EBITS Energibranschens Informations- & IT-säkerhetsgrupp

Transkript

1 Energibranschens Informations- & IT-säkerhetsgrupp SMARTGRID - RISKER OCH SÅRBARHETER INLEDNING Bakgrund Som inom många andra områden ökar digitaliseringen även inom området för eldistribution. Anledningarna till detta är flera och den ökande digitaliseringen resulterar i nya affärsmöjligheter, både inom det så kallade aktiva huset och inom det intelligenta distributionsnätet. Dessa nya affärsmöjligheter och den ökande digitaliseringen faller inom begreppet Smartgrid. Detta dokument definierar inte begreppet Smartgrid vidare, utan visar på nya tjänster som möjliggörs tack vare en mer digitaliserad infrastruktur. Digitalisering sker genom att alltfler digitala komponenter - med förmågan att läsa, bearbeta och skriva information i införs, och på detta sätt styr och påverkar den fysiska processen (elleveransen). I samband med etablering av Smartgrid, både inom det aktiva huset och i det intelligenta distributionsnätet, ökar också beroendet mellan de fysiska processerna och IT. I många fall är beroendet så starkt att den fysiska processen inte kan fortgå om inte IT fungerar. I takt med att digitaliseringen och integrationen av komponenter ökar, så ökar graden av automation (integrerade självreglerande system) samtidigt som kraven på fysisk närvaro minskar (alltmer övervakning och felavhjälpande underhåll kan göras på distans). Vad innebär då denna förändring och ökande digitalisering utifrån ett riskperspektiv? Finns det en förändrad riskbild i takt med ett införande av Smartgrid? Syfte Syftet med detta dokument är att ge en kort introduktion till, samt några exempel på risker och konsekvenser som kan uppstå i, Smartgridmiljöer. Omfattning Dokumentet är inriktat mot personer i beslutande funktioner med ansvar inom eller angränsande till Smartgrid. Smartgrid v 1.1.docx 1 (6)

2 RISKOMRÅDEN I samband och i takt med etableringen av Smartgrid finns det en förändrad riskbild i allmänhet och inom informations- och IT säkerhet i synnerhet. Detta avsnitt beskriver exempel på risker och konsekvenser som kan uppstå till följd av bristfällig implementerad säkerhet. Tillgänglighet I ett digitaliserat nät, med komponenter som kan styra den fysiska processen, finns ökad risk att eldistributionen kan påverkas på ett negativt sätt. I takt med ökad digitalisering, ökad integration och geografisk obundenhet ökar också riskbilden samt konsekvenserna av eventuell skada. Utgående från en enskild komponent, kan en incident drabba flera komponenter, och på så sätt åstadkomma större skada jämfört med geografiskt begränsande incidenter (ex brand, skadegörelse). Angreppsytan och konsekvenserna kan således bli mycket större i digitaliserade och integrerade miljöer. Avsnitten nedan beskriver bara några exempel på risker avseende elleveransens tillgänglighet. Poängen med exemplen är att illustrera känsligheten och den geografiska obundenheten i de integrerade systemen samt att ansvariga för Smartgrid bör ställa sig de obekväma frågorna, vad kan gå fel och hur kan vi skydda oss mot detta? Tillgänglighet av elleverans En fungerande ellevarans är en fundamental fråga i Smartgrid. Låt oss diskutera detta vidare kring ett exempel. De flesta implementeringar av smarta mätare har idag funktioner för till och frånslag av elleveransen. I denna integrerade kedja av komponenter (mätare, kommunikation, centrala system etc) finns det flera angreppsytor. Vad skulle konsekvenserna bli om någon (oavsiktlig eller avsiktligt) utför ett massivt frånslag av smarta mätare? Detta är ett exempel på hur IT används för att styra den fysiska processen (leveransen av el). Om man dessutom tänker sig att skadlig kod har implementerats i de smarta mätarna, hur kan man återställa funktionen? Finns resurser för att hantera en sådan återställning (geografiskt obundenhet, kompetens etc)? Utifall att det finns förmåga att aktivera elleveransen till mätarna, är det tillåtet att fjärrmässigt åter aktivera elleveransen efter att den varit frånslagen? Vad blir konsekvenserna i elnätet om exempelvis stora produktionsanläggningar frånslås simultant eller om massiva kundanslutningar plötsligt frånslås? Vad händer om man vid samma tillfälle tappar central övervakning över övervakning och fjärrstyrda komponenter? Vad händer om vi inte kan lita på den information som våra digitaliserade system visar? Vad har vi för möjlighet att korrigera upptäckta brister, exempelvis om någon har hackat delar av Smartgrid? Tillgänglighet av övervakning och fjärrstyrning I samband med den ökande digitaliseringen ökar verksamhetens möjligheter att både övervaka och fjärrmässigt styra elnätet. Precis som i samband med införandet av centralt SCADA-system sker i samband med detta också en förändring av organisationerna. Eftersom anläggningarna alltmer kan övervakas och till stora delar styras fjärrmässigt är det rimligt att anta att organisation anpassas med en ökad centraliserad bemanning som följd och en i förlängningen mindre fältbaserad bemanning. Denna förändring kan vara tillfredsställande så länge tillgängligheten och informationens riktighet är bestående. Smartgrid v 1.1.docx 2 (6)

3 Man bör dock återigen ställa sig ett antal frågor: Vad händer om man tappar förmågan till att centralt övervaka och fjärrstyra komponenterna i Smartgrid? Vad händer om man inte längre kan förlita sig till informationen (informationen är manipulerad)? Vilken uthållighet har organisationen i ett sådant läge, exempelvis har vi resurser att bemanna nödvändiga platser och hur länge klarar vi det? Personuppgifter Införandet av Smartgrid kommer att innebära att alltfler personuppgifter kommer att behandlas. Man kommer exempelvis gå från månadsvis mätaravläsningar och faktureringar till en avsevärt mindre granularitet med både realtidsmätningar och exempelvis timavläsningar. Dessutom kommer demand och response funktioner innebära nya prismodeller och en mer aktiv styrning av komponenter i exempelvis det aktiva huset. Sammantaget gör detta att alltmer personlig information kommer att behandlas och den alltmer finmaskiga avläsningen gör att information också kan ge nya värden och fördelar. Med exempelvis realtidsmätningar, information om konsumtionsmönster, benägenhet att välja CO2-låg förbrukning etc. innebära att man kan utläsa kunders beteenden på ett sätt som tidigare inte varit möjligt. Vad innebär då detta ur ett riskperspektiv? Låt oss återigen diskutera kring ett exempel. Vad skulle exempelvis hända om ett energibolag förlorade information kring sina kunders konsumtionsmönster? Hur skulle energibolagets varumärke påverkas? Hur skulle informationen kunna missbrukas och användas i illegala syften? Frågorna är många och listan kan göras ännu längre. Vi måste således inse att detta är ett viktigt område och kommer bli än mer viktigt i samband med att gällande lagstiftning och konsekvenser av lagöverträdelse kommer att skärpas. Att utveckla ramverk som säkerställer konsumentens integritet är avgörande för att konsumenterna på bred front ska acceptera Smartgrid. Kundinformation såsom förbrukningsstatistik och konsumtionsmönster (utrustning, tider, laster, spårbarhet när person är hemma) kan användas i olika syfte. Utan ett tydligt ramverk kan användningen äventyra konsumentens personliga integritet och uppfattas som kränkande. De europeiska ramarna för skydd av personuppgifter ger ett förhållandevis gott skydd för den personliga integriteten, men de nationella bestämmelserna kan i viss mån behöva ändras för att omfatta alla aspekter som planeras för Smartgrid. Direktiv 95/46/EG om skydd av personuppgifter innehåller bestämmelserna om behandling av personuppgifter. Direktivet är teknikneutralt och principerna för databehandling gäller behandlingen av personuppgifter inom alla områden, och omfattar således även smarta nät. Ny EU-förordning och direktiv om personuppgiftsbehandling är under framtagande och beräknas träda i kraft tidigast i början av Vid behandlingen av personuppgifterna i Sverige skyddas den personliga integriteten genom bestämmelser i personuppgiftslagen, PuL (1998:204). Med behandling av personuppgifter menas varje åtgärd eller serie av åtgärder som Smartgrid v 1.1.docx 3 (6)

4 vidtas i fråga om uppgifter som, direkt eller indirekt, kan hänföras till en fysisk person som är i livet. Det kan handla om insamling, registrering, lagring, bearbetning, översändande, utlämnande samt sammanställning eller samkörning av personuppgifter. Personuppgiftslagen reglerar: Rätten till information: att få information om sakförhållanden som hör ihop med behandlingen av uppgifter, i regel när de insamlas, registeransvarige är skyldig att lämna denna information. Rätten till insyn: att få veta vilka uppgifter som har förts in i personregistret. Rätten att få en uppgift tillrättad: att kräva att den registeransvarige rättar till en felaktig uppgift i registret. Förbudsrätten: att förbjuda den registeransvarige att behandla uppgifter om dig för andra ändamål än det som tillståndet medger. När Smartgrid införs i en större omfattning och särskilt när beslut fattas om ansvar beträffande ägande, innehav och tillgång till uppgifter kommer naturligtvis krav och skyldigheterna att följa PuL och att anmäla behandling av personuppgifter till datainspektionen också att öka. Mätvärden och fakturering Mätning av elförbrukning är det första steget i faktureringsprocessen. Hela faktureringsprocessen bygger på inrapportering av mätvärden från respektive mätare. Dessa mätvärden kopplas mot kund och gällande avtal för att i slutändan faktureras. För att detta flöde ska fungera krävs det att flertalet inblandande komponenter och integrationer upprätthåller sin tilltänkta funktion. Det innebär också att för en angripare som är ute efter att manipulera informationen, så är angreppsytorna flera. Mätvärden och fakturering är dels intressant ur ett personligt integritetsperspektiv som diskuteras i avsnitt 0men kanske framförallt ur ett riktighetsperspektiv (integritet). Vad skulle hända om information, på något ställe i kedjan, skulle manipuleras? Hur skulle varumärket påverkas? Hur kan man upptäcka att mätvärden manipulerats? Konsekvenserna är kanske inte så stora om enskilda mätvärden påverkas men om detta skulle ske volymmässigt? Vad kan göras för att säkerställa att mätvärdena verkligen är korrekta och att faktureringen är baserat på korrekt mätvärden? Hur skulle vi kunna garantera återställning efter en eventuell upptäckt? Vilken spårbarhet finns för att bevisa att manipulering skett? Vad skulle det innebära om vi inte kan lita på våra mätvärden? Om brister påträffas, vilken möjlighet har vi att korrigera bristerna, exempelvis kan vi uppgradera med ny funktionalitet? Många av riskerna ovan finns redan i samband med införande av automatisk mätaravläsningen. I vissa implementationer har det också visat sig att illegala organisationer erbjuder manipulering av mätvärden mot betalning. Smartgrid v 1.1.docx 4 (6)

5 SÅRBARHETER Miljön, i vilken de digitaliserade komponenterna som är en viktig del i Smartgrid ska fungera, är utmanande och skiljer sig från den miljö där traditionell IT vanligtvis används. Komponenter kommer att finnas både i tätbefolkade områden och i glesbygdsområden, och det är därför svårt eller t.o.m. omöjligt att kontrollera den fysiska åtkomsten till utrustningen. Kommunikationen mellan komponenterna är en annan utmaning eftersom de fysiska och ekonomiska förutsättningarna för trådbunden kommunikation saknas på många ställen, och därför är trådlös kommunikation en viktig teknik i Smartgridimplementationer. Förutom de Smartgrid-specifika sårbarheterna måste Smartgrid-implementationer ta hänsyn till och hantera de sårbarheter som standardkomponenter (t.ex. operativsystem, databaser, applikationsservrar och integrationsplattformar) lider av, eftersom dessa är grunden i Smart-Gridlösningar. Baserat på befintliga implementationer, rådande trender inom forskning och säkerhetstestning presenteras nedan några viktiga sårbarheter som bör beaktas då man gör en säkerhetsanalys av Smartgrid (t.ex. inför en upphandling). Hårdvarunära angrepp På senare år har flera säkerhetsforskare och hackers visat att det finns allvarliga sårbarheter i de integrerade kretsar (hårdvarubaserade chip) som används i t.ex. den elektronik som ingår i styrutrustning (t.ex. PLC:er och smarta mätare ). Dessa sårbarheter leder till att en angripare som har fysiskt åtkomst till utrustningen kan gå förbi de logiska säkerhetsåtgärderna (t.ex. kryptering) som skyddar utrustningen. På flera hackerkonferenser har sådana attacker demonstrerats. Firmware -integritet I modern utrustning är det ofta möjligt att uppdatera hårdvarunära mjukvara (t.ex. firmware) på distans, men skyddet mot obehörig förändring är ofta bristfälligt. Detta är en mycket allvarlig sårbarhet eftersom en angripare då kan förändra eller ersätta hårdvarunära mjukvara så att angriparen får fullständig kontroll över utrustningen. Denna sårbarhet öppnar också för möjligheten att sprida skadlig kod i och med att angriparen då får fullständig access till utrustningen. Krypteringsnycklar Fler och fler leverantör av Smartgrid-komponenter har börjat erbjuda funktioner för att skydda kommunikation till och från komponenterna och i vissa fall även autentisering. Denna funktionalitet bygger på användning av kryptografiska metoder som i sin tur kräver säker hantering av lösenord/krypteringsnycklar. Processen för hantering av krypteringsnycklar (t.ex. skapa, distribuera och förnya) har ofta svagheter där nycklar och lösenord t.ex. kan ha ett skönsvärde som aldrig ändras eller att samma nyckel används för samtliga komponenter. Detta innebär att hela system kan komprometteras om en enskild nyckel blir röjd. Fysiskt skydd och manipulation Eftersom Smartgrid-komponenter är tänkta att vara placerade på platser som kan vara svåra att skydda fysiskt, har man försökt att hitta lösningar för att upptäcka obehörig åtkomst till utrustning. Dessa lösningar har i vissa fall ska- Smartgrid v 1.1.docx 5 (6)

6 pat nya sårbarheter. Exempelvis kan manipulationslarm (p.g.a. yttre miljö eller avsiktlig manipulation) ge så många larm att det blir praktiskt omöjligt att reagera på dem. Säkerhetsuppdateringar Med tanke på det stora antalet komponenter som innehåller mjukvara i ett Smartgrid-system, är förmågan att hålla dessa uppdaterade mycket viktig. Sårbarheter som redan finns och nya sårbarheter som kommer att upptäckas riskerar att förbli just sårbarheter om de inte skyndsamt åtgärdas. MITIGERANDE ÅTGÄRDER Detta avsnitt syftar till att ge exempel på mitigerande åtgärder. Baserat på den tidigare informationen i detta dokument har fokus varit att lyfta fram risker och sårbarheter. Det är också enkelt att inse att konsekvenserna av brister i en implementation av Smartgrid kan, som belyst i tidigare avsnitt, bli väldigt omfattande utifrån ett antal olika perspektiv. Men, vad kan vi då göra för att uppnå en väl avvägd nivå av säkerhet i Smartgrid? Som i alla andra fall gäller det att kravställa på en adekvat nivå av informationssäkerhet från början. Informationssäkerhet måste vara en integrerad del precis som all övrig kravställningen. Att utöka med informationssäkerhetskrav i ett sent skede är alltid mera kostsamt och ibland inte ens möjligt, just på grund av de ökade kostnaderna. Hur kan vi då säkerställa att vi får med rätt krav? En grundläggande princip är att genomföra en riskanalys. Riskanalysen kommer att påvisa betydelsen av information och vilka riskerna är. Utifrån riskerna kan sedan kraven ställas. För information kring detta, se EBITS dokument kring "Bättre beställare". I kravspecificeringen ska man ta hänsyn till verksamhetens krav legala aspekter (ex PUL) allmänt accepterade standarder såsom BSI skyddsprofil, NIST 7268 En annan viktig aspekt är att göra en ordentlig kontinuitetsplanering. ÖVRIGT Frågor kan ställas till EBITS via e-post ebits-box@svenskenergi.se Smartgrid v 1.1.docx 6 (6)