POVEĆANJE BEZBEDNOSTI SCADA/EMS SISTEMA METODOM SEGMENTACIJE

Jelena Car, IMP-Automatika

Sadržaj – Elektroenergetska infrastruktura ima prioritet kada su sredstva za povećanje bezbednosti sistema u pitanju, pošto od stabilnog i pouzdanog rada ovog sektora zavisi rad čitavog društva: telekomunikacija, transporta, privrede, bankarstva, raznih servisa, sve do osnovnih životnih uslova stanovništva u gradovima. U radu će biti predstavljena segmentacija SCADA mreže, kao polaznog principa dubinske zaštite SCADA/EMS sistema. 1. UVOD

Održivost je osnovna osobina elektroenergetskih sistema. Da bi sistem bio održiv, mora da očuva osnovne upravljačke funkcije prilikom ispada nekih njegovih delova. Implementiranje zaštitnih mehanizama u elektroenergetskim sistemima je u velikoj meri otežano zbog geografske razuđenosti sistema i zbog velikog broja pristupnih tačaka osetljivih na upade hakera u mrežu. Povećano interesovanje za sigurnost mreže elektroenergetskog sistema usledilo je posle niza incidenata i provera koji su pokazali stepen ranjivosti sistema, a od kojih su najpoznatiji: • testiranje bezbednosti elektroenergetske mreže u USA,

zbog koga su NSA (National Security Agency), FBI (Federal Bureau of Investigation) i DoD (Department of Defence) izvršili nekoliko upada u upravljački, obračunski i administrativni deo mreže i preuzeli upravljanje nad njima, i koji su pokazali su da je sistem široko otvoren i da dozvoljava neograničen pristup spolja. [1]

• namera hakera da "obore" elektroenergetsku mrežu koja obuhvata trideset kompanija u USA, koju su objavili u oktobru 1999. godine. Ova objava je koincidirala sa zvaničnim vladinim upozorenjem u kome se kaže da: "Jedna osoba, sa računarom, modemom i telefonskom linijom bilo gde u svetu može da izazove ispad elektroenergetskog sistema čitavog regiona". [2]

• prikupljanje podataka o proizvodnoj i prenosnoj elektroenergetskoj, gasnoj i vodovodnoj strukturi, nuklearnim elektranama i telefonskim alarmnim sistemima za slučajeve uzbune, koje je vršila grupa hakera (moguće terorista) iz Pakistana, Indonezije i Saudijske Arabije godine, a koju je otkrio FBI u jesen 2001.

• pojava Slammer-a, u januaru 2003. godine, najbrže raširenog crva u istoriji interneta, koji se proširio mrežom za samo osam minuta ostavljajući čitave države izvan sistema (Koreju, recimo). Tom prilikom su dve elektroenergetske kompanije u USA osam sati bile bez kontrole nad svojim sistemima. [1] Tačni podaci o broju sajber incidenata ne postoje. Veliki

broj kompanija ne prijavljuje takve incidente, uglavnom zbog bojazni da će izgubiti poverenje partnera ili klijenata, međutim, na osnovu podataka koji postoje može se zaključiti sledeće: • na kraju dvadesetog veka došlo je do naglog porasta

broja incidenata koji su ugrozili bezbednost kompanija; • spoljni izazivači incidenata sada imaju dominantnu ulogu

u ugrožavanju bezbednosti, sa oko 70% učešća, prema

5% sa koliko su zastupljeni unutrašnji uzročnici. Do 2000. godine, incidente su skoro ravnopravno izazivali spoljni (31%) i unutrašnji (38%) činioci i slučajnosti (31%). [3] Nagli porast registrovanih incidenata može se donekle

objasniti povećanim interesovanjem za njih i pažljivijim i sistematičnijim registrovanjem takvih događaja, ali i činjenicom da upravljački sistemi postaju deo infomacionih sistema koji u svom sastavu imaju brojne mrežne servise, među kojima je i internet. Takodje, pojavio se novi tip upada u sisteme, koji se pre može nazvati automatskim nego direktnim pošto se radi o virusima koji upadaju u sve sisteme u koje mogu, šireći se internetom bez nekih posebno definisanih meta napada, čime se povećava ukupan broj ostvarenih napada i izazvanih incidenata (Code Red, u julu 2001.). 2. BEZBEDNOST SCADA/EMS SISTEMA

Bezbednost elektroenergetskog sistema umnogome zavisi od bezbednosti SCADA/EMS sistema i zbog toga bi bilo neophodno napomenuti uobičajene zablude koje se odnose na sigurnost SCADA/EMS sistema. [2] Uobičajena je pretpostavka da je mreža SCADA sistema samostalna i fizički odvojena i da se SCADA sistemu ne može pristupiti sa udaljenih pristupnih tačaka kroz mrežu preduzeća. [3] U stvarnosti, SCADA mreža i ostatak IT sistema su povezani tako da da pristup informacionom sistemu preduzeća može da omogući neautorizovani pristup upravljačkim funkcijama SCADA sistema. Čak i kada su sistemi razdvojeni na logičkom nivou, a povezani na fizičkom, može doći do posrednog ugrožavanja rada upravljačkog sistema. Recimo, SCADA sistemi koje je oborio Slammer crv nisu imali direktnu logičku vezu sa Internetom, ali su koristili iste komunikacione kanale za prenos podataka, tako da je zagušenje kanala koje je izazvao Slammer dovelo do prekida komunikacije u upravljačkom sistemu. [4]

Druga zabluda, u vezi SCADA/EMS sistema, zasniva se na uverenju da je veza između SCADA i korporacijske mreže zaštićena strogim upravljanjem pravima pristupa. Većina veza između korporacijske mreže i SCADA sistema zahteva složenu integraciju sistema koji imaju različite komunikacione standarde, zbog čega je često zanemaren sigurnosni aspekt. Bezbednost sistema se obično definiše pomoću tri atributa: poverljivost, integritet i dostupnost (ISO-IEC 17799). [5] Da bi bili sigurni, objekti u sistemu (bilo da se radi o informacijama ili uređajima), bi trebalo da budu dostupni tamo gde su potrebni, moralo bi se omogućiti njihovo korišćenje samo autorizovanim korisnicima (korisnicima koji imaju dozvolu) i sve izmene bi trebalo sprečiti. Potencijalni rizik za bezbednost sistema mogu predstavljati: • Neautorizovani pristupi; • Nedostupni servisi, oštećeni podaci ili usporavanje rada

mreže zbog virusa; • Objavljivanje poverljivih informacija.

Zbornik radova 50. Konferencije za ETRAN, Beograd, 6-8. juna 2006, tom I Proc. 50th ETRAN Conference, Belgrade, June 6-8, 2006, Vol. I

316

Pri proceni rizika, treba odrediti šta mora biti zaštićeno, od koga i na koji način i precizno definisati upravljanje pravima pristupa. [6]

Sledeća zabluda u vezi sigurnosti SCADA/EMS sistema je uverenje da je potrebno proći specijalizovanu obuku kako bi se moglo pristupiti i upravljati SCADA-om. Ako se uzme u obzir činjenica da jedna elektroenergetska kompanija predstavlja ključnu komponentu nacionalne infrastrukture, može se očekivati da će biti meta organizovane grupe sajber napadača pre nego hakera, što dalje upućuje na činjenicu da će napadači biti visoko motivisani, dobro obrazovani i vrlo verovatno će posedovati podatke o karakteristikama sistema. [3]

Pošto su SCADA sistemi i korporacijske mreže povezani, smatra se da se sigurnost SCADA sistema pretežno svodi na sigurnost korporacijske mreže, tako da se primena zaštitnih mehanizama uglavnom odnosi na moguće upade preko interneta ili kroz korporacijsku mrežu. Na taj način ostaju nezaštićeni pristupi daljinskim stanicama (uključujući fizički pristup opremi daljinske stanice), kroz prenosnu mrežu SCADA sistema (presretanje podataka na ožičenju koje izlazi iz postrojenja, na iznajmljenim linijama ili u bežičnom prenosu) ili pristupi procesnoj upravljačkoj mreži (PCN - Process Control Network) direktnim fizičkim pristupanjem, preko dial up-a ili bežično (Sl.1). Ako napadač uspe da pristupi upravljačkom sistemu, biće mu potrebna umerena hakerska veština da ostvari većinu napada: da odredi primenjeni protokol i najosetljivije uređaje u sistemu. [7]

Data Genera l

Sl.1. Komunikacioni medijumi kao osetljiva mesta usloženom

SCADA sistemu

3. BEZBEDNOSNA POLITIKA

Jedan od prvih koraka prilikom definisanja sigurnosne politike kompanije predstavlja identifikovanje resursa preduzeća, u koje spadaju svi potencijalni objekti napada: hardver, komunikacioni putevi, softver, dokumentacija. Zatim se otkrivaju moguće pretnje, istražuje verovatnoća da se napad izvrši (rizik), odaberu i konfigurišu zaštitni alati i tehnologija i definišu pravila ponašanja zaposlenih u skladu sa zaštitnom politikom (odgovornosti i obaveze).

Prilikom identifikovanja resursa t.j formiranja liste "stvari" koje treba zaštititi, treba da se predvidi mogućnost lakog ažuriranja prilikom obnavljanja opreme, a lista treba da sadrži: • Raspoloživi hardver: CPU-ove, matične ploče, tastature,

terminale, radne stanice, PC racunare, štampače, disk drajvere, komunikacione linije, servere, rutere;

• Softver: operativne sisteme, komunikacione, aplikativne, korisničke i radne programe;

• Podatke koji se prikupljaju, čuvaju (bekapuju ili arhiviraju), ili samo "prolaze" kroz komunikacionu mrežu kao i informacije o pristupanju mreži;

• Dokumentaciju: hardversku, softversku, sistemsku i administrativnu. [8] Na osnovu liste resursa definišu se objekti potencijalnih

napada i pretpostavljene akcije napadača, koje bi recimo, mogle biti sledeće: • Identifikovati uređaje procesne mreže; • Poremetiti master-slave komunikaciju; • Onesposobiti slave uređaj; • Pročitati podatke sa slave uređaja; • Upisati podatke u slave; • Preprogramirati slave; • Ugroziti slave; • Onesposobiti master uređaj; • Upisati podatke u master; • Ugroziti master.

Definisani objekti napada, kao i akcije koje se nad njima

izvršavaju rangiraju se prema značaju koji imaju na sigurnost sistema (recimo, čitanje podataka sa nekog uređaja mnogo manje utiče na sistem od upisa u taj uređaj). [7]

Pri proceni potencijalne sigurnosne slabosti sistema,

mora se imati na umu da tehnički značaj određenog dela sistema može značajno da se razlikuje od njegovog uticaja na ukupnu bezbednost sistema. Prilikom istraživanja potencijalnih metoda upada u sistem, treba proceniti rizik napada na otkriveno slabo mesto, pri čemu rizik predstavlja verovatnoću da će određeni napad dovesti do željenog rezultata. Na procenu rizika utiču: • Tehnička izvodljivost; • Mogućnost razumevanja; • Troškovi napada; • Procena uspešnosti napada; • Uslovi lokacije; • Primenjene protivmere.

Kreiranje sigurnosne politike je delo grupe ljudi koju

čine: menadžeri koji donose odluke o primeni zaštitne politike, tehničko osoblje koje sprovodi odluke i implementira zaštitne mehanizme i korisnici sistema koji te mehanizme proveravaju u svakodnevnoj praksi. Vodje tima za implementaciju zaštitnih mera definišu strukturu sistema zaštite i odgovornost svih učesnika u timu za vreme implementacije i u sistemu po izvršenoj implementaciji (Sl.2). Vrlo je važno postaviti formalni program zaštite koji uključuje strogo definisane procedure, odgovornosti i kazne kako sistem ne bi zavisio od pojedinaca i njihove individualne inicijative. Polise i procedure informišu zaposlene o njihovoj odgovornosti i ulozi u očuvanju bezbednosti sistema, kao i o posledicama koje nastaju usled

317

nepridržavanja pravila. Takodje, polise i procedure definišu pravila ponašanja i odgovarajuće akcije pri incidentu. [9]

Sl.2. Administrativna hijerarhija u procesu zaštite SCADA

sistema [10] Kada je reč o spoljašnjim napadima na sistem,

najveći broj napada je ostvaren preko Interneta, 36%, dial-up vezom 20%, na nepoznat način 12%, po 8% napada je ostvareno preko bežičnog i telekomunikacionog kanala i virtuelne privatne mreže, a po 4% preko SCADA mreže i korisničkih mreža. [4]

Sl.3. Slojevi zaštite SCADA mreže u okviru IT sistema

Da bi se sprovela adekvatna zaštita SCADA mreže u okviru korporacijske mreže, potrebno je izvršiti analizu efikasnosti svakog sloja zaštite, Sl.3, i u korporacijskoj mreži i u SCADA mreži: [11] • Ispravno konfigurisani ruter i firewall, mogu da zaštite

pasvorde, IP adrese, podatke i drugo, ali ih hakeri mogu preskočiti direktnim upadom u virtuelnu privatnu mrežu ili mogu izazvati DoS (Denial of Service) i oboriti server;

• Proksi serveri ne mogu zaštititi od napada na aplikativnom sloju;

• Apgrejdovani i ispravno pečovani OS je manje sigurno rešenje od prelaska na noviju verziju;

• Crvi, trojanci i drugi "alati" koji napadaju aplikativni sloj mogu da onesposobe antivirusni program i da prođu kroz firewall;

• Efikasne polise i procedure je jako teško definisati i održavati pošto se zaštita sistema stalno menja i dogradjuje.

4. BEZBEDNOSNA SEGMENTACIJA

SCADA firewall prema korporacijskoj mreži ne

može biti jedini zaštitni firewall ukoliko je potrebno dobro obezbediti upravljačku mrežu. Svako ko na neki način može da pristupi SCADA mreži (krajnjim uređajima, operatorskim stanicama, arhivskim serverima ili bilo kom delu komunikacione opreme) može da obori ili onesposobi SCADA sistem, Sl.4.

Korporacijska mreža

SCADA mreža

Pristup preko SCADA mreže

Sl.4. Primer nedovoljne zaštite SCADA sistema

Zato je neophodno izvršiti segmentaciju SCADA mreže, Sl.5. [12] i zaštititi svaki segment posebno: • Korporacijsku mrežu; • Arhivski server i Web server; • Operatorske stanice i SCADA server; • Komunikacione puteve; • Krajnje uređaje: PLC-ove, RTU-ove, IED-ove i druge,

Sl.5. Primer segmentiranja SCADA mreže

5. SEGMENTACIJA VIEW2 SCADA SISTEMA

VIEW2 SCADA sistem (Sl.6.) predstavlja distribuirani nadzorno-upravljački sistem klijent-server arhitekture sa jednom ili više računarskih komponenti u centru i jednom ili više krajnjih stanica (RTU - Remote Terminal Unit). Tehničko rešenje sistema VIEW2 poseduje sledeće: • primenu standardizovanih hardverskih i softverskih

komponenti i OPEN tehnologija koje obezbeđuju interkonektivnost hardversko /softverskih proizvoda različitih proizvođača;

• sistem je distribuirani informacioni sistem, čime se obezbeđuje fleksibilno dimenzionisanje potrebnih resursa,

• sistem je realizovan višeravanski, tehnikom vektorske grafike, moguća je promena razmere (zumiranje), realizovan je u prozorskom okruženju, na raspolaganju je više prikaza istovremeno, korisnik raspoređuje prozore sa zahtevanim funkcijama na radnoj površini;

• obezbeđuje transparentnu povezivost sa PC /MSDOS/ WINDOWS čvorovima u LAN-u koja uključuje prenos datoteka, X WINDOWS emulaciju (sa kopiranjem u/iz X

318

prozora), izvršavanje udaljenih aplikacija (remote shell), eksport sistema datoteka (Network File System) itd.

Ethernet

Ethernet

3C om

Com3Com3 Com3

Data General

RTU RTU RTU

MODEM MODEM MODEM

Multiplekser

Centralana stanicaSCADA sistema

SCADA HMIračunar

Arhivski serverRuter i/ili firewall

Informacioni sistemSCADA HMIračunar

Štampač

Sl.6. Funkcionalna šema VIEW2 SCADA sistema Kao što se na Sl.6 može uočiti, VIEW2 SCADA

sistem je od IT sistema EPS odvojen firewallom u većini dosadašnjih primena. Prema izloženom, predlaže se segmentacija VIEW2 SCADA sistema i zaštita svakog segmenta ponaosob, što bi se moglo predstaviti funkcionalnom šemom na Sl.7, pri čemu treba imati na umu da realizacija zavisi od zahtevanog i primenjenog hardverskog i softverskog rešenja u konkretnim implementacijama.

Sl.7. Funkcionalna šema segmentiranog VIEW2 SCADA sistema

6. ZAKLJUČAK

Istraživanja su pokazala da je od ukupnog broja

izazvanih incidenata, 43% ostvareno preko mreže, 29% korišćenjem radnih stanica, 21% direktnim fizičkim kontaktom sa opremom u postrojenjima i 7% pomoću laptopa. [4] Veliki procenat ostvarenih incidenata direktnim kontaktom sa opremom kompanije ukazuje na potrebu fizičke zaštite resursa. Veliki broj incidenata preko korporacijske mreže potvrđuje značaj primene formalnih polisa i kaznene politike i opravdava metode višeslojne zaštite, koja podrazumeva razdvajanje delova mreže i postavljanje firewall-a i unutar sistema.

LITERATURA [1] J. S. Tiller, "Security Regulations Affecting the Power

Industry", www.ins.com/downloads/whitepapers/ ins_white_paper_power_security_regs_0703.pdf

[2] M. Matijević, G. Jakupović, J. Car, Računarski podržano merenje i upravljanje, Mašinski fakultet u Kragujevcu, Septembar 2005.

[3] Riptech Talking Points, "Understanding SCADA System Security Vulnerabilities", www.iwar.org.uk/cip/resources/ utilities/SCADAWhitepaperfinal1.pdf

[4] E. J. Byres, J. Lowe, "The Myths and Facts behind Cyber Security Risks for Industrial Control Systems" www.tswg.gov/tswg/ip/The_Myths_and_Facts_behind_Cyber_Security_Risks.pdf

[5] A. Torkilseng, "Management of Information Security in Power Utilities", ELECTRA, No. 206, February 2003, pp 37-44

[6] M. Franz, D. Miller, "Industrial Ethernet Security: Threats & Countermeasures", www.io.com/~mdfranz/papers/ franz-miller-industrial-ethernet-sec-03.pdf

[7] E. J. Byres, D. Miller, "The Use of Attack Trees in Assessing Vulnerabilities in SCADA Systems", www.bcit.ca/files/appliedresearch/ pdf/security/attacktrees.pdf

[8] The International Engineering Consortium., "Internet Security", www.iec.org/online/tutorials/acrobat/int_sec.pdf

[9] "21 Steps to Improve Cyber Security of SCADA Networks", The US President’s Critical Infrastructure Protection Board, and the US Department of Energy white paper, http://www.tswg.gov/tswg/ip/21_Steps_SCADA.pdf

[10] J. Stamp, P. Campbell, J. DePoy, J. Dilinger, W. Young "Sustainable Security for Infrastructure SCADA", http://www.tswg.gov/tswg/ip/SustainableSecurity.pdf

[11] J. Pollet, "Developing a Solid SCADA Security Strategy", Sensors for Industry Conference, 2nd ISA/IEEE, 19-21 Nov. 2002, pp 148- 156

[12] J. Pollet, "Is Your SCADA Network Environment Insecure by Design?" www.plantdata.com/Is_Your_SCADA_Network_Environment_Insecure_By_Design.pdf

Abstract - Electric infrastructure should have a priority when allocating funds for maintaining security, since the functioning of the entire society (telecommunications, transportation, industry, banking, various services, and the basic living conditions in urban areas) depends on the stable and reliable operation of this resource. This paper presents network segmentation as a basic principle of defense-in-depth security method in SCADA/EMS.

NETWORK SEGMENTATION AS A SECURITY METHOD IN SCADA/EMS SYSTEM

Jelena Car

319