachstelle beschriwwen an der viregter Sektioun ze handhaben.
Traditionell Kraaftsystem Risikomanagement ass net fokusséiert op d'absënnlech Natur vun Cyber Sécherheets Tëschefäll, déi verbreet Entréespunkte wéinst der wäitreechender Natur vun digitale Netzwierker, nach d'Schwächheete fir Cyberattacker, déi dës Entréespunkte exploitéieren.
Och Cybersécherheetsrisiko an traditionell Risikoanalyse ginn separat duerchgefouert. Dës Approche ass net optimal, well et net d'Bewäertung vu potenzielle Schwachstelle erméiglecht wéinst Systemverbindungen, Interdependenzen a Komplexitéit.
Am folgende ginn d'Risikobewäertungsmethoden, déi am InterSecure Projet entwéckelt goufen, kuerz beschriwwen.
Kader fir Risiko Bewäertung vun cyber-kierperlech elektresch Muecht Systemer
De Kader baséiert op den ISO 31000 an NS 5814 Normen. Et betount net nëmmen de kierperleche System, mee de ganze System vu Systemer, deen an der Operatioun vu Smart Gitter abegraff ass.
Tatsächlech, wéi Smart Gitter entwéckelen an de System méi komplex gëtt, wäert et fruchtlos sinn ze probéieren de ganze System ze verstoen a wéi all d'Elementer bezéien an interagéieren. Déi grouss Gréisst a Komplexitéit vum System wäert dëst onméiglech maachen.
Dofir muss d'Risikomanagement vum System op enger méi héijer Perspektiv adresséiert ginn, ier Dir op verschidde Sektiounen oder Gebidder vum System fokusséiert.
Als Deel vum InterSecure Projet gouf e Risikomanagement Kader proposéiert, deen eng méi iterativ Approche erméiglecht fir de Risiko vu komplexe sozio-technesche Systemer, wéi Smart Grids, ze managen.
De Kader follegt eng "Plan, maachen, kontrolléieren, handelen" Struktur déi allgemeng a Risikomanagement Kaderen ass. Et besteet aus dräi Haaptphasen: plangen, bewäerten a verwalten wéi och dräi kontinuéierlech Phasen vu Kommunikatioun a Berodung, Opnam a Berichterstattung, an Iwwerwaachung an Iwwerpréiwung.
Figur 1 Proposéiert Risikomanagement Kader fir interagéieren digital Systemer a Smart Grids
D'Gesamtstruktur vum Risikomanagement Kader ass déi vun engem iterative Prozess. Et enthält d'Komplexitéit am System ze berücksichtegen, an amplaz ze probéieren de ganze System ze verstoen an ze modelléieren, hëlt et amplaz eng inkrementell, top-down Approche.
Dëst erlaabt de System fir d'éischt aus enger héijer Perspektiv ze adresséieren an duerno méi mat de verschiddene Beräicher a Risiken vum System vertraut ze ginn, de richtege Niveau ze fannen fir déi verschidde Risiken ze managen.
Gefor Modeller
Bedrohungsmodelléierung fir digital Systemer ze interagéieren ass d'Ausübung fir ze analyséieren wéi eng Software oder e System attackéiert ka ginn mam Zil géint esou Attacken ze schützen. Wärend verschidde Methoden existéieren, ass eng vun de méi bekannte Methoden STRIDE (Spoofing, Tempering, Repudiatioun, Informatiounsoffenbarung, Denial of Service, Elevation of Privileg).
STRIDE fänkt un e Modell vum System ze kreéieren fir ze visualiséieren wéi a wéi eng Zort Daten tëscht de verschiddenen Deeler vum System iwwerdroen ginn. Als Beispill gëtt en Deel vum Modell, deen an InterSecure benotzt gëtt, an der Figur 2. Baséiert op dësem Modell ginn Geforen (dh potenziell Attacke) fir déi verschidden Deeler vum System identifizéiert.
Fir de STRIDE Bedrohungsmodelléierungsprozess ze hëllefen, huet Microsoft de Microsoft Threat Modeling Tool entwéckelt. Dëst Tool bitt eng grafesch User-Interface fir de Modell vum System ze bauen an eng strukturéiert Manéier fir Geforen z'identifizéieren an ze evaluéieren.
D'Tool ass ursprénglech op d'Bedrohungsmodelléierung vu Software ausgeriicht, awer well d'Tool d'Benotzer erlaabt hir eege Schabloun ze kreéieren, hu mir d'Tool ugepasst fir Gefore géint de Smart Grid z'identifizéieren. Hei fannt Dir d'Schabloun entwéckelt.
Figur 2: Modell benotzt an STRIDE Bedrohung Modeller
An dësem Projet hu mir Bedrohungsmodelléierung vun enger digitaler sekundärer Ënnerstatioun gemaach fir d'Benotzung vum Tool an engem Smart Grid Kontext ze testen an ze demonstréieren.
Guidéiert vun de Bedrohungskategorien, déi de STRIDE Mnemonic ausmaachen, goufen Gefore géint d'Ënnerstatioun aus jidderee vun de Kategorien identifizéiert. Informatiounsverëffentlechung an Oflehnung vu Service Bedrohungen goufen als déi kriteschst identifizéiert, haaptsächlech wéinst der Einfachheet vun esou Attacken.
De Grond ass datt esou Gefore bewäert goufen fir potenziell relativ schlëmm Konsequenzen ze hunn ouni spezifesch Wëssen oder spezialiséiert Tools ze erfuerderen fir auszeféieren.
Kommunikatioun Impakt Simulatioune
Figur 3 Impakt Simulatioun Modell am Mininet Reseau Emulator
Mir hunn zwee Simulatiounsmodeller entwéckelt fir déi kriteschste Bedrohungen (Sniffing an Disponibilitéitsattacken) z'iwwerpréiwen, déi duerch Bedrohungsmodelléierung identifizéiert goufen. Béid Modeller hunn eng Topologie déi zwee digital sekundär Ënnerstatiounen an e Kontrollzentrum enthält.
Den éischte Modell gouf am Mininet Netz-Emulator erstallt an als primäre Modell ausgewielt wéinst senger einfacher Usability an Transportabilitéit, well de ganze Modell aus enger eenzeger virtueller Maschinn besteet. De Schema vum éischte Modell gëtt an der Figur 3 gewisen.
Den zweete Modell gouf erstallt mat getrennten virtuelle Maschinnen fir all Komponent (RTUs, Gateways, Router an den Iwwerwaachungsapparat).
Dëse Modell gouf nëmme fir Performance Tester während Denial-of-Service Attacke benotzt well seng Resultater méi entspriechend der Realitéit waren am Verglach mam Mininet Modell.
Performance Evaluatioun vum Modell gouf gemaach a beschriwwen am Artikel "Bedrohungsmodelléierung vun enger Smart Grid Secondary Substation“. Dëse Modell gouf net weider berücksichtegt wéinst senger Komplexitéit an dem Mangel u einfachen Export. De Modellschema gëtt an der Figur 4 gewisen.
Figur 4 Impakt Simulatioun Modell benotzt virtuell Maschinnen
Souwuel Impakt Simulatioun Modeller benotzt emulated IEC 104 Kommunikatioun entspriechend Daten aus Den National Smart Grid Lab zu Trondheim.
D'Resultater vun de Simulatiounsmodeller Tester kënne vu Gitterbetreiber benotzt ginn fir d'Gittersécherheet ze verbesseren, zum Beispill andeems d'Sécherheetsgeräter wéi Firewalls ofstëmmen. Den éischte Modell gouf all Member vum InterSecure Projet geliwwert a gouf och demonstréiert.
An dëser Demonstratioun konnten all d'Participanten de Modell op hiren Apparater installéieren an d'Basiskontroll vum Modell an engem virgesinn Szenario léieren. Eng Demonstratioun ass och verfügbar op Iwwert Eis.
Bewäertung vu Schwachstelle a Konsequenze vum Versoen
Smart Gitter si komplizéiert Systemer, sou datt keen eenzege Modell oder Kader all Schwachstelle kann entdecken. Dofir gëtt et e Besoin fir eng Auswiel u Modeller a Kaderen fir de Gitterbetreiber ze hëllefen de Problem aus verschiddene Winkelen ze gesinn.
Fir déi aner Methoden am InterSecure-Projet ze ergänzen, ass eng Approche fir d'Bewäertung vu Schwachstelle a Feelerkonsequenze fir cyber-physikalesch Stroumnetz op Basis vum Bow-Tie Modell entwéckelt.
D'Approche gëtt an der Figur illustréiert 5. Den éischten Deel vun der Analyse ass eng Bow-Tie-Analyse fir e gewielte Szenario fir e spezifesche kriteschen Verméigen ze maachen, dh e Verméigen deen direkt d'Verdeelung vum Stroum beaflosse kann.
Als nächst ginn Viraussetzungen iwwer den Operatiounszoustand vum Kraaftsystem gemaach, an d'Kapazitéit an d'Konsequenzen um Systemniveau bewäert.
Figur 5 E Bow-Tie Modell mat dem kriteschen Asset Event am Zentrum. Déi lénks Säit illustréiert déi véier Zonen am Purdue Modell. Op der rietser Säit ass d'Zon am nootste vum Zentrum mam Eventbaum aus der Asset Perspektiv verbonnen, während de Rescht vun der rietser Säit mat der Konsequenzbewäertung vum Stroumsystem ass. Déi vertikal orange Baren representéieren Barrièren. Adaptéiert vu Sperstad et al., 2020.
Déi proposéiert Approche gouf getest op engem Fall am Zesummenhang mat bedingte Verbindungsofkommes bei engem norwegesche DSO. Virdeeler vun der proposéierter Approche sinn datt de Bow-Tie Modell an der Industrie bekannt ass.
Sou war wéineg Zäit gebraucht fir d'Method de Participanten z'erklären. De Bow-Tie Modell gouf fonnt als flexibel genuch fir souwuel traditionell Bedrohungen, wéi technesch Feeler an Cyber Bedrohungen vu béiswëllegen Akteuren, am selwechte Diagramm ze integréieren.
Weider huet d'Approche gehollef fir e gemeinsamt Verständnis tëscht Participanten aus de verschiddenen Departementer vum Netzbetreiber ze bauen andeems Geforen, Schwachstelle, Barrièren a Konsequenzen am selwechte Diagramm visualiséiert ginn.
D'Bowtie Analysen sinn awer Zäitopwänneg ze maachen. Bedeitend Zäit ass och gebraucht fir d'Resultater ze veraarbecht ier se weider am Risikomanagementprozess kënne benotzt ginn.
Eng aner Konsequenz vun der Flexibilitéit vun der Bow-Tie-Methode ass datt den erfollegräiche Gebrauch vun der Fäegkeet vum Facilitator ofhängeg ass fir d'Diskussioun an der Grupp ze guidéieren, sou datt relevant Bedrohungen a Schwachstelle diskutéiert ginn.
Dofir ass et e Besoin fir eng strukturéiert Gesamt Approche fir sécherzestellen datt dës Zort Analyse op déi relevant Verméigen a Gefore benotzt gëtt.
Fir d'Methoden, déi an InterSecure getest goufen, ze resuméieren sinn applicabel a verschiddene Situatiounen wou verschidden Detailniveauen gebraucht ginn. De proposéierte Kader kann op engem héijen Niveau benotzt ginn.
Iwwerdeems Bedrohungsmodell ka benotzt ginn fir Informatiounsfloss a Geforen z'identifizéieren a weider déi wichtegst Gefore fir méi detailléiert Analyse a Suivi "zortéieren".
D'Simulatiounsmodell ass nëtzlech fir detailléiert Tester vu konkreten Attacke mat realistescher Kommunikatiouns- an Netzwierktopologie, während d'Bewäertung vu Schwachstelle nëtzlech ass fir eng Déift Analyse vu kierperlechen a Cyber Bedrohungen, Schwachstelle a Barrièren. Den DSO soll d'Methoden testen a plangen wéi eng Method ze benotzen wann.
Source: Sintef
