Segurança da informação em sistemas de automação de energia

maio, 2010

Edição 50, Março de 2010

Por Bernd Nartmann e Konstantin Knorr*

A importância do trabalho conjunto de fornecedores e concessionárias para garantir a segurança tanto de produtos quanto do sistema de automação

Uma mudança global de cultura tem se materializado recentemente no mercado de automação de energia para concessionárias elétricas no que diz respeito à segurança digital. Isso tem se acelerado nos últimos três anos, culminando em padrões novos e metodologias maduras sendo implantadas no mercado energético.

 

 

Concessionárias elétricas operam infraestrutura crítica com o objetivo de garantir a confiabilidade do fornecimento de energia. Portanto, a concessionária está focada na operação ininterrupta e disponibilidade dos diferentes componentes da infraestrutura – centros de controle, subestações, Remote Terminal Units (RTUs – Unidades de Terminal Remotas), até os dispositivos de campo.

 

Antigos sistemas de automação de energia (Energy Automation Systems – EAS) haviam sido desenvolvidos sem a segurança digital em mente. Eles haviam sido operados como “ilhas” com conexões “privadas” de comunicação a outros sistemas. A partir da introdução da internet, os EAS se tornaram cada vez mais interconectados e emergiram como alvos para grupos de “hackers”.

 

O processo de sensibilização para problemas de segurança digital começaram inicialmente de forma muito vagarosa. Os primeiros ataques/incidentes não foram divulgados abertamente e, portanto, não eram predominantemente conhecidos. Hoje em dia a sensibilização para problemas de segurança digital está crescendo devido à importância da infraestrutura energética estar constantemente em operação. A sensibilização de todos os tópicos relacionados à segurança digital precisa ser estendida no futuro para garantir operação ainda mais tranquila da infraestrutura energética crítica.

 

A falha operacional de um EAS pode ter impactos extremamente negativos para a indústria, para o público em geral e para os governos. Indústria e agregados dependem cada vez mais de energia elétrica e ninguém aceitará um “apagão” por conta de ataque digital.

 

Os governos e grandes concessionárias de diferentes países estão agora protegendo a infraestrutura energética crítica de maneira séria. Requerimentos claros e detalhados foram definidos em regras e guias. É preciso que os fornecedores cumpram esses requerimentos para continuar operando.

 

Vários fornecedores já estão implementando e entregando soluções inteligentes para superar falhas na segurança digital. Ao longo do artigo, destacamos mais detalhes a respeito desses desafios, especialmente as alterações nos cenários de vulnerabilidade e padronização. Também abordaremos as considerações de segurança selecionadas para as concessionárias elétricas, especialmente na diferença para a segurança digital de escritórios e patch management (gestão de correções).

 

Novos desafios da segurança digital

Alterações no cenário de vulnerabilidade

Quando observamos o cenário de vulnerabilidade pertinente a EASs nos últimos anos, uma mudança notável na ocorrência e percepção geral de vulnerabilidade pode ser observada. O mundo dos EAS é afetado tanto por eventos de segurança no mundo geral de Tecnologia da Informação (TI) quanto por problemas específicos do setor energético.

 

Em primeiro lugar, é importante notar que existe uma grande comunidade “hacker” na internet, sobre a qual estimativas indicam ter um volume de negócios de cerca de US$ 7 bilhões e está agressivamente procurando novas vulnerabilidades dentro das tecnologias comuns de TI para posterior exploração ou revenda. Em segundo lugar, uma adoção da tecnologia da informação cada vez mais acelerada para EASs levou a uma probabilidade maior de falhas de segurança inerentes a esses sistemas. A combinação desses fatores certamente afeta a segurança geral dos EASs.

 

Diversos indicadores demonstram que a atenção pública a vulnerabilidades de sistemas de automação em geral e da importância de EASs em particular aumentou significativamente. O Relatório de Segurança Digital de Sistemas de Controle (Control Systems Cyber Security Report) mostra que o número de conversas sobre segurança digital para sistemas de controle aumentou 700% entre os anos de 2005 e 2008 e foram distribuídas por vários países. Quando os números de vulnerabilidades são revistos, de 5% a 10% das vulnerabilidades reportadas são relevantes apenas aos sistemas de controle.

 

A atenção adicional à segurança de EAS tem um impacto súbito para fornecedores desses sistemas, já que o foco crescente dos pesquisadores pode levar a mais vulnerabilidades sendo publicadas, as quais deverão ser tratadas pelos fornecedores. Vulnerabilidades em EASs já foram reportadas até em fóruns públicos. Na conferência de segurança S4 SCADA, por exemplo, uma apresentação descrevia não apenas os detalhes técnicos de duas vulnerabilidades, mas também a falta de capacidade do fornecedor de tratá-las de forma rápida.

 

Para evitar futuras exposições negativas devido a tais eventos, fornecedores precisarão estar preparados. As medidas necessárias vão desde mudanças técnicas e organizacionais até problemas de processo em todos os estágios do ciclo de vida dos produtos.

 

Padrões de segurança digital

Padronização em geral é muito importante para concessionárias elétricas, já que ela garante aspectos como independência de fornecedores únicos, compatibilidade, interoperabilidade, segurança e qualidade. Nos últimos anos, o número de documentos a respeito de padronização e regulamentação da segurança digital no setor energético aumentou tremendamente, segundo o Departamento de Energia dos Estados Unidos. As seguintes características ajudam na estruturação e na diferenciação dos documentos:

 

• O documento foi escrito para pessoas com conhecimentos técnicos ou gerenciais?

• Quem é o autor? Órgãos industriais, concessionárias elétricas, órgãos regulatórios, órgãos de legislação ou padronização internacional, como IEEE, ISO ou IEC?

• O documento é específico para empresas da área de energia ou com um foco geral em TI?

• O foco do documento é na operação ou no desenvolvimento dos sistemas?

 

Por exemplo, IEC 62351 é um padrão orientado a desenvolvimento técnico, internacional e específico para empresas de energia. Fornecedores são desafiados pela identificação, adesão e encaminhamento dos padrões apropriados. Um estudo internacional da Siemens rendeu cerca de 80 documentos relevantes para a indústria energética com mais de 10 mil páginas. Dentre esses documentos, “candidatos” especiais foram identificados e recomendados a diferentes partes envolvidas no desenvolvimento e no gerenciamento dos produtos, baseados em critérios como importância para os consumidores e potencial de inovação. A lista a seguir mostra alguns documentos.

 

NERC CIP

O Conselho Norte Americano de Confiabilidade Elétrica (Nerc, do inglês North American Electric Reliability Council) indicou padrões de proteções críticas à infraestrutura (CIP – Critical Infrastructure Protection) para segurança digital de sistemas de força. Esse padrão não fornece medidas técnicas detalhadas, mas sim mais abordagens gerenciais de alto nível para proteger as concessionárias elétricas. Desse modo, esse padrão (que será obrigatório nos Estado

s Unidos) é primariamente relevante para a operação de tais concessionárias, mas fabricantes precisam prover os recursos técnicos requeridos, conforme o Nerc.

 

Informativo BDEW

Publicado pela Associação Federal de Energia da Alemanha, esse informativo trata da segurança digital de sistemas de controle e telecomunicações, além de definir medidas básicas de segurança e requerimentos para sistemas de controle, automação e telecomunicações baseados em TI. A publicação leva em conta condições técnicas e operacionais gerais. O objetivo das medidas de segurança detalhadas nesse informe é garantir a segurança da informação desses sistemas a fim de prover um grau adequado de disponibilidade, integridade, irretratabilidade e confidencialidade para os sistemas e dados processados.

 

Procurement Language (Linguagem Contratual)

O objetivo desse documento é sumarizar os princípios de segurança que deveriam ser considerados durante o desenho e o contrato de produtos de controle de sistemas (software, sistemas e redes) e provê uma amostra de linguagem a ser incorporada a especificações e contratos públicos. Esse documento é um “kit de ferramentas” desenvolvido para reduzir riscos de segurança digital nos sistemas de controle por solicitar que fornecedores e provedores de tecnologia usem a mesma linguagem.

 

IEC 62351

O padrão IEC 62351 é publicado por IEC TC57 WG15. O 57º comitê técnico trata do gerenciamento de sistemas de força e troca de informações associadas entre dispositivos apropriados. O escopo do trabalho do WG15 é desenvolver padrões para aumentar os aspectos da garantia da segurança da informação dos protocolos especificados dentro do TC57, como IEC 61850, ICCP (IEC 60870-6), DNP e IEC 60870-5-104, mas também problemas de segurança relacionados ao CIM/IEC 61970. Os resultados dessas extensões são consolidados no padrão IEC 62351.

 

Soluções de fornecedores na resolução de problemas da segurança digital

Essa seção detalha as recomendações e medidas a serem utilizadas por fornecedores de EASs para combater os desafios já mencionados.

 

Estratégia de implementação de segurança digital para fornecedores

Fornecedores de EASs precisam tratar os crescentes problemas de segurança digital que seus produtos enfrentam, formulando uma estratégia de implementação. Isso é especialmente importante para que fornecedores entreguem não apenas produtos isolados, mas carteiras inteiras de automação energética, já que eles precisam não apenas implantar aspectos de segurança digital nos produtos, mas também harmonizá-los dentro de toda a sua carteira de produtos e suas soluções.

 

No início do processo de desenvolvimento do produto, uma entidade organizacional deve ser formada, e é responsável por tratar e coordenar todas as atividades de segurança de produto dentro da unidade de negócio. Essa entidade pode ser chamada de Grupo de Segurança de Produtos (Product Security Group – PSecG) e é o órgão coordenador central para aspectos da segurança da informação dentro de produtos e soluções de automação energética.

 

Para garantir a cobertura de todos os aspectos da segurança da informação que podem ocorrer durante o ciclo de vida de um produto, esse grupo deve ser composto de pessoal de todos os estágios desse ciclo. Isso pode incluir arquitetos de sistema, desenvolvimento, vendas e teste de sistema, mas também pessoal de estágios finais do ciclo, como entrega de produto e de serviço.

 

Uma vez que o PSecG foi estabelecido, a estratégia e a efinição de tarefas deve ser formulada. Essas tarefas incluem:

 

• A criação e a manutenção de requerimentos obrigatórios de segurança para produtos baseados em padrões industriais, os quais devem garantir controles de segurança apropriados e de última geração para os produtos. Um exemplo é o uso obrigatório de algoritmos e de criptografia de última geração e tamanhos de chaves.

 

• A definição e a imposição de processos de segurança e marcos como portais de qualidade de segurança, por exemplo, a aplicação de testes de segurança durante fases de teste do sistema de cada novo lançamento de produto.

 

• Trabalho de padronização de segurança feito, por exemplo, para direcionar implantações de segurança futuras dentro de protocolos de automação energética como o IEC62351.

 

• Outra tarefa importante do PSecG é a de criar a sensibilização apropriada para segurança digital. Isso pode ser alcançado organizando treinamentos e palestras de segurança ou workshops para garantir que todos os participantes envolvidos entendam os problemas da segurança digital e saibam como lidar com eles.

 

• Um serviço que garante integração dos produtos com o ambiente do cliente deve ser realizado pelo fornecedor. Muitos projetos com clientes mostraram que um produto seguro isolado não é suficiente, já que potenciais vulnerabilidades podem surgir da integração não segura dentro de infraestruturas já existentes, como conectividade a redes de parceiros para troca de energia ou para a rede de escritórios do cliente. Para suprir essas falhas, o fornecedor deve prover serviços adicionais de consultoria técnica, incluindo gestão de correções (patch management) e treinamento, para garantir entendimento apropriado dos problemas de segurança de TI que dizem respeito ao ambiente de automação energética do cliente. Cooperação próxima entre fornecedores e concessionárias elétricas é um fator de sucesso para segurança dos EASs.

 

“Aprofundamentos” selecionados em segurança digital

Devido ao tamanho e complexidade da estratégia de implantação de segurança digital, apenas algumas partes selecionadas podem ser descritas em mais detalhes nesse documento. Os três “aprofundamentos” apresentados aqui vão focar na abordagem do ciclo de vida seguro de produto, na implantação de IEC 62351 e nas avaliações de segurança digital.

 

Segurança no ciclo de vida do produto

Para garantir permanentemente a inclusão da segurança digital em um produto, uma abordagem orientada ao processo é necessária. Portanto, os chamados marcos de segurança têm sido definidos e amarrados aos estágios de desenvolvimento de produto existentes, conforme a Figura 1. Para os últimos estágios da vida de um produto, depois que ele já foi entregue e operado, processos adicionais para tratar segurança na concessionária (por exemplo: defeitos, vulnerabilidade, notificações, testes de aceitação locais e incidentes) são estabelecidos.

 

Figura 1 – Marcos de segurança dentro de um ciclo de vida de EAS na perspectiva de um fornecedor


Implementação de IEC 62351

Quando implementamos IEC 62351, os grandes desafios para a arquitetura de segurança da validade de um produto são autenticação e tópicos de autorização, especialmente tratamento de gestão e certificados, desenho de uma infraestrutura pública e controle de acesso baseado em papéis. O time de arquitetura está ativamente formando o padrão dentro do grupo de trabalho IEC e está suportando a implementação do padrão em diferentes produtos.

 

Avaliações de segurança digital

Avaliações de segurança digital são obrigatórias no desenvolvimento e operação de EASs. Durante a fase de desenvolvimento, avaliações de segurança são usadas para descobrir vazamentos de segurança e ver

ificar adequação com requerimentos predefinidos. Durante a operação de EASs, diversos padrões como Nerc CIP e o informativo BDEW obrigam avaliações regulares de segurança digital.

 

A metodologia apresentada na Figura 2 consiste nas seguintes fases:

 

• Análise de risco: Baseada no padrão internacional ISO 13335, uma análise de risco e ameaça para o EAS é realizada, de preferência em um workshop conjunto de especialistas de desenvolvimento, arquitetura e operação. As mais importantes ameaças são identificadas, documentadas e classificadas.

 

• Avaliação teórica: Baseada em questionários compilados a partir de padrões relevantes como Nerc CIP, informativo BDEW ou na linguagem contratual INL, entrevistas estruturadas são complementadas com especialistas de segurança.

 

• Avaliações práticas (também conhecidas como “invasões amistosas”): O chamado plano de avaliação de segurança lista todos os testes práticos que são realizados no alvo da avaliação. Ferramentas de segurança como scanners de vulnerabilidade, fuzzers de protocolo e scanners de portas são utilizados para automação de tarefas. A avaliação é realizada por uma equipe especializada nesse trabalho de segurança e é independente do desenvolvimento do produto.

 

 

Considerações de segurança digital para a operação de concessionárias elétricas

Uma estratégia de segurança digital de uma concessionária elétrica inclui processo, tópicos organizacionais e medidas técnicas. Não é viável discutir estratégia de segurança digital dentro do escopo desse documento. Portanto, serão destacados apenas tópicos selecionados que os autores considerem especialmente relevantes para concessionárias elétricas.

 

Uma abordagem geral recomendada, contudo, não específica para o setor energético, é descrita na série de padrões ISO 27000. A série de padrões Nerc CIP foi definida especificamente para o volume de sistema elétrico dos Estados Unidos. Todavia, ela pode ser usada como guia para outras regiões.

 

Segurança digital para o setor energético é diferente de TI de escritório

Quando consideramos segurança digital no setor energético, é importante conhecer as diferenças comparadas à segurança de TI em cenários clássicos de escritório. Enquanto em ambientes de escritório os objetivos de segurança tipicamente dominantes são confidencialidade e autenticidade, nos EASs disponibilidade e integridade vêm em primeiro lugar (conforme a Figura 3). Adicionalmente, os mecanismos de segurança correspondentes não devem ter um impacto negativo na funcionalidade de proteção e na confiabilidade dos EASs em nenhuma situação. Esse é um desafio fundamental, conforme o subtítulo “Patch management” mostrará.

 

Outra diferença é o tempo de vida esperado dos componentes utilizados. Enquanto para a TI de escritório predominam ciclos de investimento relativamente curtos, a expectativa de vida de um EAS pode ser de até 20 anos. Isso coloca diversos requerimentos especiais, por exemplo, em relação a algoritmos de segurança e tamanhos de chave utilizados, bem como a capacidade de atualização desses parâmetros.

 

Critérios adicionais para diferenciação são requerimentos de tempo real e tolerância a falhas.

 

Interação entre fornecedores e concessionárias elétricas

A importância de interação próxima entre fornecedor e concessionária elétrica pode ser ilustrada analisando as diferenças entre os padrões e os requerimentos Nerc CIP. A Figura 4 mostra como todos os requerimentos devem ser atingidos pela concessionária elétrica com forte suporte de três diferentes partes do fornecedor: gerenciamento/desenvolvimento de produtos, entrega do projeto e serviços. No caso de prevenção de software malicioso (Nerc CIP 007 R4), a gestão/desenvolvimento de produto define, cria e testa um esquema de proteção para o EAS incluindo um antivírus adequado de terceiros. Esse esquema de proteção está sendo implantando e atualizado na concessionária pela equipe de serviços em cooperação próxima com os operadores, por exemplo, na definição do local de atualização de servidor e procedimentos correspondentes. Outro exemplo importante é a gestão de correções (patch management).

Integrity (Data)


Figura 4 – Padrões Nerc CIP e as responsabilidades e atividades de suporte correspondentes relacionadas às partes envolvidas. Campos em verde escuro indicam responsabilidade/suporte total; campos em verde claro indicam atividades de suporte ou envolvimento em requerimentos selecionados

Gestão de correções (Patch Management)

Muitos padrões, incluindo aqueles discutidos anteriormente, têm identificado e definido o patch management como um importante alicerce da segurança digital.

 

Patch management inclui:

(1) atualizações de segurança do código de aplicativos do fornecedor; e

(2) atualizações de segurança nos software de terceiros utilizados no EAS.

 

Exemplos disso são sistemas operacionais, como SUN Solaris e Microsoft Windows, bem como bases de dados [Oracle].

 

O desafio fundamental é aplicar as atualizações necessárias de segurança de maneira oportuna e garantir – ao mesmo tempo – a disponibilidade e a confiabilidade do sistema. A solução proposta é uma abordagem orientada ao processo em cooperação próxima entre fornecedores e concessionárias elétricas. Aqui está uma descrição textual simplificada do processo:

 

O fornecedor monitora sistematicamente seu EAS para vulnerabilidades, que são analisadas, suas relevâncias identificadas, e suas prioridades – incluindo a urgência e linha do tempo seguinte – são definidas seguindo uma análise de ameaça/risco. Se nenhuma correção (patch) está disponível, uma solução paliativa adequada é proposta. Um patch requer testes exaustivos e validação no teste de sistema. A informação a respeito do patch ou da solução paliativa é então comunicada para teste adequado na concessionária antes de instalá-los no sistema de produção. Redundâncias físicas do sistema são úteis: nesse caso os servidores podem ter os patches aplicados um após o outro. Note que, como a confiabilidade de disponibilidade do EAS é importante, testes são necessários em diversos estágios durante esse processo.

 

Este processo, especialmente as interfaces e as responsabilidades, deveria ser mutuamente acordado. Patch management pode também ser realizado pela equipe de serviços do fornecedor, possivelmente remota de uma forma eficiente em custos.

 

Conclusão

Abordagens diferentes têm sido derivadas por fornecedores para encarar os novos desafios com relação à segurança digital no setor energético. Cumprimento dos padrões, implementação orientada a processo de resiliência de segurança digital nos produtos e soluções, além de cooperação próxima entre fornecedores e concessionárias elétricas são os fatores princ

ipais para garantir uma operação correta de EASs para infraestrutura crítica de energia.

 

A definição de padrões sempre precisa ser feita em cooperação próxima entre grupos de padronização e regulação, concessionárias e fornecedores porque é necessária uma solução que possa ser gerida com alta qualidade e aceitação.

 

O processo de implementação começa imediatamente no início do ciclo de vida do produto com a definição de requerimentos derivados de padrões. A implementação de funcionalidades também cobre testes e avaliações regulares de segurança e, é claro, um processo de patch management para a fase operacional.

 

Finalmente, a infraestrutura personalizada da concessionária precisa ser inclusa em todas essas abordagens. Apenas produtos e soluções seguras em um ambiente igualmente seguro garantem o sucesso no combate aos ataques de segurança digital. Uma cooperação próxima entre a concessionária e o fornecedor é, portanto, absolutamente necessária. Fornecedores suprindo cadeias de automação inteiras têm a vantagem de coordenar produtos e soluções internamente para limitar os esforços de coordenação e evitar mal entendidos.

 

 

Bibliografia

  • Symantec, “Symantec Report on the Underground Economy”, Nov. 2008, http://www.symantec.com/content/de/de/about/downloads/PressCenter/20081124_UE_Report_Final.pdf.
  • Sean McBride, “CSSP Quarterly Trends and Analysis Reports”, Control Systems Security Program for US Department of Homeland Security”, http://www.us-cert.gov/control_systems.
  • E. Udassin, “Control System Attack Vectors and Examples: Field Site and Corporate Network”, Proc. S4 SCADA security conference, 2008, http://www.c4-security.com/SCADA%20Security%20-%20Attack%20Vectors.pdf.
  • Department of Energy, “A Summary of Control System Security Standards Activities in the Energy Sector”, 2005, http://www.oe.energy.gov/DocumentsandMedia/Summary_of_CS_Standards_Activities_in_Energy_Sector.pdf.
  • North American Electric Reliability Council, Critical Infrastructure Protection Standards, http://www.nerc.com/page.php?cid=2%7C20.
  • BDEW, “White Paper: Requirements for Secure Control and Telecommunication Systems”, Version 1.0, Berlin, 2008, http://www.bdew.de/bdew.nsf/id/A975B8333599F9B0C12574B400348E7A/$file/Whitepaper_Secure_Systems_Vedis_1.0final.pdf.
  • Department of Homeland Security, “Cyber Security Procurement Language for Control Systems”, Version 1.8, 2008, http://www.msisac.org/scada/documents/4march08scadaprocure.pdf.
  • T. Brandstetter, K. Knorr and U. Rosenbaum, “A Structured Security Assessment Methodology for Manufacturers of Critical Infrastructure Components”, Proc. of the IFIP SEC 2009, http://www.sec2009.org.
  • Siemens Energy Sector, Power Distribution Division, Energy Automation: Totally Integrated Energy Automation, “Simplify your IT-Security” Brochure, Nuremberg, October 2007 (Print version)*.
  • K. Knorr and R. Link, “Security in the Design, Development and Testing of SCADA.
  • Systems for Energy Infrastructures: the Siemens experience”, Proc. ESTEC Workshop, Brussels, 2008.
  • P. Skare, “SCADA Security Innovations”, Proc. SANS Process Control and SCADA Security Summit, Florida, March 2006, https://portal.sans.org/scada06/.
  • K. Knorr, S. Fries and M. Seewald, ”Informationssicherheit für die Energieautomatisierung: IEC 62351 – Herausforderungen und Lösungsansätze“, ew.
  • Energiewirtschaft, Jg. 107 (2008), Heft 21, S. 56 – 61 (in German).
  • NIST Special Publication 800-82, “Guide to Industrial Control Systems Security”, Final Public Draft, September 2008, http://csrc.nist.gov/publications/drafts/800-82/draft_sp800-82-fpd.pdf.
  • Department of Homeland Security, National Cyber Security Division, Control Systems Security Program, “Recommended Practice for Patch Management of Control Systems”, December 2008, http://csrp.inl.gov/Documents/PatchManagementRecommendedPractice_Final.pdf.

 

 

 

Este artigo foi originalmente apresentado no VIII Simpósio de Automação de Sistemas Elétricos (Simpase), que aconteceu no Rio de Janeiro (RJ) entre os dias 9 e 14 de agosto de 2009.

Comentários

Deixa uma mensagem

%d blogueiros gostam disto: