Artigos técnico
Publicado 11/2019
Segurança Cibernética nos Sistemas SCADA da Rede de Distribuição
Por muito tempo, para os operadores da rede de distribuição elétrica, os sistemas de controle da rede eram protegidos pela “Segurança por Obscuridade”. A infraestrutura das comunicações e protocolos SCADA que era (e na maioria dos casos, ainda é) usada para controlar a rede de distribuição de eletricidade é baseada em protocolos essencialmente inseguros sem concepção inerente para lidar com a ameaça de ações adversas de agentes internos ou de terceiros.
Essa não é uma falha inerente dos sistemas existentes, uma vez que são projetados para operar de maneira confiável e robusta em ambientes desafiadores, fornecendo controle e dados em uma época que o gerenciamento de dados não era a ciência que é hoje, possibilitada pelos avanços na tecnologia de processamento de informações. Porém, com a democratização global do conhecimento e da informação, a validade dos sistemas SCADA, que propõem “Segurança por Obscuridade” ou reivindicam imunidade à ameaça de segurança cibernética por meio do uso de comunicações seriais, está perdendo credibilidade.
Felizmente, muito trabalho tem sido realizado por grupos de trabalho técnicos em associação com protocolos de comunicação da rede de distribuição SCADA. Com o lançamento da Autenticação Segura do Protocolo de Rede de Distribuição, versão 5 (DNP3-SA v5), os sistemas legados, mesmo aqueles baseados em comunicações seriais, são capazes de implantar estratégias econômicas para elevar o nível técnico contra possíveis agressores.
Modelo das Ameaças
Conhecimento fundamental da escola de segurança cibernética, a “Tríade de Segurança” é citada como a base da compreensão da disciplina. Embora comumente conhecidos no campo da tecnologia da informação, os princípios básicos de Disponibilidade, Integridade e Confidencialidade estenderam seus significados quando aplicados às redes de distribuição de eletricidade, conforme a tabela 1.
| Tríade | Descrição | Exemplos de redes de eletricidade | Tipo de Ataque |
|---|---|---|---|
| Disponibilidade | O ativo está disponível para serviço? | O relé ainda está ativo ou está ocupado respondendo mensagens? | Negação de serviço |
| Integridade | As mensagens são autênticas, inalteradas em relação ao conteúdo originalmente enviado ou se originam genuinamente da fonte alegada? | Esse comando para desarmar o disjuntor é legítimo? Meu disjuntor realmente fechou no local de trabalho? A sala de controle realmente emitiu um comando para fechar a ligação do barramento? | Spoofing Man-In-The-Middle Retransmissão |
| Confidencialidade | As mensagens podem ser lidas por visualizadores não autorizados? | Partes externas que conhecem as informações dos parâmetros do sistema de energia | Eavesdropping Análise de Tráfego (formas de vazamento de dados) |
Compreendendo a tríade de segurança no contexto da rede de distribuição de eletricidade, podemos compreender as ameaças enfrentadas pelo DNSP. Utilizando uma matriz de impacto/probabilidade de risco, é possível determinar os impactos para os quais uma estratégia de mitigação técnica deve ser implementada ou aqueles para os quais a apólice de seguro deve ser acionada.
Para redes de distribuição, as ameaças credíveis incluem:
- Spoofing (fingir estar autorizado a enviar comandos como “disparar” ou fechar um disjuntor)
- Modificação (editar mensagens em trânsito para alterar relatórios de dados ou controlar operações)
- Retransmissão (Capturar mensagens em links abertos, como uma rede de rádio, e reproduzi-las para causar danos à rede)
Ironicamente, a reação não técnica imediata é a solicitação de criptografia das comunicações para aumentar a segurança. A realidade é que, no caso de um ataque de retransmissão, o invasor não precisa saber o que a mensagem diz, mas, ao reproduzi-la, o dispositivo receptor simplesmente descriptografará a mensagem e atuará sobre seu conteúdo. A criptografia não é a única resposta – ela trata apenas de parte do problema, que geralmente é apenas uma pequena parcela da superfície de ataque a um DNSP.
A autenticação, no entanto, é uma estratégia de mitigação muito mais eficaz. Se apenas agentes autorizados da rede puderem enviar comandos e os dispositivos remotos estiverem equipados para diferenciar instruções legítimas de falsas, a resiliência da rede ao ataque cibernético aumentará exponencialmente. Felizmente, a implementação do DNP3-SA v5, disponível em encarregados de controlar e proteger as redes de distribuição atuais, como o sistema de Religadores OSM da NOJA Power, fornece ao DNPS um método confiável e econômico para implantação de um programa de aprimoramento da segurança cibernética. Quando os Dispositivos Eletrônicos Inteligentes (IEDs) de rede remota, como religadores, são capazes de diferenciar entre comandos genuínos e falsificados, a segurança cibernética é substancialmente aprimorada.
Essencialmente, o DNP3-SA v5 é uma atualização compatível com versões anteriores do protocolo DNP3 padrão, usado atualmente nos DNSPs, que fornece autenticação do usuário por camada de aplicação. Assim, o DNP3-SA garante que as mensagens transmitidas por meio do SCADA sejam realmente enviadas por usuários autorizados, e os dispositivos remotos ou a estação central podem confirmar que não foram violados. O DNP3-SA foi desenvolvido com base no padrão de segurança cibernética da IEC 63251-5, em conformidade com diversos outros padrões ISO, IETF e NIST.
Considerando a tríade de segurança, o DNP3-SA resolve a integridade do sistema, enfrentando as principais ameaças à distribuição de eletricidade. Esse método fornece uma atenuação técnica para ataques de spoofing, man-in-the-middle e de retransmissão, os quais representam uma ameaça significativa para os DNSPs. O uso do DNP3-SA remove efetivamente tais ameaças das redes DNSP e, com a disponibilidade de ativos compatíveis, como o sistema de Religadores OSM da NOJA Power, as distribuidoras podem atender aos padrões de segurança cibernética, como a IEC 62351, com sua base de ativos existente.
A versão 5 da Autenticação de Segurança DNP3 resolve alguns dos desafios da organização ao assumir a sobrecarga operacional do aumento dos níveis de segurança. A V5 ainda tem a capacidade de alterar remotamente chaves e opções configuráveis para uso de chaves de certificação de autoridade pré-compartilhadas ou certificados de segurança. Também está incluída uma maior proteção contra os ataques de negação de serviço, além de capacidade de registro melhorada, em conjunto com o suporte para algoritmos criptográficos adicionais e objetos de estatísticas de segurança.
“Atualmente, a maioria dos nossos clientes de distribuição de energia está focada em melhorar a segurança de seus sistemas de comunicação. Um primeiro passo razoavelmente simples é adicionar o recurso de autenticação segura DNP3 à sua estação central”, diz Neil O´Sullivan, diretor geral do Grupo NOJA Power. “Nossos controles de religadores possuem autenticação segura DNP3 disponível desde 2015. Para habilitar a autenticação segura de nossos dispositivos DNP3 RC-10 instalados em campo basta ativá-la quando a estação central tiver suporte a ela.”
À medida que as barreiras em torno de informações acerca da tecnologia operacional da rede de distribuição continuam em colapso, as redes de controle baseadas em IP e em série têm crescente vulnerabilidade ao ataque cibernético. A Autenticação Segura DNP3 fornece às distribuidoras um método econômico para redução significativa de ataques à sua rede elétrica e está inclusa como padrão no sistema de Religadores OSM da NOJA Power.
Quer manter-se atualizado sobre a Tecnologia de Distribuição Energia?
Inscreva-se na nossa lista para um boletim técnico semanal gratuito, pois compartilhamos nossa experiência em Engenharia Elétrica Global diretamente em sua caixa de entrada
Inscreva-se →