Skip to main content
K zobrazení této stránky byl použit automatický překlad. Chcete ji raději zobrazit v angličtině?
Obrázek k doprovodnému článku o kybernetické bezpečnosti v digitální rozvodně
Článek

Praktický rámec pro ochranu digitálních rozvoden

Prozkoumejte jedinečné výzvy v oblasti kybernetické bezpečnosti, kterým čelí digitální rozvodny, a praktický rámec pro provozovatele sítě, který posílí jejich bezpečnostní postoj, což technikům poskytne větší kontrolu, lepší přehled a silnější obranné hranice než kdykoli předtím.

Další informace o digitálních rozvodnách

Přerušení zabijáckého řetězce ICS

Digitální rozvodny jsou klíčovou součástí probíhající digitální transformace elektrických energetických systémů. I když tato modernizace přináší bezprecedentní zlepšení efektivity a viditelnosti, otevírá také dveře potenciálním problémům s kybernetickou bezpečností. Sbližování provozních technologií (OT) a informačních technologií (IT) v digitálních rozvodnách vytváří útočníkům příležitosti k rozsáhlým výpadkům proudu, poškození zařízení a ohrožení veřejné bezpečnosti. V tomto článku zkoumáme výzvy v oblasti kybernetické bezpečnosti, kterým čelí digitální rozvodny, a poskytujeme praktický rámec pro provozovatele sítě k posílení jejich pozice v oblasti bezpečnosti.

Útok na elektrickou síť na Ukrajině v roce 2015 - budíček

V prosinci 2015 zažilo přibližně 225 000 ukrajinských občanů výpadek proudu, který vytvořil zlomový okamžik v zabezpečení digitálních rozvoden. Útok, připisovaný skupině Sandworm využívající malware BlackEnergy, znamenal první veřejně uznávaný úspěšný útok na elektrickou infrastrukturu, který vedl ke ztrátě energie pro zákazníky.

Útočníci provedli úmyslnou, dobře naplánovanou, vícestupňovou kybernetickou hackerskou operaci po měsících průzkumu a infiltrace do sítě prostřednictvím spear-phishingových kampaní a získali přístup k podnikovým IT sítím nástroje. Odtamtud se útočníci otočili do sítí OT rozvodny a nakonec využili kombinaci legitimních nástrojů vzdáleného přístupu a škodlivého firmwaru k narušení energetické služby a bránění úsilí o obnovu.

Tento incident odhalil několik kritických bezpečnostních obav pro provozovatele digitálních rozvoden: nedostatečná segmentace sítě mezi prostředími IT a OT, nedostatečné monitorování sítí OT, nedostatek vícefaktorové autentizace pro vzdálený přístup, a omezená viditelnost provozu rozvodny.

Pojďme prozkoumat, jak tyto výzvy vyřešit a postavit digitální rozvodny na silné základy kybernetické bezpečnosti.

c9535eff-9a54-464e-9c05-0960d993ad1b | Cybersecurity Visual 2022 1:1

Rámování problému: Myslet jako útočník

Abychom co nejlépe porozuměli tomu, jak chránit digitální rozvodny, pojďme se podívat na perspektivu útočníka pomocí průmyslového řídicího systému Kill Chain. Tento řetězec zabíjení organizuje akce útočníků do série operací, které se navzájem staví, aby dosáhly zamýšleného účinku na konci řetězce (v našem příkladu na Ukrajině, ztráta elektrické energie). Pro naše účely použijeme zkrácenou verzi řetězce zabíjení, která nastiňuje kroky jako Příprava, Vniknutí, Přechod na OT, Provedení OT a Útok.

Příprava

Útočníci začínají shromažďováním informací o svém cíli. U veřejných služeb to může zahrnovat identifikaci umístění rozvodny, porozumění architektuře SCADA, výzkum vybavení dodavatele a mapování síťové infrastruktury. Ukrajinští útočníci z roku 2015 strávili měsíce studiem svých cílů. Podobně útok Colonial Pipeline 2021 začal průzkumem, který identifikoval zranitelná pověření VPN.

Obranné ovládací prvkyEnergetické společnosti by měly minimalizovat svou digitální stopu omezením veřejně dostupných informací o konfiguracích rozvodnách a řídicích systémech. Bezpečnostní školení zaměstnanců by mělo zdůraznit rizika nadměrného sdílení provozních údajů na sociálních médiích nebo profesionálních sítích, jakož i správné zacházení s citlivými údaji.

Vniknutí

Útočníci získají vstup do cílového prostředí. Mezi běžné metody zadávání patří e-maily s phishingem, kompromitované aktualizace softwaru, infikované USB disky nebo zneužívání systémů orientovaných na internet. Ukrajinští útočníci použili spear-phishing se škodlivými přílohami Microsoft Office, což umožnilo instalaci malwaru BlackEnergy a nezbytnou oporu pro následné akce.

Obranné ovládací prvkyDodržujte osvědčené postupy pro podnikovou IT kybernetickou bezpečnost, včetně robustních řešení zabezpečení e-mailů s pokročilou ochranou před hrozbami a možnostmi sandboxingu, antivirových a EDR řešení pro podnikové pracovní stanice, systémy detekce narušení sítě a bezpečnostních operačních center (interních nebo spravovaných služeb). Zajistěte, aby týmy OT byly v souladu se strategií podnikové IT kybernetické bezpečnosti a aktuální s ní.

Pivot na OT

Po získání přístupu k podnikovým IT sítím se útočníci snaží rozšířit svůj dosah do sítí OT, jako jsou ty, které se nacházejí v digitálních rozvodnách. To se obvykle provádí využíváním nezabezpečených řešení vzdáleného přístupu, krádeží platných uživatelských pověření z ohrožených IT systémů nebo využitím infikovaných přechodných zařízení, jako jsou telefony a notebooky. Použití infikovaných USB disků při útoku Stuxnet je jedním z příkladů toho, jak mohou být ohroženy i sítě se vzduchovými mezerami. Při útoku na Ukrajinu útočníci využili ukradené přihlašovací údaje z IT systémů k přístupu k OT sítím prostřednictvím připojení VPN.

Obranné ovládací prvky: Stanovte přísné zásady pro vyměnitelná média a externí zařízení. Udržujte aktuální inventář veškerého softwaru a firmwaru a udržujte aktiva aktualizovaná pomocí digitálně podepsaných bezpečnostních oprav (pokud to operace dovolí). Řešení řízení přístupu k síti (NAC) mohou zabránit neoprávněným zařízením v připojení k sítím rozvodny, zatímco síť mezi sítěmi IT a OT a zónami rozvodny narušuje boční pohyb. Nasaďte průmyslové systémy detekce narušení (IDS), které rozumí protokolům OT a dokážou identifikovat anomální komunikaci. Zabezpečte vzdálený přístup pomocí vícefaktorového ověřování a zajistěte, aby vzdálený přístup třetích stran (obvykle pro údržbu dodavatelů) byl podobně zabezpečen. Odstraňte výchozí pověření na všech IED, relé a síťových zařízeních, ideálně implementujte řízení přístupu založené na rolích. A konečně, pravidelné hodnocení zranitelnosti OT sítí pomáhá identifikovat slabiny dříve, než to útočníci udělají.

Proveďte útok OT

Poslední fáze spočívá v tom, že útočníci dosáhnou svých cílů - ať už krádeže dat, manipulace se systémem nebo destruktivní akce. Na Ukrajině to znamenalo otevření jističů (přes HMI rozvodny) k vytvoření výpadků proudu. Ukrajinští útočníci využívali škodlivé nahrávání firmwaru k přerušení komunikace s polními zařízeními při provádění útoků na odmítnutí služby do call center, což vedlo ke zpožděnému úsilí o obnovení a frustrovaným zákazníkům, kteří nemohli získat odpovědi.

Obranné ovládací prvky: Zavést bezpečnostní přístrojové systémy (SIS), které fungují nezávisle na řídicích systémech. Udržujte offline zálohy konfigurací a ověřujte postupy obnovy. Provádějte pravidelná stolní cvičení a cvičení reakce na incidenty specifická pro prostředí OT, abyste zajistili rychlou reakci, i když kontroly kybernetické bezpečnosti selžou.

Dát vše dohromady - akční rámec

Při obraně digitálních rozvoden je implementace bezpečnostních kontrol jen polovinou bitvy a elektrické společnosti musí také sladit kontroly se zavedenými regulačními a průmyslovými rámcemi a zmapovat obranná opatření jak požadavkům NERC CIP, tak rámcům pro kybernetickou bezpečnost NIST (CSF).

Zarovnání NERC CIP

Normy ochrany kritické infrastruktury (CIP) společnosti North American Electric Reliability Corporation poskytují povinné požadavky na kybernetickou bezpečnost hromadných energetických systémů. Mezi klíčové normy relevantní pro digitální rozvodny patří:

CIP-004 (personál a školení)Zaměřuje se na nejdůležitější prvek kybernetické bezpečnosti: lidi. Stanovuje požadavky na najímání, školení a onboarding/offboarding.

CIP-005 (Electronic Security Perimeters): Řeší opatření segmentace sítě a kontroly přístupu diskutovaná při obraně proti vniknutí a otočení k OT.

CIP-007 (Správa zabezpečení systému): Zahrnuje každodenní „blokování a řešení“ kybernetické bezpečnosti: správu oprav, prevenci malwaru, monitorování bezpečnostních událostí a správu účtů. To zahrnuje postupy ochrany koncových bodů, protokolování a správy zranitelností nezbytné pro včasnou detekci.

CIP-008 (Plánování reakce na incidenty): Zajišťuje, aby organizace rozvíjely, udržovaly a procvičovaly svou schopnost reagovat na útoky.

CIP-009 (Plánování obnovy): Zaměřuje se na návrat do „normálu“ po útoku. Zajišťuje, že postupy zálohování jsou nasazeny a ověřovány a že obnovení je pravidelně testováno z hlediska rychlosti a přesnosti.

CIP-010 (Správa změn konfigurace): Definuje základní konfigurace pro datové zdroje a stanoví strukturovaný proces správy změn pro tyto základní hodnoty, který zahrnuje testování oprav z hlediska provozní integrity. Zahrnuje také požadavky na pravidelné hodnocení zranitelnosti.

CIP-015 (Monitorování vnitřní bezpečnosti sítě): Nejnovější standard CIP, schválený v létě 2025 a vstoupí v platnost počínaje říjnem 2028. CIP-015 je o tom vědět, co se děje „na drátě“: monitorování OT sítí, detekce jakékoli anomální aktivity a přijímání informovaných rozhodnutí o reakci.

Integrace NIST CSF

Rámec pro kybernetickou bezpečnost NIST poskytuje flexibilní přístup založený na rizicích organizovaný kolem šesti základních funkcí, které představují komplexní strategii kybernetické bezpečnosti:

VládnoutStanovit a sledovat strategii, očekávání a zásady řízení rizik kybernetické bezpečnosti organizace.

Identifikovat: Vybudujte společné chápání rizik kybernetické bezpečnosti napříč systémy, aktivy, daty a lidmi. Získejte přehled o aktuálním stavu zabezpečení a souvisejících rizicích.

Chránit: Implementujte technické kontroly diskutované dříve: segmentace sítě, řízení přístupu, ochrana koncových bodů atd. Cílem je snížit celkový povrch útoku, který může útočník využít k získání své pozice v síti.

Detekovat: Nasaďte funkce pro správnou včasnou identifikaci výskytu škodlivých událostí kybernetické bezpečnosti. Využijte data agregovaná z široké škály datových zdrojů, abyste přidali kontext k viditelnosti.

Odpovědět: Po zjištění kybernetického útoku podnikněte kroky k otupení postupu útočníků, zmírnění dopadu a nakonec vyloučení útočníků ze sítě.

Obnovit: Po neutralizaci hrozby obnovte všechny schopnosti nebo služby, které byly v důsledku incidentu narušeny. Využijte získané poznatky k informování budoucí bezpečnostní strategie.

Kombinace NERC CIP, NIST CSF a obranných kontrol

Požadavek NERC CIP

Funkce NIST CSF

Příklady obranné kontroly

CIP-004

Vládněte, identifikujte

Povědomí o bezpečnosti zaměstnanců

CIP-005

Identifikujte, chráňte

Firewally, DMZ, zabezpečený vzdálený přístup

CIP-007

Chraňte, detekujte, reagujte, obnovte

Záplaty, protokolování, kalení systému

CIP-008

Odpovědět

Cvičení reakce na incidenty

CIP-009

Obnovit

Offline zálohování, testovací postupy obnovy

CIP-010

Vládněte, identifikujte, chráňte

Správa změn, hodnocení zranitelnosti

CIP-015

Detekovat, reagovat

ID sítě OT, síťové protokolování

Závěr

Útok na Ukrajinu v roce 2015 ukázal, že digitální rozvodny představují kritické cíle, kde se kybernetická zranitelnost může přímo promítnout do fyzických důsledků. Porozuměním řetězce zabíjení útočníka a implementací vrstvených obranných nástrojů však lze výrazně snížit jejich rizikový profil. Díky podpoře IT i OT týmů a promyšlenému uplatňování strategie mohou být digitální rozvodny postaveny na mimořádně silné bezpečnostní základy a být připraveny na cokoli, co útočníci mohou zkusit dál.

Tento článek byl původně publikován v Severoamerická čistá energie.