СТАТТЯ
Безпека критичної інфраструктури: як захистити електростанції від кібератак у сучасному світі
Багато електроенергетичних компаній по всьому світу зацифровують свої системи, щоб підвищити операційну ефективність і задовольнити мінливі запити споживачів. Наприклад, покращене підключення до «розумної» електромережі з використанням стандартів Ethernet і TCP/IP дає змогу ефективно керувати системами контролю енергоспоживання. Втім, це також підвищує ризики, повʼязані з кібербезпекою.
Після атак на енергетичну інфраструктуру України у 2015 та 2016 роках, які призвели до відключення електроенергії, цей сектор продовжує стикатися зі збільшеною кількістю кіберзагроз. А враховуючи повномасштабне вторгнення в Україну в лютому 2022, захист критичної інфраструктури набув надзвичайної важливості — через вдосконалені атаки російських хакерів та серйозність наслідків.
Які існують виклики та як рішення для забезпечення видимості мережі підвищує безпеку та операційну надійність систем — читайте нижче.
Яка поточна ситуація
Кількість атак із використанням програм-вимагачів на промислові організації зросла на 500% з 2018 по 2020 рік, а енергетичні компанії стали другим найбільш постраждалим сектором. Так, Всесвітній економічний форум зарахував збої в кібербезпеці до списку 10 глобальних ризиків у 2021 році. Занепокоєння з приводу відключень електроенергії настільки зросло, що уряди мають вжити відповідних заходів.
В Україні ситуація потребує особливо пильної уваги. Згідно з даними СБУ, з початку 2023 року нейтралізовано майже 4 тис. кібератак на електронні системи центральних органів влади та критичної інфраструктури України.
Щоб підвищити кіберстійкість, багато комунальних підприємств оцінюють можливості для посилення кібербезпеки своїх мереж OT та IoT. Під час розвʼязання проблем, пов'язаних з ескалацією загроз у сучасному середовищі та державною політикою кібербезпеки, важливо знати, що існують рішення, які знижують кіберризики, одночасно підвищуючи операційну досконалість і надійність. Однією з найкращих практик у сфері безпеки є моніторинг атак, ризиків та інцидентів у сфері кібербезпеки в режимі реального часу.
Технічні виклики та як із ними впоратись
Нижче ми виділимо головні технічні виклики, повʼязані з кіберзахистом критичної інфраструктури та поради, як з ними впоратись.
Підстанції
Багато електроенергетичних компаній мають сотні та навіть тисячі підстанцій. Всі вони мають вирішальне значення для реалізації концепції ефективності та адаптивності «розумної» енергосистеми. Їхня основна роль полягає в тому, щоб передавати електроенергію з магістральної мережі в розподільчу мережу з інфраструктурою, яка знаходиться найближче до споживачів електроенергії.
У «розумній» мережі інформація про споживання та операції повинна надсилатися в центральну точку для аналізу системами енергоменеджменту та системами автоматизації підстанцій.
Малюнок 1 - Приклад архітектури розгортання системи автоматизації підстанції та мережі управління
Архітектура кібербезпеки
Ще один виклик — забезпечення гнучких сценаріїв розгортання. Для цього сенсори кібербезпеки повинні бути доступні в різних варіантах. На малюнку 2 показано два сенсори, встановлені на DIN-рейку на рівні звʼязку, в той час як сенсор, встановлений у стійку, використовується в локальній мережі станції. Оскільки підхід є пасивним, інсталяція є ненав'язливою, без простоїв і перебоїв у роботі мережі. Розгортання вимагає лише налаштування моніторингу через SPAN в мережевих пристроях або дзеркалювання портів.
Для того, щоб передача даних за стандартом IEC 61850 жодним чином не була порушена, сенсори кібербезпеки мають зв'язуватися з локальними або центральними консолями управління через виділену локальну мережу управління, повністю відокремлену від виробничого середовища.
У цьому сценарії використовується ієрархічна архітектура консолі управління. Локальна консоль управління (LMC) агрегує дані та сповіщення, що надходять від сенсорів пасивного моніторингу на підстанції. Ця інформація передається через глобальну мережу TCP/IP на центральну консоль управління (CMC), розташовану в Операційному центрі безпеки (SOC).
Малюнок 2 - Типове розгортання системи виявлення загроз і аномалій OT та IoT, реалізоване на різних рівнях архітектури
Електроенергетичні системи
Системи та мережі електроенергії характеризуються великими географічними територіями та значною кількістю інфраструктури. Такі великі масштаби створюють складнощі в управлінні та моніторингу промислового контролю мережі та її пристроїв.
Ось деякі з технічних проблем, а також приклади рішень для їх розвʼязання:
● Масштабованість
Проблема полягає в тому, що рішення має працювати на тисячах підстанцій, кожна з яких має багато активів. Відстеження активів, зокрема їхнього стану в режимі реального часу, вимагає рішення, що може обробляти дуже великі обсяги даних без впливу на продуктивність.
Що робити. Моніторинг мереж OT та IoT має бути розроблений так, щоб легко керувати великомасштабними розгортаннями підстанцій з точки зору встановлення, конфігурації та обслуговування. Реалізація повинна мати ієрархічну архітектуру з сенсорами моніторингу на підстанціях, що взаємодіють на різних рівнях мережі. Групування підстанцій і розгортання сенсорів полегшує управління системою і дозволяє операторам легко отримувати дані на рівні підстанції та на глобальному рівні. Крім цього, функція навчання системи повинна бути динамічною, дозволяючи системі автоматично переходити з режиму навчання в режим захисту. Ефективні рішення з пасивним моніторингом скорочують час розгортання та витрати на технічне обслуговування завдяки використанню інтелектуального підходу при навчанні системи нормальній поведінці мережі.
● Пропускна здатність
Пропускна здатність мережі, що з'єднує підстанції з головним центром управління, зазвичай низька і може бути активною лише «на вимогу». Наприклад, вторинні підстанції в розподільчій мережі можуть виходити на зв'язок лише за потреби.
Що робити. Зв'язок між сенсорами кібербезпеки, розташованими на підстанціях, і рішенням централізованого управління повинен бути максимально оптимізований за пропускною здатністю. Він також має відповідати встановленим обмеженням пропускної здатності в цифровій шині підстанції, що може бути задане на рівні QoS.
● Синхронізація
Синхронізація часу дозволяє відтворювати такі події, як збої, з детальним описом того, що сталося, коли та з яким обладнанням, протягом всієї події.
Що робити. Ефективна технологія для моніторингу мережевої безпеки швидко виявляє будь-які зміни в комунікаціях мережі або стані пристроїв, сприяючи запобіганню та швидкому усуненню загроз, які повʼязані із синхронізацією часу.
Отже, як працює моніторинг технологічних мереж та чому він необхідний?
Електростанції та підстанції зазвичай використовують обладнання від різних постачальників. Це обладнання виконує тисячі процесів у режимі реального часу, генеруючи величезний обсяг даних. Аналіз і моніторинг цих даних для виявлення загроз і аномалій, які можуть бути викликані кібератакою, — місія нездійсненна, з нею не впорається навіть Том Круз.
А ось моніторинг мереж ICS на базі штучного інтелекту та машинного навчання — впорається. Ось як він працює. Як правило, сенсор підключається до SPAN або дзеркального порту комутатора на підстанції чи в операційному центрі. Сенсор приймає та оброблює мережевий трафік і швидко аналізує великі обсяги даних ICS, які неможливо оцінити в інший спосіб.
Цей аналіз даних використовується для покращення операційних процесів та профілів безпеки, що можуть бути унікальними для кожної ICS. Після визначення базових показників мережі в подальшому використовуються поведінкова аналітика та сигнатури загроз для їхнього постійного моніторингу . Результатом є швидке виявлення та сповіщення про кібератаки, кіберінциденти та аномалії критичних процесів.
Отже, на основі цієї інформації, команди можуть запобігати , стримувати та усувати кіберзагрози перш ніж буде завдано значної шкоди.
Висновок
Збільшення кількості кіберзагроз, вимоги керівництва та урядова політика спонукають виробників електроенергії, операторів підстанцій та електромереж підвищувати стійкість своїх систем за допомогою вдосконалення програм безпеки операційних технологій (ОТ) та Інтернету речей (IoT). Для українських компаній ця потреба стоїть особливо гостро, адже в умовах війни критична інфраструктура стає ласим шматочком для ворога.
Важливою частиною цих зусиль є впровадження інноваційних рішень, які покращують видимість, кібербезпеку та відмовостійкість OT та IoT. Без видимості OT та IoT важко залишатися в курсі того, що відбувається на рівні мережі або підстанції. Одна невелика зміна або проблема в мережі може глобально вплинути на безпеку всієї організації.
Під час вибору рішення для безпеки та видимості OT- та IoT-мереж звертайте увагу на: ● Комплексну видимість усіх активів у вашій мережі ● Удосконалене виявлення загроз ● Точність сповіщень про аномалії ● Безперешкодну масштабованість ● Легку інтеграцію з ІТ/ОТ ● Глобальну партнерську екосистему вендора ● Взаємодію з клієнтами та технічну підтримку
З рішенням Nozomi Networks ви можете легко досягти прозорості та безпеки OT та IoT. Рішення забезпечує покращену видимість OT та IoT завдяки автоматичному створенню актуальної інвентаризації всіх активів у мережі. Воно відстежує поведінку активів і мережевий трафік на предмет загроз і аномалій, попереджаючи операторів про зміни, які можуть вказувати на потенційні проблеми.
BAKOTECH та Nozomi Networks активно підтримують український бізнес та допомагають захистити критичну інфраструктуру країни від російських загарбників.
Тому ми готові провести для вас безкоштовний аудит за допомогою рішення Nozomi Guardian, щоб виявити наявні проблеми та підготувати вас до потенційних атак нешановних сусідів.
Дізнавайтесь детальніше →