Operator Systemu Dystrybucyjnego

Projekt: Łączność z obiektami według wytycznych Dyrektywy NIS

automatyka, Energetyka

Cel projektu

Celem projektu było określenie mechanizmu cyberbezpiecznej komunikacji między obiektami, wybór właściwych urządzeń komunikacyjnych dla obiektów końcowych oraz rozpoczęcie procesu wdrożenia. Esencją zagadnienia była migracja techniki, w jakiej zapewniana była łączność między centrum operacyjnym Operatora Systemu Dystrybucyjnego a dziesiątkami wyniesionych stacji i podstacji energetycznych.

Kluczowym aspektem projektu było wykorzystanie wskazówek zawartych w unijnej Dyrektywie NIS i wybór odpowiedniego standardu dotyczącego cyberbezpieczeństwa przekazywania danych w energetyce i automatyce.

Tagi

automatyka
cyberbezpieczeństwo
energetyka
komunikacja
Standard IEC 62351

Szczegóły projektu

Wyzwania projektowe

Operatorzy systemów transmisji danych w energetyce coraz mocniej i intensywniej muszą dbać o ochronę przed nieuprawnionym dostępem do sieci znajdującej się pod ich kontrolą. Ataki na infrastrukturę krytyczną już dawno przestały być przypadkowymi incydentami. Coraz częściej są to świadome i dobrze przygotowane działania o określonym zasięgu. Jeśli nie zostaną powstrzymane lub ograniczone, ich konsekwencje mogą mieć szeroki wpływ na stabilność organizacji, jak i całego sektora.

W sierpniu 2016 roku w Unii Europejskiej weszła w życie Dyrektywa NIS, której celem jest osiągnięcie wysokiego wspólnego standardu bezpieczeństwa sieci i informacji we wszystkich państwach członkowskich. Przez kolejne 21 miesięcy państwa te działały nad skorelowaniem jej wymagań ze swoim prawem krajowym jak również nad określeniem spółek, które podlegają zgodności z dyrektywą.

Sektor energetyczny jest jednym z oczywistych obszarów, który znalazł się w zakresie wymagań stawianych przez Dyrektywę NIS i w konsekwencji przez ustawę o krajowym systemie cyberbezpieczeństwa.

Duża część automatyki i urządzeń jak również mechanizmów stosowanych w sieciach łączności pochodzi z czasów, gdy świadomość i wymagania dotyczące bezpieczeństwa przekazu informacji nie były tak wysokie. Co ciekawe, aspekt ten może dotyczyć nawet współczesnych protokołów opartych na sieciach LAN, takich jak IEC 60870-5-104 czy DNP3.

W związku z powyższym, konieczne jest wyposażenie zarówno starszych jak i obecnych protokołów komunikacyjnych w odpowiednie funkcje, które podniosą poziom cyberbezpieczeństwa i zapobiegną współczesnym zagrożeniom.

Rozwiązania i produkty

Jednym z pierwszych i podstawowych rozwiązań jest stosowanie mechanizmu VPN. Dość powszechne jest przekonanie „VPN = ochrona transmisji”. Niestety, jest to tylko część zagadnienia. Mechanizm wirtualnych sieci prywatnych służy – tylko i aż – do bezpiecznego transferu danych.

Aktualnie równie ważne jest zapewnienie poufności, integralności danych i uwierzytelniania. W jaki sposób można osiągnąć te cele, informuje standard IEC 62351. Wprowadzenie tej normy wnosi znaczący postęp w zakresie bezpieczeństwa sektora energetycznego i zapewnia rozwój bezpiecznych protokołów komunikacyjnych.

Zastosowanie rozwiązań obiektowych zgodnych ze standardem IEC 62351 pozwala wejść na nowy poziom: bezpieczeństwo operacyjne. Norma IEC 62351 pomaga użytkownikom i operatorom systemów krytycznych w osiągnięciu bezpieczeństwa obejmującego między innymi uwierzytelnianie przesyłania danych, zapewnianie tylko uwierzytelnionego dostępu, zapobieganie podsłuchiwaniu czy wykrywanie włamań.

Innymi słowy, mechanizmy uzyskane dzięki zgodności ze wskazanym standardem pozwalają na przykład określić kto i jaką operację może wykonać. Gdzie i skąd. Kiedy. Uwidaczniają także nietypowe lub niespodziewane działania i zachowania w sieci.

W ramach projektu bardzo ważnym elementem było właśnie wprowadzenie bezpiecznej komunikacji. Stan ten osiągnięto dzięki zastosowaniu rozwiązania, w którym brama obiektowa (na stacji lub podstacji) zapewnia połączenie „site-to-site” jako secure IEC 104.

Warto nadmienić, że nie jest to ‘tylko’ VPN przenoszący dane protokołu IEC 104 – co jest powszechnie możliwe do osiągnięcia. W rozwiązaniu zapewniającym zgodność ze standardem IEC 62351 istotne jest bezpieczne uwierzytelnianie (Secure Authentication). To, podkreślając raz jeszcze, wprowadza właśnie bezpieczeństwo operacyjne. Posługując się przykładem oznacza to, że tylko Jan Kowalski i Jan Nowak mogą wykonać dane polecenie przy danym wyłączniku na danym obiekcie.

Korzyści

Zapewnienie transmisji danych w oparciu o rozwiązanie zgodne ze standardem IEC 62351 przyniosło szereg wartości. W szczególności są to takie aspekty, jak:

wprowadzenie nowego poziomu cyberbezpieczeństwa – bezpieczeństwa operacyjnego
zapewnienie integralności, autentyczności i poufności danych przekazywanych w ramach różnych protokołów łączności w systemach energetycznych
możliwość określania funkcjonalnego uprawnień i wykonywanych czynności w sieci
ochrona przed podsłuchiwaniem, zapobieganie odtwarzaniu i podszywaniu się oraz wykrywanie włamań
zachowanie dotychczasowej struktury obiektów stacyjnych oraz opcjonalnie możliwość zachowania istniejącego systemu centralnego
możliwość stopniowej i etapowej realizacji procesu migracji!
zgodność z unijną Dyrektywą NIS i ustawą o krajowym systemie cyberbezpieczeństwa

Podkreślając ponownie, punktem wyjścia jest obecny stan sieci łączności. Możliwe jest stopniowe migrowanie i dążenie do pełnej zgodności ze standardem IEC 62351. Zarówno pod kątem lokalizacji centralnej jak i poszczególnych stacji wyniesionych. I co ważne – mówimy o standardzie oraz o świadomych działaniach – bo to właśnie oznacza poziom operacyjny.

Rozpocznij zatem i Ty działanie w swojej sieci już dziś!

Pozostałe case studies

aleksandra.latocha@tekniska.pl

Czytaj

Energetyka

Energetyka wiatrowa

Projekt: Utworzenie systemu nadzoru nad nowo powstałą elektrownią wiatrową.