Skip to main content
Táto stránka sa zobrazuje použitím automatického prekladu. Zobraziť namiesto toho v Angličtine?
Obrázok k článku o kybernetickej bezpečnosti v digitálnej rozvodni
Článok

Praktický rámec na ochranu digitálnych rozvodní

Preskúmajte jedinečné výzvy v oblasti kybernetickej bezpečnosti, ktorým čelia digitálne rozvodne, a praktický rámec pre prevádzkovateľov sietí, aby posilnili svoje bezpečnostné postavenie, poskytujúci inžinierom väčšiu kontrolu, viac prehľadu a silnejšie obranné hranice ako kedykoľvek predtým.

Prečítajte si viac o digitálnych rozvodniach

Prerušenie zabíjacieho reťazca ICS

Digitálne rozvodne sú kľúčovým prvkom prebiehajúcej digitálnej transformácie elektroenergetických systémov. Aj keď táto modernizácia prináša bezprecedentné zlepšenie efektívnosti a viditeľnosti, otvára tiež dvere potenciálnym problémom kybernetickej bezpečnosti. Konvergencia prevádzkových technológií (OT) a informačných technológií (IT) v digitálnych rozvodniach vytvára útočníkom príležitosti spôsobiť rozsiahle výpadky elektrickej energie, poškodenie zariadení a hrozby verejnej bezpečnosti. V tomto článku skúmame výzvy kybernetickej bezpečnosti, ktorým čelia digitálne rozvodne, a poskytujeme praktický rámec pre prevádzkovateľov sietí na posilnenie ich bezpečnostnej pozície.

Útok na elektrickú sieť na Ukrajinu 2015 - budenie

V decembri 2015 zažilo približne 225 000 občanov Ukrajiny výpadok prúdu, ktorý vytvoril prelomový moment v bezpečnosti digitálnych rozvodní. Útok, pripisovaný skupine hrozby Sandworm využívajúcej malware BlackEnergy, bol prvým verejne uznávaným úspešným útokom proti infraštruktúre elektrickej energie, ktorý mal za následok stratu energie pre zákazníkov.

Útočníci vykonali úmyselnú, dobre naplánovanú viacstupňovú operáciu kybernetického hackingu po mesiacoch prieskumu a infiltrácie siete prostredníctvom spear-phishingových kampaní a získali prístup k firemným IT sieťam tohto zariadenia. Odtiaľ sa útočníci obrátili na siete OT rozvodní a nakoniec použili kombináciu legitímnych nástrojov vzdialeného prístupu a škodlivého firmvéru, aby narušili služby napájania a bránili snahy o obnovu.

Tento incident odhalil niekoľko kritických bezpečnostných obáv pre operátorov digitálnych rozvodní: nedostatočná segmentácia siete medzi IT a OT prostrediami, nedostatočné monitorovanie sietí OT, nedostatok viacfaktorovej autentifikácie pre vzdialený prístup a obmedzený prehľad do prevádzky rozvodní.

Poďme preskúmať, ako vyriešiť tieto výzvy a postaviť digitálne rozvodne na silné základne kybernetickej bezpečnosti.

c9535eff-9a54-464e-9c05-0960d993ad1b | Cybersecurity Visual 2022 1:1

Rámovanie problému: Myslieť ako útočník

Aby sme čo najlepšie pochopili, ako chrániť digitálne rozvodne, vezmite si perspektívu útočníka pomocou priemyselného riadiaceho systému Kill Chain. Tento zabíjací reťazec organizuje akcie útočníkov do série operácií, ktoré sa navzájom budujú, aby dosiahli zamýšľaný efekt na konci reťazca (v našom ukrajinskom príklade strata elektrickej energie). Na naše účely použijeme skrátenú verziu zabíjacieho reťazca, v ktorej sa uvádzajú kroky ako Príprava, Intrusion, Pivot to OT, Execute OT a Attack.

Príprava

Útočníci začínajú zhromažďovaním informácií o svojom cieli. V prípade nástrojov to môže zahŕňať identifikáciu umiestnení rozvodní, pochopenie architektúry SCADA, skúmanie zariadení dodávateľov a mapovanie sieťovej infraštruktúry. Ukrajinskí útočníci v roku 2015 strávili mesiace skúmaním svojich cieľov. Podobne sa útok Colonial Pipeline 2021 začal prieskumom, ktorý identifikoval zraniteľné poverenia VPN.

Obranné kontroly: Nástroje by mali minimalizovať svoju digitálnu stopu obmedzením verejne dostupných informácií o konfiguráciách rozvodní a riadiacich systémoch. Školenie zamestnancov v oblasti informovanosti o bezpečnosti by malo zdôrazňovať riziká nadmerného zdieľania operačných detailov na sociálnych médiách alebo profesionálnych sieťach, ako aj správneho zaobchádzania s citlivými údajmi.

Vniknutie

Útočníci získajú vstup do cieľového prostredia. Bežné metódy vstupu zahŕňajú spear-phishingové e-maily, kompromitované aktualizácie softvéru, infikované jednotky USB alebo využívanie systémov orientovaných na internet. Ukrajinskí útočníci použili spear-phishing so škodlivými prílohami balíka Microsoft Office, čo umožnilo inštaláciu škodlivého softvéru BlackEnergy a potrebnú oporu pre následné akcie.

Obranné kontrolyPostupujte podľa osvedčených postupov pre podnikovú IT kybernetickú bezpečnosť vrátane robustných e-mailových bezpečnostných riešení s pokročilými možnosťami ochrany pred hrozbami a sandboxingu, riešení antivírusov/EDR pre firemné pracovné stanice, systémov detekcie vniknutia do siete a bezpečnostných operačných centier (buď interné alebo spravované služby). Zabezpečte, aby tímy OT boli zosúladené a aktuálne s podnikovou stratégiou kybernetickej bezpečnosti IT.

Pivot na OT

Po získaní prístupu k firemným IT sieťam sa útočníci snažia rozšíriť svoj dosah do sietí OT, ako sú tie, ktoré sa nachádzajú v digitálnych rozvodniach. Zvyčajne sa to deje využívaním nezabezpečených riešení vzdialeného prístupu, krádežou platných používateľských poverení z poškodených IT systémov alebo využitím infikovaných prechodných zariadení, ako sú telefóny a notebooky. Použitie infikovaných jednotiek USB pri útoku Stuxnet je jedným z príkladov toho, ako môžu byť ohrozené aj siete s vzduchom. Pri ukrajinskom útoku útočníci použili ukradnuté poverenia z IT systémov na prístup k sieťam OT prostredníctvom pripojenia VPN.

Obranné kontroly: Stanovte prísne pravidlá pre vymeniteľné médiá a externé zariadenia. Udržujte aktuálny inventár aktív všetkého softvéru a firmvéru a aktualizujte aktíva pomocou digitálne podpísaných bezpečnostných opráv (pokiaľ to operácie umožňujú). Riešenia riadenia sieťového prístupu (NAC) môžu zabrániť neautorizovaným zariadeniam pripojení k rozvodňovacím sieťam, zatiaľ čo sieť medzi IT a OT sieťami a zónami rozvodní naruší bočný pohyb. Nasaďte priemyselné systémy detekcie vniknutia (IDS), ktoré rozumejú protokolom OT a dokážu identifikovať anomálnu komunikáciu. Zabezpečte vzdialený prístup pomocou viacfaktorovej autentifikácie a zabezpečte, že vzdialený prístup tretej strany (zvyčajne na údržbu dodávateľa) je rovnako zabezpečený. Odstráňte predvolené poverenia na všetkých IED, relé a sieťových zariadeniach, ideálne implementujte kontrolu prístupu založenú na rolách. Nakoniec pravidelné hodnotenie zraniteľnosti sietí OT pomáha identifikovať slabé stránky skôr, ako to urobia útočníci.

Vykonajte OT Attack

Záverečná fáza spočíva v tom, že útočníci dosiahli svoje ciele — či už krádež údajov, manipuláciu so systémom alebo deštruktívne akcie. Na Ukrajine to znamenalo otváranie ističov (cez rozvodné HMI) na vytvorenie výpadkov elektrickej energie. Ukrajinskí útočníci použili nahrávanie škodlivého firmvéru na prerušenie komunikácie s terénnymi zariadeniami a vykonávali útoky odmietnutia služby v call centrách, čo viedlo k oneskorenému úsiliu o obnovenie a frustrovaným zákazníkom, ktorí nedokázali získať odpovede.

Obranné kontroly: Nasadiť bezpečnostné prístrojové systémy (SIS), ktoré fungujú nezávisle od riadiacich systémov. Udržiavajte offline zálohy konfigurácií a overujte postupy obnovy. Vykonávajte pravidelné stolové cvičenia a cvičenia reakcie na incidenty špecifické pre prostredia OT, aby ste zaistili rýchlu reakciu aj v prípade zlyhania kontrol kybernetickej bezpečnosti.

Zloženie všetkého dohromady - praktický rámec

Ak je obrana digitálnych rozvodní implementácia bezpečnostných kontrol iba polovica boja a elektrické zariadenia musia tiež zosúladiť kontroly so zavedenými regulačnými a priemyselnými rámcami a mapovať obranné opatrenia s požiadavkami CIP NERC a rámcom Cybersecurity NIST (CSF).

Zarovnanie NERC CIP

Normy pre ochranu kritickej infraštruktúry (CIP) spoločnosti North American Electric Reliability Corporation poskytujú povinné požiadavky na kybernetickú bezpečnosť systémov hromadného napájania. Kľúčové normy týkajúce sa digitálnych rozvodní zahŕňajú:

CIP-004 (personál a školenie): Zameriava sa na najkritickejší prvok kybernetickej bezpečnosti: ľudí. Stanovuje požiadavky na prijímanie, školenie a vstup/odchod.

CIP-005 (elektronické bezpečnostné obvody): Rieši opatrenia týkajúce sa segmentácie siete a kontroly prístupu, o ktorých sa diskutuje pri obrane proti vniknutiu a obrátení na OT.

CIP-007 (Riadenie zabezpečenia systému): Zahŕňa každodenné „blokovanie a riešenie“ kybernetickej bezpečnosti: správu opráv, prevenciu škodlivého softvéru, monitorovanie bezpečnostných udalostí a správu účtov. To zahŕňa ochranu koncových bodov, protokolovanie a postupy riadenia zraniteľností nevyhnutné pre včasné odhalenie.

CIP-008 (Plánovanie reakcie na incidenty): Zabezpečuje, aby organizácie rozvíjali, udržiavali a praktizovali svoju schopnosť reagovať na útoky.

CIP-009 (plánovanie obnovy): Zameriava sa na návrat do „normálu“ po útoku. Zabezpečuje nasadenie a overenie zálohových postupov a pravidelné testovanie rýchlosti a presnosti obnovy.

CIP-010 (správa zmien konfigurácie): Definuje základné konfigurácie pre aktíva a vytvára proces riadenia štruktúrovaných zmien pre tieto základné čiary, ktorý zahŕňa testovanie opravy pre prevádzkovú integritu. Zahŕňa aj požiadavky na pravidelné hodnotenie zraniteľnosti.

CIP-015 (Monitorovanie vnútornej Security siete): Najnovšia norma CIP, schválená v lete 2025 a nadobúda účinnosť od októbra 2028. CIP-015 je o tom, aby sme vedeli, čo sa deje „na drôte“: monitorovanie sietí OT, zisťovanie akejkoľvek anomálnej aktivity a prijímanie informovaných rozhodnutí o reakcii.

Integrácia NIST CSF

Rámec Cybersecurity NIST poskytuje flexibilný prístup založený na riziku organizovaný okolo šiestich základných funkcií, ktoré predstavujú komplexnú stratégiu kybernetickej bezpečnosti:

vládnuť: Vytvoriť a monitorovať stratégiu, očakávania a politiky riadenia rizík kybernetickej bezpečnosti organizácie.

Identifikovať: Vytvorte spoločné chápanie rizika kybernetickej bezpečnosti naprieč systémami, aktívami, údajmi a ľuďmi. Získajte prehľad o súčasnej bezpečnostnej pozícii a súvisiacich rizikách.

Chrániť: Implementujte predtým diskutované technické kontroly: segmentácia siete, kontroly prístupu, ochrana koncových bodov atď. Cieľom je znížiť celkový povrch útoku, ktorý môže útočník využiť na získanie opory v sieti.

Detekcia: Nasaďte schopnosti na včasnú správnu identifikáciu výskytu škodlivých udalostí kybernetickej bezpečnosti. Využite údaje agregované zo širokej škály zdrojov na pridanie kontextu k viditeľnosti.

Odpovedať: Po zistení kybernetického útoku podniknite kroky na potlačenie pokroku útočníkov, zmiernenie vplyvu a nakoniec vylúčenie útočníkov zo siete.

Obnoviť: Po neutralizácii hrozby obnovte všetky schopnosti alebo služby, ktoré boli poškodené v dôsledku incidentu. Využite získané skúsenosti na informovanie budúcej bezpečnostnej stratégie.

Kombinácia NERC CIP, NIST CSF a obranných kontrol

Požiadavka NERC CIP

Funkcia (y) NIST CSF

Príklady obrannej kontroly

CIP-004

Riadiť, identifikovať

Bezpečnostné povedomie zamestnancov

CIP-005

Identifikujte, chráňte

Firewall, DMZ, bezpečný vzdialený prístup

CIP-007

Chrániť, odhaliť, odpovedať, obnoviť

Oprava, ťažba dreva, kalenie systému

CIP-008

Odpovedať

Cvičenia reakcie na incidenty

CIP-009

Obnoviť

Offline zálohy, testovacie postupy obnovy

CIP-010

Riadiť, identifikovať, chrániť

Riadenie zmien, hodnotenie zraniteľnosti

CIP-015

Detekcia, odpovedanie

OT sieťové IDS, sieťové zaznamenávanie

Záver

Útok na Ukrajinu z roku 2015 ukázal, že digitálne rozvodne predstavujú kritické ciele, kde sa kybernetické zraniteľnosti môžu priamo premietnuť do fyzických následkov. Avšak pochopením zabíjacieho reťazca útočníka a implementáciou vrstvených obranných nástrojov je možné výrazne znížiť ich rizikový profil. Vďaka buy-inu od tímov IT aj OT a premyslenej aplikácii stratégie môžu byť digitálne rozvodne umiestnené na mimoriadne silnej bezpečnostnej základni a byť pripravené na všetko, čo útočníci budú skúsiť ďalej.

Tento článok bol pôvodne publikovaný v Severoamerická čistá energia.