Skip to main content
Ova se stranica prikazuje pomoću automatiziranog prijevoda. Umjesto toga, pogledaj na engleskom?
Slika uz članak o kibernetičkoj sigurnosti u digitalnoj podstanici
Članak

Praktični okvir za zaštitu digitalnih trafostanica

Istražite jedinstvene izazove kibernetičke sigurnosti s kojima se suočavaju digitalne trafostanice i praktičan okvir za mrežne operatere kako bi ojačali svoje sigurnosne položaje pružajući inženjerima veću kontrolu, više uvida i jače obrambene granice nego ikad prije.

Saznajte više o digitalnim trafostanicama

Razbijanje ICS-ovog lanca ubijanja

Digitalne trafostanice ključna su komponenta u tekućoj digitalnoj transformaciji elektroenergetskih sustava. Iako ova modernizacija donosi neviđena poboljšanja učinkovitosti i vidljivosti, ona također otvara vrata potencijalnim problemima kibernetičke sigurnosti. Konvergencija operativne tehnologije (OT) i informacijske tehnologije (IT) u digitalnim trafostanicama stvara mogućnosti napadačima da isporuče široko rasprostranjene nestanke struje, oštećenja opreme i prijetnje javnoj sigurnosti. U ovom članku ispitujemo izazove kibersigurnosti s kojima se suočavaju digitalne trafostanice i pružamo praktičan okvir za mrežne operatere kako bi ojačali svoje sigurnosne položaje.

Napad na električnu mrežu u Ukrajini 2015. — poziv za buđenje

U prosincu 2015. oko 225.000 građana Ukrajine doživjelo je nestanak zamračenja koji je stvorio prelomni trenutak u sigurnosti digitalnih postaja. Napad, koji se pripisuje grupi prijetnji Sandworm koja koristi BlackEnergy malware, označio je prvi javno priznat uspješan napad na infrastrukturu električne energije koji je rezultirao gubitkom energije za kupce.

Napadači su izvršili namjernu, dobro planiranu, višestupanjsku operaciju cyber-hakiranja nakon višemjesečnog izviđanja i infiltracije mreže kroz spear-phishing kampanje i dobili pristup korporativnim IT mrežama uslužnog programa. Odatle su se napadači okrenuli prema OT mrežama podstanice, na kraju koristeći kombinaciju legitimnih alata za daljinski pristup i zlonamjernog firmvera kako bi poremetili uslugu napajanja i ometali napore za oporavak.

Ovaj incident otkrio je nekoliko kritičnih sigurnosnih briga za operatere digitalnih podstanica: neadekvatnu segmentaciju mreže između IT i OT okruženja, nedovoljno praćenje OT mreža, nedostatak višefaktorske provjere autentičnosti za daljinski pristup i ograničenu vidljivost u operacijama trafostanica.

Istražimo kako riješiti ove izazove i staviti digitalne trafostanice na snažnu kibersigurnosnu osnovu.

c9535eff-9a54-464e-9c05-0960d993ad1b | Cybersecurity Visual 2022 1:1

Uokvirivanje problema: razmišljanje poput napadača

Kako bismo najbolje razumjeli kako zaštititi digitalne trafostanice, uzmimo perspektivu napadača koristeći industrijski kontrolni sustav Kill Chain. Ovaj lanac ubijanja organizira akcije napadača u niz operacija koje se međusobno nadograđuju kako bi postigli željeni učinak na kraju lanca (u našem ukrajinskom primjeru gubitak električne energije). U naše svrhe upotrijebit ćemo sažetu verziju lanca ubijanja, opisujući korake kao što su Priprema, Upad, Pivot u OT, Izvođenje OT-a i Napad.

Priprema

Napadači počinju prikupljanjem podataka o svojoj meti. Za komunalne usluge to može uključivati identificiranje lokacija trafostanica, razumijevanje SCADA arhitekture, istraživanje opreme dobavljača i mapiranje mrežne infrastrukture. Ukrajinski napadači 2015. proveli su mjesece proučavajući svoje mete. Slično tome, napad Colonial Pipeline 2021. započeo je izviđanjem koje je identificiralo ranjive VPN vjerodajnice.

Obrambene kontrole: Uslužni programi trebaju minimizirati svoj digitalni otisak ograničavanjem javno dostupnih informacija o konfiguracijama trafostanica i upravljačkim sustavima. Obuka o sigurnosti zaposlenika trebala bi naglasiti rizike prekomjernog dijeljenja operativnih detalja na društvenim mrežama ili profesionalnim mrežama, kao i pravilnog rukovanja osjetljivim podacima.

Upad

Napadači dobivaju ulazak u ciljano okruženje. Uobičajene metode unosa uključuju e-poštu za krađu identiteta, ugrožena ažuriranja softvera, zaražene USB pogone ili iskorištavanje sustava okrenutih prema internetu. Ukrajinski napadači koristili su krađu identiteta sa zlonamjernim privitcima Microsoft Officea, što je omogućilo instalaciju zlonamjernog softvera BlackEnergy i potrebno uporište za daljnje radnje.

Obrambene kontrole: Slijedite najbolje prakse za IT kibernetičku sigurnost poduzeća, uključujući robusna sigurnosna rješenja e-pošte s naprednom zaštitom od prijetnji i mogućnostima sandboxinga, antivirusna/EDR rješenja za korporativne radne stanice, sustave za otkrivanje upada u mrežu i sigurnosne operativne centre (bilo interne ili upravljane usluge). Osigurajte da su OT timovi usklađeni i ažurni s IT strategijom kibersigurnosti poduzeća.

Pivot u OT

Nakon što su stekli pristup korporativnim IT mrežama, napadači žele proširiti svoj doseg na OT mreže poput onih koje se nalaze u digitalnim trafostanicama. To se obično postiže iskorištavanjem nesigurnih rješenja za daljinski pristup, krađom valjanih korisničkih vjerodajnica iz kompromitiranih IT sustava ili korištenjem zaraženih prolaznih uređaja poput telefona i prijenosnih računala. Korištenje zaraženih USB pogona u Stuxnetovom napadu jedan je primjer kako čak i mreže sa zračnim zatvaračima mogu biti ugrožene. U napadu na Ukrajinu napadači su koristili ukradene vjerodajnice iz IT sustava za pristup OT mrežama putem VPN veza.

Obrambene kontrole: Uspostavite stroga pravila za prijenosne medije i vanjske uređaje. Održavajte ažurirani inventar imovine svih softvera i firmvera i ažurirajte imovinu digitalno potpisanim sigurnosnim zakrpama (onoliko koliko to operacije dopuštaju). Rješenja za kontrolu pristupa mreži (NAC) mogu spriječiti povezivanje neovlaštenih uređaja na mreže trafostanica, dok će mreža između IT i OT mreža i zona trafostanica poremetiti bočno kretanje. Unesite industrijske sustave za otkrivanje upada (IDS) koji razumiju OT protokole i mogu identificirati anomalne komunikacije. Osigurajte daljinski pristup pomoću višefaktorske provjere autentičnosti i osigurajte da je daljinski pristup treće strane (obično za održavanje dobavljača) slično zaštićen. Uklonite zadane vjerodajnice na svim IED-ovima, relejima i mrežnim uređajima, idealno implementirajući kontrolu pristupa zasnovanu na ulogama. Konačno, redovne procjene ranjivosti OT mreža pomažu u prepoznavanju slabosti prije napadača.

Izvršite OT napad

Posljednja faza uključuje napadače koji postižu svoje ciljeve - bilo krađa podataka, manipulacija sustavom ili destruktivne radnje. U Ukrajini je to značilo otvaranje prekidača (putem HMI trafostanica) radi stvaranja nestanka struje. Ukrajinski napadači koristili su zlonamjerne prijenose firmvera kako bi prekinuli komunikaciju s terenskim uređajima dok su izvršavali napade uskraćivanja usluge na pozivne centre, što je dovelo do odgođenog oporavka i frustriranih kupaca koji nisu mogli dobiti odgovore.

Obrambene kontrole: Uspostaviti sustave sigurnosnih instrumenata (SIS) koji rade neovisno o upravljačkim sustavima. Održavajte izvanmrežne sigurnosne kopije konfiguracija i provjerite postupke obnove. Provodite redovite stolne vježbe i vježbe za reagiranje na incidente specifične za OT okruženja kako biste osigurali brz odgovor čak i kada kontrole kibersigurnosti ne uspiju.

Spajanje svega - djelotvoran okvir

Kada je obrana digitalnih trafostanica provedba sigurnosnih kontrola samo pola bitke, a električna preduzeća također moraju uskladiti kontrole s uspostavljenim regulatornim i industrijskim okvirima i mapirati obrambene mjere prema zahtjevima NERC CIP i NIST okvirom Cybersecurity (CSF).

NERC CIP poravnanje

Standardi zaštite kritične infrastrukture (CIP) Sjevernoameričke korporacije za električnu pouzdanost pružaju obvezne zahtjeve za kibernetičku sigurnost sustava velike energije. Ključni standardi relevantni za digitalne trafostanice uključuju:

CIP-004 (osoblje i obuka): Usredotočuje se na najkritičniji element kibernetičke sigurnosti: ljude. Postavlja zahtjeve za zapošljavanje, obuku i ukrca/iskrcavanje.

CIP-005 (elektronički Security perimetri): Bavi se mjerama segmentacije mreže i kontrole pristupa o kojima se raspravlja u obrani od upada i okretanju prema OT.

CIP-007 (Upravljanje sigurnošću sustava): Obuhvaća svakodnevno "blokiranje i rješavanje" kibernetičke sigurnosti: upravljanje zakrpama, prevenciju zlonamjernog softvera, praćenje sigurnosnih događaja i upravljanje računima. To uključuje zaštitu krajnjih točaka, bilježenje i prakse upravljanja ranjivošću neophodne za rano otkrivanje.

CIP-008 (Planiranje odgovora na incidente): Osigurava da organizacije razvijaju, održavaju i praktikuju svoju sposobnost reagiranja na napade.

CIP-009 (Planiranje oporavka): Usredotočuje se na povratak u "normalu" nakon napada. Osigurava da su postupci sigurnosnih kopija postavljeni i provjereni te da se obnova povremeno testira na brzinu i točnost.

CIP-010 (Upravljanje promjenama konfiguracije): Definira osnovne konfiguracije za imovinu i uspostavlja strukturirani postupak upravljanja promjenama za te osnovne linije, kako bi se uključilo testiranje zakrpe radi operativnog integriteta. Također uključuje zahtjeve za periodične procjene ranjivosti.

CIP-015 (praćenje unutarnje Security mreže): Najnoviji CIP standard, odobren u ljeto 2025. i stupa na snagu početkom listopada 2028. CIP-015 se bavi saznanjem što se događa "na žici": praćenje OT mreža, otkrivanje bilo kakvih anomalnih aktivnosti i donošenje odluka o informiranom odgovoru.

NIST CSF integracija

NIST Cybersecurity Framework pruža fleksibilan pristup zasnovan na riziku organiziran oko šest osnovnih funkcija koje predstavljaju sveobuhvatnu strategiju kibersigurnosti:

Vladati: Uspostaviti i pratiti strategiju organizacije, očekivanja i politike upravljanja kibersigurnosnim rizicima.

Identificirajte: Izgradite zajedničko razumijevanje rizika kibersigurnosti među sustavima, imovinom, podacima i ljudima. Dobijte vidljivost u trenutnom sigurnosnom položaju i povezanim rizicima.

Zaštitite: Implementirajte tehničke kontrole o kojima smo prethodno raspravljali: segmentacija mreže, kontrole pristupa, zaštita krajnjih točaka itd. Cilj je smanjiti ukupnu površinu napada koju napadač može iskoristiti kako bi se učvrstio u mreži.

Otkrivanje: Implementirajte mogućnosti za pravovremeno prepoznavanje pojave zlonamjernih događaja u kibernetičkoj sigurnosti. Koristite podatke prikupljene iz širokog spektra sredstava kako biste vidljivosti dodali kontekst.

Odgovorite: Nakon otkrivanja cyber napada, poduzmite mjere kako biste otupili napredak napadača, ublažili utjecaj i na kraju protjerali napadače iz mreže.

Oporavak: Nakon što ste neutralizirali prijetnju, vratite sve mogućnosti ili usluge koje su bile oštećene zbog incidenta. Iskoristite naučene lekcije kako biste informirali buduću sigurnosnu strategiju.

Kombinirajući NERC CIP, NIST CSF i obrambene kontrole

NERC CIP zahtjev

Funkcije NIST CSF

Primjeri obrambene kontrole

CIP-004

Upravljajte, identificirajte

Svijest o sigurnosti zaposlenika

CIP-005

Identificirajte, zaštitite

Zaštitni zidovi, DMZ, siguran daljinski pristup

CIP-007

Zaštitite, otkrijte, odgovorite, oporavite

Krpanje, sječa, kaljenje sustava

CIP-008

Odgovorite

Vježbe odgovora na incidente

CIP-009

Oporavak

Izvanmrežne sigurnosne kopije, testni postupci oporavka

CIP-010

Upravljajte, identificirajte, zaštitite

Upravljanje promjenama, procjene ranjivosti

CIP-015

Otkrijte, odgovorite

OT mrežni IDS, mrežno evidentiranje

Zaključak

Napad na Ukrajinu 2015. pokazao je da digitalne trafostanice predstavljaju kritične ciljeve gdje se cyber ranjivosti mogu izravno pretvoriti u fizičke posljedice. Međutim, razumijevanjem napadačkog lanca ubijanja i primjenom slojevite obrane uslužni programi mogu značajno smanjiti njihov profil rizika. Uz buy-in i IT i OT timova i promišljenu primjenu strategije, digitalne podstanice mogu se postaviti na izuzetno snažne sigurnosne podloge i biti spremne na sve što napadači pokušaju sljedeće.

Ovaj je članak izvorno objavljen u Sjevernoamerička čista energija.