Skip to main content
This page is displayed using automated translation. View in English instead?
Slika koja prati članak o sajber bezbednosti u digitalnoj podstanici
Član

Praktični okvir za zaštitu digitalnih trafostanica

Istražite jedinstvene izazove kibernetičke bezbednosti sa kojima se suočavaju digitalne trafostanice i praktičan okvir za operatere mreže kako bi ojačali svoje bezbednosno držanje dajući inženjerima veću kontrolu, više uvida i jače odbrambene granice nego ikada ranije.

Saznajte više o digitalnim trafostanicama

Prekidanje ICS-ovog lanca ubijanja

Digitalne trafostanice su ključna komponenta u tekućoj digitalnoj transformaciji elektroenergetskih sistema. Iako ova modernizacija donosi neviđena poboljšanja efikasnosti i vidljivosti, ona takođe otvara vrata potencijalnim pitanjima sajber bezbednosti. Konvergencija operativne tehnologije (OT) i informacione tehnologije (IT) u digitalnim trafostanicama stvara mogućnosti napadačima da isporuče široko rasprostranjene nestanke struje, oštećenja opreme i pretnje javnoj bezbednosti. U ovom članku ispitujemo izazove kibernetičke bezbednosti sa kojima se suočavaju digitalne trafostanice i pružamo praktičan okvir za mrežne operatere da ojačaju svoje bezbednosno držanje.

Napad na električnu mrežu u Ukrajini 2015. godine - poziv za buđenje

U decembru 2015. godine, oko 225.000 građana Ukrajine doživelo je zamračenje koje je stvorilo prelomni trenutak u bezbednosti digitalnih trafostanica. Napad, koji se pripisuje grupi pretnji Sandvorm-u koja koristi BlackEnergi malver, označio je prvi javno priznati uspešan napad na infrastrukturu električne energije koji je rezultirao gubitkom energije za kupce.

Napadači su izvršili namernu, dobro planiranu, višestepenu operaciju sajber hakovanja nakon višemesečnog izviđanja i infiltracije mreže kroz koplje krađe identiteta i dobili pristup korporativnim IT mrežama uslužnog programa. Odatle su se napadači okrenuli na OT mreže podstanice, na kraju koristeći kombinaciju legitimnih alata za daljinski pristup i zlonamernog firmvera kako bi poremetili uslugu napajanja i ometali napore za oporavak.

Ovaj incident otkrio je nekoliko kritičnih bezbednosnih briga za operatere digitalnih podstanica: neadekvatna segmentacija mreže između IT i OT okruženja, nedovoljno praćenje OT mreža, nedostatak višefaktorske autentifikacije za daljinski pristup i ograničena vidljivost u operacijama trafostanica.

Hajde da istražimo kako da rešimo ove izazove i postavimo digitalne trafostanice na snažnu osnovu za sajber bezbednost.

c9535eff-9a54-464e-9c05-0960d993ad1b | Cybersecurity Visual 2022 1:1

Uokvirivanje problema: razmišljanje kao napadač

Da bismo najbolje razumeli kako zaštititi digitalne trafostanice, uzmimo perspektivu napadača koristeći industrijski kontrolni sistem Kill Chain. Ovaj lanac ubijanja organizuje akcije napadača u niz operacija koje se međusobno nadograđuju kako bi postigli željeni efekat na kraju lanca (u našem ukrajinskom primeru gubitak električne energije). U naše svrhe koristićemo sažetu verziju lanca ubijanja, koja ocrtava korake kao što su Priprema, Upad, Pivot u OT, Izvršenje OT-a i Napad.

Priprema

Napadači počinju prikupljanjem obaveštajnih podataka o svojoj meti. Za komunalne usluge ovo može uključivati identifikaciju lokacija trafostanica, razumevanje SCADA arhitekture, istraživanje opreme dobavljača i mapiranje mrežne infrastrukture. Ukrajinski napadači iz 2015. proveli su mesece proučavajući svoje mete. Slično tome, napad Colonial Pipeline 2021. počeo je izviđanjem koje je identifikovalo ranjive VPN akreditive.

Odbrambene kontrole: Komunalne službe treba da minimiziraju svoj digitalni otisak ograničavanjem javno dostupnih informacija o konfiguracijama trafostanica i sistemima upravljanja. Obuka o svesti o bezbednosti zaposlenih treba da naglasi rizike prekomernog deljenja operativnih detalja na društvenim mrežama ili profesionalnim mrežama, kao i pravilnog rukovanja osetljivim podacima.

Upad

Napadači dobijaju ulazak u ciljno okruženje. Uobičajene metode unosa uključuju e-poruke e-pošte za krađu identiteta, kompromitovane ispravke softvera, zaražene USB diskove ili eksploataciju sistema okrenutih prema internetu. Ukrajinski napadači koristili su krađu identiteta sa zlonamernim prilozima za Microsoft Office, što je omogućilo instalaciju zlonamjernog softvera BlackEnergi i neophodno uporište za naknadne radnje.

Odbrambene kontrole: Pratite najbolje prakse za IT sajber bezbednost preduzeća, uključujući robusna bezbednosna rešenja e-pošte sa naprednom zaštitom od pretnji i mogućnostima sandbok-a, antivirusna/EDR rešenja za korporativne radne stanice, sisteme za otkrivanje upada u mrežu i centre za bezbednosne operacije (bilo interne ili upravljane usluge). Uverite se da su OT timovi usklađeni i u toku sa strategijom IT sajber bezbednosti preduzeća.

Pivot u OT

Nakon što su stekli pristup korporativnim IT mrežama, napadači žele da prošire svoj domet na OT mreže poput onih koje se nalaze u digitalnim trafostanicama. To se obično radi korišćenjem nesigurnih rešenja za daljinski pristup, krađom važećih korisničkih akreditiva iz kompromitovanih IT sistema ili korišćenjem zaraženih prolaznih uređaja poput telefona i prenosnih računara. Upotreba zaraženih USB diskova u Stuknet napadu jedan je primer kako čak i mreže sa vazdušnim zatvaračima mogu biti ugrožene. U napadu na Ukrajinu napadači su koristili ukradene akreditive iz IT sistema za pristup OT mrežama putem VPN veza.

Odbrambene kontrole: Uspostavite stroge politike za prenosive medije i spoljne uređaje. Održavajte ažurirani inventar sredstava svih softvera i firmvera i ažurirajte sredstva digitalno potpisanim bezbednosnim zakrpama (onoliko koliko operacije dozvoljavaju). Rešenja za kontrolu pristupa mreži (NAC) mogu sprečiti neovlašćene uređaje da se povežu na mreže trafostanica, dok će mreža između IT i OT mreža i zona trafostanica poremetiti bočno kretanje. Primenite industrijske sisteme za otkrivanje upada (IDS) koji razumeju OT protokole i mogu da identifikuju anomalne komunikacije. Osigurajte daljinski pristup pomoću višefaktorske autentifikacije i osigurajte da je daljinski pristup treće strane (obično za održavanje dobavljača) na sličan način obezbeđen. Uklonite podrazumevane akreditive na svim IED-ovima, relejima i mrežnim uređajima, idealno primenjujući kontrolu pristupa zasnovanu na ulogama. Konačno, redovne procene ranjivosti OT mreža pomažu u identifikaciji slabosti pre nego što napadači to urade.

Izvršite OT napad

Završna faza uključuje napadače koji postižu svoje ciljeve - bilo da su krađa podataka, manipulacija sistemom ili destruktivne radnje. U Ukrajini je to značilo otvaranje prekidača (preko HMI trafostanica) radi stvaranja nestanka struje. Ukrajinski napadači koristili su zlonamerne učitavanja firmvera kako bi prekinuli komunikaciju sa terenskim uređajima dok su izvršavali napade uskraćivanja usluge na pozivne centre, što je dovelo do odloženog napora oporavka i frustriranih kupaca koji nisu mogli da dobiju odgovore.

Odbrambene kontrole: Implementirati sisteme sa sigurnosnim instrumentima (SIS) koji rade nezavisno od kontrolnih sistema. Održavajte oflajn rezervne kopije konfiguracija i proverite postupke restauracije. Redovno sprovodite vežbe na stolu i vežbe za reagovanje na incidente specifične za OT okruženja, kako biste osigurali brz odgovor čak i kada kontrole sajber bezbednosti ne uspeju.

Spajanje svega - okvir koji se može primeniti

Kada je odbrana digitalnih trafostanica implementacija bezbednosnih kontrola samo pola bitke, a električna preduzeća takođe moraju uskladiti kontrole sa uspostavljenim regulatornim i industrijskim okvirima i mapirati odbrambene mere i prema NERC CIP zahtevima i NIST okvirom za Cybersecurity (CSF).

NERC CIP poravnanje

Standardi zaštite kritične infrastrukture (CIP) Severnoameričke korporacije za električnu pouzdanost pružaju obavezne zahteve za sajber bezbednost sistema masovne energije. Ključni standardi relevantni za digitalne trafostanice uključuju:

CIP-004 (osoblje i obuka): Fokusira se na najkritičniji element sajber bezbednosti: ljude. Postavlja zahteve za zapošljavanje, training i ukrcavanje/iskrcavanje.

CIP-005 (elektronski Security perimetri): Bavi se merama segmentacije mreže i kontrole pristupa o kojima se raspravlja u odbrani od upada i okretanju prema OT.

CIP-007 (Upravljanje bezbednošću sistema): Obuhvata svakodnevno „blokiranje i rešavanje“ sajber bezbednosti: upravljanje zakrpama, sprečavanje zlonamjernog softvera, nadgledanje sigurnosnih događaja i upravljanje nalogom. Ovo uključuje zaštitu krajnjih tačaka, evidenciju i prakse upravljanja ranjivošću neophodne za rano otkrivanje.

CIP-008 (Planiranje odgovora na incidente): Osigurava da organizacije razvijaju, održavaju i praktikuju svoju sposobnost da reaguju na napade.

CIP-009 (Planiranje oporavka): Fokusira se na povratak u „normalu“ nakon napada. Osigurava da su procedure rezervnih kopija postavljene i verifikovane i da se restauracija periodično testira na brzinu i tačnost.

CIP-010 (Upravljanje promenama konfiguracije): Definiše osnovne konfiguracije za sredstva i uspostavlja strukturirani proces upravljanja promenama za te osnovne linije, kako bi se uključilo testiranje zakrpa za operativni integritet. Takođe uključuje zahteve za periodične procene ranjivosti.

CIP-015 (Monitoring unutrašnje Security mreže): Najnoviji CIP standard, odobren u leto 2025. godine i stupa na snagu početkom oktobra 2028. CIP-015 se bavi saznanjem šta se dešava „na žici“: praćenje OT mreža, otkrivanje bilo kakvih anomalnih aktivnosti i donošenje odluka o informisanom odgovoru.

NIST CSF integracija

Okvir sajber Cybersecurity NIST pruža fleksibilan pristup zasnovan na riziku organizovan oko šest osnovnih funkcija koje predstavljaju sveobuhvatnu strategiju sajber bezbednosti:

Upravljati: Uspostaviti i nadgledati strategiju organizacije, očekivanja i politike upravljanja rizikom za sajber bezbednost.

Identifikujte: Izgradite zajedničko razumevanje rizika za sajber bezbednost među sistemima, sredstvima, podacima i ljudima. Dobijte vidljivost u trenutnom bezbednosnom položaju i povezanim rizicima.

Zaštitite: Implementirajte tehničke kontrole o kojima smo prethodno govorili: segmentacija mreže, kontrole pristupa, zaštita krajnjih tačaka itd. Cilj je smanjiti ukupnu površinu napada koju napadač može iskoristiti da bi se učvrstio u mreži.

Otkrivanje: Primenite mogućnosti da pravovremeno identifikujete pojavu zlonamernih događaja sajber bezbednosti. Koristite podatke prikupljene iz širokog spektra sredstava da biste vidljivosti dodali kontekst.

Odgovorite: Nakon otkrivanja sajber napada, preduzmite mere kako biste otupili napredak napadača, ublažili uticaj i na kraju protjerali napadače iz mreže.

Oporavak: Nakon što ste neutralisali pretnju, vratite sve mogućnosti ili usluge koje su oštećene zbog incidenta. Koristite naučene lekcije za informisanje buduće bezbednosne strategije.

Kombinovanje NERC CIP, NIST CSF i odbrambenih kontrola

NERC CIP zahtev

Funkcija (e) NIST CSF

Primeri odbrambene kontrole

CIP-004

Upravljajte, identifikujte

Svest o bezbednosti zaposlenih

CIP-005

Identifikujte, zaštitite

Zaštitni zidovi, DMZ, siguran daljinski pristup

CIP-007

Zaštitite, otkrijte, odgovorite, oporavite

Krpanje, sječa, kaljenje sistema

CIP-008

Odgovorite

Vežbe odgovora na incidente

CIP-009

Oporavak

Izvanmrežne rezervne kopije, testne procedure oporavka

CIP-010

Upravljajte, identifikujte, zaštitite

Upravljanje promenama, procene ranjivosti

CIP-015

Otkrijte, odgovorite

OT mrežni IDS, mrežno evidentiranje

Zaključak

Napad na Ukrajinu 2015. pokazao je da digitalne trafostanice predstavljaju kritične mete gde se sajber ranjivosti mogu direktno pretvoriti u fizičke posledice. Međutim, razumevanjem napadačkog lanca ubijanja i primenom slojevite odbrane uslužni programi mogu značajno smanjiti njihov profil rizika. Uz bui-in i IT i OT timova i promišljenu primenu strategije, digitalne trafostanice mogu biti postavljene na izuzetno jake sigurnosne osnove i biti spremne za sve što napadači mogu pokušati sledeće.

Ovaj članak je prvobitno objavljen u Severnoamerička čista energija.