Cibersegurança de subestações
São necessárias várias camadas para garantir a segurança cibernética das subestações. A criptografia permite a autenticação de dispositivos, mas nem todos os ataques podem ser evitados com essas medidas. Firewalls e “lacunas de ar” podem ser contornados por meio de túneis de acesso remoto existentes ou por meio de computadores de manutenção diretamente conectados aos IEDs ou ao barramento da estação.
Portanto, são necessárias medidas para detectar ameaças na subestação para permitir uma resposta rápida e minimizar as consequências.
Este artigo técnico irá descrever os requisitos de segurança das subestações e uma nova abordagem para detectar ameaças nessas redes.
Observe que não é necessário criptografar a mensagem para obter esses recursos. Para entregar e manter essas chaves de autenticação para cada IED, uma infraestrutura de gerenciamento de chaves é necessária dentro da subestação.
Encriptação
A criptografia não foi mencionada, embora seja frequentemente vista como a solução mágica para segurança. O padrão IEC 62351 também fornece criptografia para GOOSE e MMS. No entanto, no ambiente de subestação, existem apenas algumas aplicações imagináveis nas quais a confidencialidade das mensagens é importante .
Se as mensagens não podem ser adulteradas (integridade) e o originador pode ser verificado (autenticação) - o que é realizado usando autenticação em GOOSE e MMS, não é necessário criptografar as mensagens. Um exemplo em que a criptografia pode ser necessária é se o GOOSE roteável (R-GOOSE) for transmitido por um caminho de comunicação não criptografado.
A criptografia também dificulta uma análise posterior das gravações de tráfego e impede abordagens de monitoramento como as descritas abaixo.
Defesa em profundidade - sistema de detecção de intrusão (IDS)
A maioria das subestações IEC 61850 construídas até agora não implementou o IEC 62351. Mesmo em subestações onde GOOSE e MMS com códigos de autenticação são aplicados, dispositivos infectados na rede ainda podem infectar outros dispositivos ou afetar a disponibilidade perturbando o sistema de comunicação.
Portanto, a maioria dos frameworks de segurança recomenda o uso de “Intrusion Detection Systems” (IDS) , um termo bem conhecido dos sistemas de TI clássicos, para detectar atividades maliciosas na rede para poder responder rapidamente e minimizar os danos.
Requisitos para IDS em subestações
Em uma subestação IEC 61850, um IDS seria conectado conforme ilustrado na Figura 2. As portas de espelho, também conhecidas como portas SPAN em todos os switches relevantes encaminham uma cópia de todo o tráfego de rede para o IDS. O IDS inspeciona todo o tráfego de rede comunicado por meio desses switches.
Para poder analisar o tráfego mais importante entre o gateway e os IEDs, o IDS deve, no mínimo, ser conectado ao switch próximo ao gateway e a todos os outros pontos de entrada críticos na rede .
Os switches de nível de compartimento geralmente não precisam ser cobertos, pois normalmente apenas o tráfego multicast (GOOSE, valores amostrados) se origina de lá.
Para garantir que todo o tráfego unicast em todas as ramificações da rede seja analisado, é essencial que todos os switches sejam espelhados no IDS, o que nem sempre é possível se os chips de switch integrados aos IEDs forem usados no nível do bay.
No entanto, os IDS da TI clássica não são adequados para o ambiente de subestação. Enquanto a segurança de TI clássica se preocupa com servidores de alto desempenho com milhões de conexões ao mesmo tempo, a segurança de TI da subestação lida com dispositivos com recursos limitados, sistemas operacionais personalizados, demandas em tempo real e protocolos de redundância especializados.
Assim, um IDS de subestação deve ser capaz de detectar ataques sem nenhum conhecimento prévio sobre como o ataque pode ser, e é exatamente isso que o StationGuard da OMICRON faz. Essa é uma abordagem muito diferente da de um antivírus, que tem uma lista de assinaturas de vírus que procura.
Sistemas baseados em aprendizagem
Para ser capaz de detectar ataques desconhecidos, muitos fornecedores usam uma abordagem de “fase de aprendizagem” , também conhecida como “ abordagem de linha de base “. Esses sistemas examinam a frequência e o tempo de certos marcadores de protocolo para tentar aprender o comportamento normal do sistema.
Após a conclusão da fase de aprendizado, um alarme será disparado se um dos marcadores estiver significativamente fora da faixa esperada. Isso faz com que alarmes falsos sejam disparados para tudo o que não ocorreu durante a fase de aprendizado, como eventos de proteção, comutação ou ações de automação ou manutenção e testes de rotina. Como esses sistemas não entendem a semântica dos protocolos, as mensagens de alarme são expressas em termos de detalhes técnicos do protocolo.
Portanto, os alarmes só podem ser examinados por um engenheiro qualificado nos detalhes do protocolo e familiarizado com a segurança da rede de TI. O engenheiro que examina o alarme também deve saber sobre a situação operacional para julgar se determinados eventos do protocolo IEC 61850 correspondem a um comportamento válido.
A abordagem
Para subestações IEC 61850, todo o sistema de automação, incluindo todos os dispositivos, seus modelos de dados e seus padrões de comunicação são descritos em um formato padronizado - o SCL (System Configuration Language) . Os arquivos de descrição da configuração do sistema (SCD) normalmente também contêm informações sobre os ativos primários e, para um número cada vez maior de subestações, até mesmo o diagrama unifilar está presente.
Monitoramento de segurança funcional
Um monitoramento funcional muito detalhado é produzido para detectar ameaças cibernéticas na rede. Devido ao nível de detalhe da verificação, não são apenas ameaças à segurança cibernética, como pacotes malformados e ações de controle não permitidas, que são detectadas, mas também falhas de comunicação, problemas de sincronização de tempo e, consequentemente, também (certas) falhas de equipamento.
Cibersegurança do próprio IDS
Como sabemos pelos filmes de grau B, os ladrões sempre atacam primeiro o sistema de alarme contra ladrões. E quanto à segurança deste sistema de alarme? Um aspecto importante é que um hardware independente e seguro é usado, e não uma máquina virtual.
Ao instalar os certificados OMICRON neste chip durante a produção, uma cadeia de inicialização medida e segura é criada. Isso significa que cada etapa do processo de inicialização do firmware verifica as assinaturas do próximo módulo ou driver a ser carregado. Isso garante que apenas o software assinado pela OMICRON possa ser executado.
Muitos outros mecanismos garantem que os processos no dispositivo não possam ser atacados ou usados indevidamente, de modo que a abordagem de “defesa em profundidade” também seja aplicada profundamente no software em execução no dispositivo.
As subestações fornecem vários vetores de ataques em potencial para ataques cibernéticos. Se um invasor for capaz de influenciar uma ou mais subestações, isso pode ter consequências graves para a rede. Portanto, medidas eficazes de cibersegurança devem ser implementadas, não só nos centros de controle, mas também nas subestações.
No nível da subestação, está disponível uma abordagem para detecção de intrusão que fornece um pequeno número de alarmes falsos e ainda baixos overheads de configuração devido à energia do SCL. StationGuard não apenas detecta ameaças de segurança, mas também problemas funcionais na configuração e comunicação são detectados - o que também é útil nas fases FAT e SAT.
Conte com nosso time de Experts da Brasiline!
Nosso objetivo é garantir um alto nível de serviço e qualidade nos projetos, para que a sua TI seja usada de forma estratégica, a favor dos seus negócios e das pessoas envolvidas. Assim, sua empresa pode focar no que realmente interessa: no seu core business.
Conte com nossos Experts e garanta para sua operação um suporte técnico ágil e eficiente.
Para saber mais, fale com um de nossos consultores Brasiline.
Veja também: