Documente Academic
Documente Profesional
Documente Cultură
SCRED
Curs 10
Securitatea datelor este un subiect foarte fierbinte în contextul introducerii unui vast număr de echipamente
SCADA pentru conducerea sistemelor energetice.
Există deja situatii în care sistemele cibernetice specifice sistemelor energetice au fost penetrate și s-au dat comenzi
de deconectare: de ex. atacul cibernetic din Ukraina
Creșterea concentrării de date și comenzi la nivel de dispecerate energetice crește și pericolul unor repercursiuni
majore în caz de penetrare cibernetică:
- la nivel de DSO
- La nivel de TSO
- La nivel de dispecerate de mentenanță energetică (de ex. pentru parcuri eoliene, co-gestionate de furnizorii de
echipament)
- Se pot imagina pierderi de putere prin atacuri cibernetice corelate, care să depășească perturbațiile pentru care
se fac calcule (N-1, deconectarea celui mai mare ansamblu de grupuri din Europa etc.)
Sistemele energetice sunt considerate sisteme critice cel puțin la nivelul de înaltă tensiune
Pentru acestea, securitatea datelor și pericolele de atac cibernetic trebuie adresate în modul cel mai
serios.
Noua paradigmă Smart Grid mărește pericolul acestor atacuri, dacă securitatea datelor nu este tratată în
mod corespunzator.
Securitatea datelor a devenit un subiect important și în legătură cu contoarele inteligente (engl. Smart
Meters), acestea având în general posibilitatea să și deconecteze abonatul de la distanță.
Acum 2000 ani sunt menționate în documentele istorice “codurile lui Cezar”
Este o cifrare în care fiecare literă din text este înlocuită cu o altă literă din alfabet, aflată mai în față sau
mai în spate de un număr dat de ori (procedeu numit translatare, engl. shifting).
Această metodă era utilizată de Iulius Cezar pentru a comunica cu generalii săi într-un mod criptat.
Cea mai mare problemă a acestei metode de criptare o reprezinta faptul că frecvența de apariție a
caracterelor este aceeași atât în textul original cât și în cel criptat.
O analiză de acest tip permite aflarea regulii de translatare și apoi decodificarea devine simplă. Analiza în
frecvență, care a asigurat aplicarea sistematică a acestei metode, a fost inventată de matematicianul arab
Al-Kindi în jurul anului 800, fiind cea mai importantă teorie de decriptare până la al doilea război Mondial.
Ca o modalitate de contracarare a acestei deficiențe majore, în anul 1553 a fost inventată metoda de
cifrare Vigenère, care reprezintă o îmbunătățire substanțială a cifrării lui Cezar, în sensul că folosește un
tabel cu valori de translatare diferite pentru fiecare poziție de caracter, tabel numit „tabula recta” pe care
nu îl cunoștea decât entitatea transmițătoare și cea receptoare, dar care era complet necunoscut de
curierul ce transporta mesajul.
Mașina
Principalele tehnici: Enigma
• aceeași cheie secretă și/sau
• aceeași tehnică secretă de criptare/decriptare (la început erau mașini),
cunoscute de cele 2 parți
Metoda se cunoaște astăzi sub denumirea de criptare simetrică.
Sisteme pentru conducerea rețelelor electrice de distribuție - SCRED
Securitatea datelor
Criptare simetrică
Cu cât cheia este de lungime mai mare, cu atât decriptarea „în forță” (brute force) este mai grea:
Nae Nae2014 IloveYou IloveYouMyDearCat
Cu cât cheia folosește o varietate mai mare de caractere, cu atât este mai puternică:
Manole MaNOle Man34ole M!a*nol239e 8dn@kd7cx0
Cu cât cheia este generată într-o secvență mai aleatoare, cu atât este mai puternică
Criptări uzuale: 64, 128, 256 ... 1024 biți (lungime cheie simetrică secretă)
Criptare simetrică
Transmițător Receptor
de mesaje de mesaje
Cheie unică, privată
Pentru o cheie bine aleasă, decodificarea „brute force” pentru 128 sau 256 biți este astăzi practic imposibilă!
Decriptarea prin încercări sistematice (brute force) înseamnă un număr enorm de combinații:
Pentru o cheie bine aleasă, decodificarea „brute force” pentru 128 biți este astăzi încă imposibilă!
Situații care ușurează decriptarea „brute force” (pe lângă lungimea cheii):
• cheia conține doar caractere mici, eventual și mari
• cheia conține cuvinte uzuale, ce se pot găsi în dicționare
• cheia nu conține și cifre, sau dacă le conține, nu există și caractere speciale
Bob Alice
Transmițător Receptor
Cheie publică de mesaje
de mesaje Cheie privată
Astfel, pentru a permite accesul la date doar a persoanelor autorizate, protejarea accesului la date se
face în mod uzual prin solicitarea informațiilor de tip „utilizator” (engl. user) și „parolă” (engl.
password). Această operatie se face doar dupa ce s-a instituit deja un canal de comunicație sigur, criptat.
Pentru echipamente mai vechi, rămâne principala metoda de Securitate a datelor care există azi încă
în unele sisteme de măsurare a energiei electrice: securitatea prin obscuritate, adică „Nimeni nu știe,
nimeni nu este (încă) interesat”.
- Actualizarea programelor
Actualizarea programelor este una din cele mai eficiente metode active de securizare a tuturor
sistemelor informatice în general, dar și a sistemelor SCADA în particular.
S-a văzut în capitole anterioare faptul că atacurile cibernetice folosesc „găuri de securitate” (numite și
exploit-uri), adică erori ce se pot exploata în mod malițios.
Atunci când un defect software a devenit cunoscut de comunitatea care întreține aplicația, de obicei
acesta se repara (engl. fix) prin producerea unui program care îl repară (engl. patch), care trebuie
distribuit sistemelor în funcționare, acestea trebuind să le aducă la zi, deci să repare sau să „închidă”
gaura de securitate.
În acest context, erorile ce devin cunoscute public (de ex. Heartbleed, eroare ce a afectat populara
bibliotecă software de criptografie numită OpenSSL) pot fi rezolvate repede, înainte ca un atac
cibernetic să fie pus în mișcare, sau pot fi neglijate o perioadă lungă (săptămâni sau chiar luni), timp în
care hackerii au timp să organizeze atacuri cibernetice.
În aceste situații, orice aplicație nou introdusă în sistem se poate face verificarea în
exterior, pe un sistem mai puternic, după care se poate insera în sistemul de proces,
fiind deja verificată de sistemul extern, considerat „de încredere” (engl. trustful).
Sisteme pentru conducerea rețelelor electrice de distribuție - SCRED
Securitatea datelor Metode de securizare a datelor
Evitarea interacțiunii fizice
Pentru evitarea compromiterii cibernetice a unui sistem există o regulă „de aur” care cere să nu fie posibil
accesul fizic la sistem, care cere o protejare fizică a sistemului.
Printre metodele de protejare fizică se pot menționa:
- Blocarea posibilității de utilizare a unităților de stocare externă de tip „memory stick” pentru calculatoarele
ce lucrează în cadrul sistemului central SCADA;
- Serverele sistemului SCADA trebuie să fie amplasate în locații protejate fizic (camere climatice închise sub
cheie sau cu sistem de gestionare a intrării, personal de pază a incintei etc.)
- Gestionarea unui contact care arată deschiderea unei incinte (de exemplu prin deschiderea unei uși de
acces), aceasta fiind o metodă ce semnalizează intruziunea, dar nu o poate bloca sau preîntâmpina;
- Protecția unei zone fizice periculoase prin intermediul unui sigiliu fizic; această metodă este tot în categoria
de semnalizare a intruziunii, fără a o putea bloca sau preîntâmpina; pentru a putea ști dacă un sigiliu nu a fost
rupt și apoi înlocuit cu altul, este necesară o gestionare riguroasă a tuturor sigiliilor disponibile. O astfel de
situație apare, de exemplu, atunci când se gestionează sigiliile unui contor de energie.
Sisteme pentru conducerea rețelelor electrice de distribuție - SCRED
Securitatea datelor Metode de securizare a datelor
În sistemele din trecut se foloseau rețele de comunicație dedicate, care erau prin
natura lor „private”.
Realizarea unei rețele similare se poate obține și în cazul comunicației peste internet
prin intermediul unei rețele virtuale private (engl. Virtual Private Network).
Comunicare criptată
Internet
Prețul implementării unui client VPN este unul rezonabil, de exemplu o implementare cu un
echipament Linux de tip Raspberry Pi costă până în 100 Euro. Acesta permite criptări cu cuvinte de
128 – 256 biți. Prețul unui sistem Linux care implementează un client VPN diferă în funcție de
funcționalitățile suplimentare ce se pot implementa (de exemplu dezvoltări suplimentare în direcția
multi-user și funcționalități Smart Grid).
Un exemplu practic de soluție VPN o reprezintă proiectul open-source OpenVPN, sub licență GPL .
Modulele de comunicație ce înglobează clienți VPN sunt soluții IT simple, ce pot fi oferite de orice
organizație IT cu experiență și poate asigura securitatea datelor pentru echipamente care nu o dețin
intrinsec.