Breaking news
ENERGA-OPERATOR rozstrzygnęła postępowanie zakupowe obejmujące dostawy blisko 0,5 mln liczników zdalnego odczytu. Montaż liczników rozpocznie się w 2022 roku.

Komentarz Józefa Sulwińskiego, Prezesa SEQRED, odnośnie Raportu "Wymagania w zakresie łączności radiowej dla sektora energii w dobie transformacji cyfrowej" dla Smart-Grids.pl.

 

 Józef Sulwiński, Prezes SEQRED:

 

Z dużym zainteresowaniem zapoznałem się z udostępnionym 14 stycznia br. Raportem "Wymagania w zakresie łączności radiowej dla sektora energii w dobie transformacji cyfrowej". Dokument jest wartościowym głosem w dyskusji dotyczącej sposobu wykorzystania dedykowanego pasma w zakresie częstotliwości 450 MHz przez polski sektory elektroenergetyczny, gazowy i paliwowy.

Siadając do lektury, spodziewałem się informacji na temat wymagań odnośnie zakresu budowy/wdrożenia oraz zakresu świadczonych w przyszłości usług, ze szczególnym uwzględnieniem kwestii cyberbezpieczeństwa. Uważny czytelnik znajdzie w podsumowaniu raportu krótką listę wymagań, które powinny zostać uwzględnione podczas budowy sieci, tj.:

  • zapewnienie niezawodności, dyspozycyjności oraz odporności na sytuacje związane z katastrofami naturalnymi – zapewnienie łączności przez co najmniej 8 godzin po wystąpieniu awarii;
  • poufność przetwarzanych danych;
  • możliwość rekonfiguracji sieci bez konieczności długotrwałych uzgodnień biznesowych;
  • zapewnienie pokrycia radiowego tam, gdzie znajdują się obiekty energetyczne – w tym wewnątrz budynków, dla obiektów zlokalizowanych z dala od skupisk ludzkich;
  • bezpieczeństwo transmisji danych, które jest wyższe w sieci dedykowanej.

I właśnie konkluzja autorów raportu, iż bezpieczeństwo transmisji danych jest wyższe w sieci dedykowanej, zwróciła moją uwagę. Dlatego też przywołane w tytule niniejszego artykułu pytanie nasuwa się samo po lekturze rozdziału 6. „Aspekty cyberbezpieczeństwa w energetyce”. Rozdział ten przedstawia przykłady historycznych ataków na sieci teleinformatyczne oraz ogólną charakterystykę cyberzagrożeń. Nawet jako protagoniście koncepcji budowy dedykowanej sieci telekomunikacyjnej na potrzeby sektora energii, trudno mi bronić przestawionej w omawianym rozdziale konkluzji "(...) Dedykowana sieć łączności zapewnia znaczące korzyści w zakresie cyberbezpieczeństwa.", na podstawie przytoczonych tam argumentów.

Warto zwrócić uwagę, że przytoczone przykłady ataków cybernetycznych nie są adekwatne do przedstawionej konkluzji. Przykładowo, atak na Prykarpattya Oblenergo w obwodzie iwanofrankowskim był przeprowadzony najprawdopodobniej z wykorzystaniem spear phishingu [1]. Również, w pozostałych przytoczonych w raporcie przykładach atakujący korzystali z różnorodnych taktyk, technik i procedur m.in. spear phishing z przejętych kont e-mail, taktyki wodopoju (ang. waterholing) czy np. gromadzenie danych uwierzytelniających. W takich atakach budowa wydzielonej sieci telekomunikacyjnej niewiele by pomogła. Kreowanie takich złudzeń po stronie przyszłych klientów z sektora energetycznego może, w mojej opinii, przynieść więcej szkód niż korzyści.

Bardzo wartościową część raportu stanowi opis potrzeb sektora energetycznego związanych z teletransmisją. Jest to również doskonały punkt wyjścia do określenia potrzeb i wymagań związanych z cyberbezpieczeństwem nie tylko sieci teletransmisyjnej, ale również usług związanych z transmisją danych i głosu. Skala zjawiska oraz trend związany z atakami cybernetycznymi na sektor energetyczny i szerzej – infrastrukturę krytyczną – zmuszają do zmiany sposobu myślenia o cyberbezpieczeństwie. Potrzeby oraz wymagania dotyczące bezpieczeństwa transmisji oraz usług, do których ta transmisja jest wykorzystywana, muszą być traktowane łącznie z potrzebami związanymi z jakością, wydajnością czy pojemnością sieci (należy pamiętać, że wdrożenie zaawansowanych mechanizmów cyberbezpieczeństwa będzie pociągało za sobą konsumpcję zasobów sieci) od wczesnych etapów przedprojektowych.

Dobra praktyka zarządzania bezpieczeństwem wskazuje, że źródłem wymagań bezpieczeństwa powinna być analiza ryzyka prowadzona już na etapie dyskusji o potrzebach biznesowych, której rezultatem powinny być: identyfikacja zagrożeń oraz zdefiniowanie sposobów ich mitygacji. Pozwala to na zaprojektowanie optymalnych mechanizmów bezpieczeństwa, adekwatnych do oszacowanego poziomu ryzyka. Warto zwrócić uwagę, że mechanizmy bezpieczeństwa, o których tu mowa, nie dotyczą jedynie stosowanych środków technicznych, ale również organizacyjnych (kompetencje i procesy).

Skuteczne wdrożenie mechanizmów bezpieczeństwa będzie z kolei wymagało zdefiniowania standardów, które będą musiały być przestrzegane przez użytkowników sieci, co wprost oznacza konieczność zdefiniowania usług, które będą świadczone przez operatora sieci telekomunikacyjnej.

Ten postulat sprowadza się do tego, że to operator sieci telekomunikacyjnej musi zdefiniować obligatoryjne dla wszystkich użytkowników zasady bezpiecznego korzystania z usług teletransmisji, pozwalające zachować wysoki poziom bezpieczeństwa zasobów krytycznych. Przykładami może być konieczność zdefiniowania standardów dla provisioningu urządzeń końcowych wymuszających definiowanie jedynie prywatnych i dedykowanych APN dla transmisji danych z urządzeń telemetrycznych, czy konieczność każdorazowego zabezpieczenia transmisji poprzez wykorzystanie jedynie protokołów zapewniających poufność i integralność przekazywanych komunikatów lub zapewnienia bram szyfrujących w przypadku wykorzystywania protokołów przemysłowych nie posiadających implementacji odpowiednich mechanizmów kontrolnych (np. Modbus/TCP, IEC60870-5:104, DNP3, IEC61850).

Jestem przekonany, że na obecnym etapie należy rozbudować założenia dla prezentowanej w raporcie koncepcji sieci telekomunikacyjnej o spojrzenie strategiczne na aspekty cyberbezpieczeństwa, a sam raport uzupełnić (np. w formule załącznika lub po prostu wydania wersji 2.0) o analizę ryzyk cybernetycznych i opis wymogów dla rozwiązań je adresujących. Pozwoli to wybudować infrastrukturę w kształcie i zakresie, na które czeka sektor energii i uniknąć konieczności retrospektywnego wbudowywania mechanizmów bezpieczeństwa na etapie testów bezpieczeństwa czy też w następstwie audytów powdrożeniowych lub wniosków z sytuacji kryzysowych.

Gorąco zachęcam koleżanki i kolegów ze środowiska cyberbezpieczeństwa OT/ ICS do zaangażowania w tę inicjatywę, sam jednocześnie deklarując w stronę autorów raportu wolę współpracy i chęć kontrybucji – nie mam wątpliwości, że warto!

 

[1] Spear phishing to bardziej wyrafinowana forma standardowego ataku phishingowego. W pełni spersonalizowana i poprzedzona wywiadem środowiskowym.

 

POBIERZ RAPORT:

 

Pozostałe komentarze:

 

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu tylko za zgodą wydawcy ARTSMART Izabela Żylińska.