הגנה קיברנטית על רשת החשמל חיונית לאבטחת אמינות האספקה

הגנה קיברנטית על רשת החשמל חיונית לאבטחת אמינות האספקה

This post is also available in: enEnglish (אנגלית)

דניאל ארנרייך

מנגנוני הגנה קיברנטית על מערכות שליטה ובקרה (שו"ב) עבור רשתות חשמל Distributed Management Systems   DMS  חייבים להיות מיושמים מבלי לבצע שינויים כלשהם בתהליכי הבקרה, ולכן ניתן לבצע רק שדרוגים הדרגתיים. הוספת אבטחה קיברנטית למערכות אלה דורשת הכרה מפורטת של החומרה ותוכנות והיישומים הפועלות בבקרים ובמחשבים.

בעבר הארכיטקטורה של מערכות שו”ב התמקדה בהשגת תהליכים אמינים ובטוחים (safety and reliability), ללא התייחסות לצורכי הגנה קיברנטית. כיום לא ניתן ליישם מערכות בקרה ללא אמצעי הגנה מובנה. לפני הגדרת הפתרון חשוב לנתח את האיומים והסיכונים שעלולים לפגוע בפעולה תקינה של רשת החשמל. חשוב גם לזכור כי לא ניתן ליישם מערכת לאבטחה קיברנטית ללא אבטחה פיזית היקפית על המתקן. להלן מספר דוגמאות של איומים:

  • שינוי זדוני של פרמטרים תפעוליים בתחנות משנה.
  • יצירת הפרעה לניטור רמות העומס ומתח המסופק.
  • חסימת זרימה של המידע למרכז הבקרה DMS
  • התנהגות חסרת אחריות של עובדים המורשים שנכנסים לאתרים .
  • החדרת נוזקה (malware) באופן מכוון ליחידות אלקטרוניות.

להלן מספר דוגמאות של אמצעי הגנה קיברנטית שמתאימים במיוחד עבור מערכות DMS

    • הפרדה של הרשת באמצעות מכשירי "חומת אש" מתקדמים (network zoning firewall). חיבורים מאובטחים באמצעות מתגים מנוהלים מתקדמים, המספקים אבטחה משופרת עבור כל החיבורים לרשת.
    • התקני הגנה חדישים מסוג Stateful Inspection משמשים לבדיקת תקשורת נכנסת ויוצאת ומתאימים המבצעת "בדיקות הדדיות" עם זמן אחזור קצר, תוך הקפדה שתהליך הבקרה לא יפגע.
    • שליטה על הגישה לבקרים בשטח והמחשבים באמצעות מגוון רחב של כלי אימות (authentication biometric) לפני התחברות למטרות תחזוקה.
    • הגנה באמצעות בקרת גישה המבצעת זיהוי של איש התחזוקה ומאפשרת לו לבצע אך ורק פעולות מוגדרות שלגביהם הוא קיבל הרשאה מפורשת לביצוע במשך חלון זמן המוגדר מראש
    • מערכות לגילוי אנומאליה בתהליכים מתאימות במיוחד למערכות  DMS, כי אלה לומדות בהתמדה את התהליכים שמפועלים בשרתי בקרה (automation server) ועושים זאת באמצעות השוואה לתהליכים ידועים שנלמדו בעת שהמערכת פעלה באופן תקין. תהליך זה עשוי לעזור במניעת תקיפה מסוג Denial of Service – DoS. פעילות ממוקדת ושיטתית תוביל להגנה יעילה מפני תקיפות ידועות וגם אלה שעוד לא מוכרות (zero-day vulnerability).
    • עבור רשת תקשורת רחבת סרט חשוב להפעיל ערוצים מאובטחים עם אימות והצפנה Virtual Private Network-VPN)) ברמה גבוהה, במטרה למזער את הסיכון של תקיפה מסוג “אדם באמצע” (Man in the Middle-MitM) .
    • נוהל קשיח לגבי התקנת תוכנות לא מורשות (white listing), מבטיח שלא יותקן אף יישום שעלול להכיל קוד תוכנה זדוני על כל אחד מהמרכיבים הקשורים למערכת DMS.
    • איסוף נתונים למערכת המרכזת על אירועים (System Logs-Syslog), והעברתם למערכת לניהול אבטחת אירועים (Security Operation Center-SOC) כדי ליצור התראות עם רמת טעויות נמוכה לגבי אבטחה קיברנטית.
  • דבקות לנהלים ולמדיניות האבטחה הקיברנטית של החברה לגבי שימוש בסיסמאות מורכבות ומתחלפות, שימוש בלעדי במחשבים ייעודיים לצורך חיבור לרשת למטרות תחזוקה פנימית.

תקיפות קיברנטיות מתבצעות כיום באמצעות גורמים מקצועיים המופעלים על ידי מדינות, ארגונים עוינים וארגונים מסחריים, ולכן האתגרים הפכו להיות מורכבים. המסקנה היא כי נדרשת התייחסות ייחודית עבור מערכת הבקרה שלהם, והשקעה שיטתית בפתרונות אלה היא חשובה להשגת אספקת חשמל אמינה, איכותית, רציפה וללא תקלות לרווחתם של האזרחים, התעשייה ומגוון שירותים במדינה.

דניאל ארנרייך (BSc) הוא יועץ עצמאי במסגרת Secure Communications and Control Experts-SCCE. דניאל רכש ניסיון מקצועי של יותר מ-25 שנה בתחום מערכות בקרה והגנה על לתשתיות חשמלת מים, גז ודליקים כחלק מפעילותו בחברות מוטורולה, סימנס ווטרפול סקיוריטי. דניאל מסייע לחברות לגבי השילוב של מערכות בקרה והגנה קיברנטית, מפרסם מאמרים ומרצה בכנסים.

להרשמה לניוזלטר.


למידע נוסף


הרשמה לניוזלטר

SIMILAR ARTICLES

power grid vulnerable to cyber attacks

cybersecurity

cybersecurity