370 likes | 751 Views
Sicurezza informatica degli impianti di generazione elettrica: l'esperienza ENEL e il Laboratorio Cybersecurity SCADA. Luca Guidi ENEL SpA Divisione Ingegneria e Innovazione Area Tecnica Ricerca Roma, 9 Luglio 2009. Sistema Elettrico italiano. GENERAZIONE (molti produttori)
E N D
Sicurezza informatica degli impianti di generazione elettrica: l'esperienza ENEL e il Laboratorio Cybersecurity SCADA • Luca Guidi • ENEL SpA • Divisione Ingegneria e Innovazione • Area Tecnica Ricerca • Roma, 9 Luglio 2009
Sistema Elettrico italiano • GENERAZIONE (molti produttori) • Qualche migliaio di impianti di generazione (1000 termo+2000 idro) • Capacità installata: 93.600 MWe. Disponibile alla punta: 61.150 MWe • TRASMISSIONE (Terna) • 62.000 km di linee ad altissima (220-380 kV) e alta tensione (120-150 kV). • 18 linee di interconnessione con l’estero • DISTRIBUZIONE (Un solo distributore per Comune; dati ENEL ) • Media Tensione • 2.000 Cabine Primarie (AT/MT) con capacità di 87.500 MVA • 334.000 km di linee • Bassa Tensione • 345.000 Cabine Secondarie (MT/BT) con capacità di 65.700 MVA • 725.000 km di linee • 30 milioni di contatori elettronici
DIAGRAMMA DI CARICO Dicembre 2007 x 1.000 MW Idro Termoelettrico Import Acqua fluente + rinnovabili
L’equilibrio della rete • C’è una importante differenza tra la rete elettrica e quelle gas/acqua: nella prima non c’è ACCUMULO. • La rete deve essere bilanciata: produzione e carichi devono essere globalmente uguali, istante per istante. • L’equilibrio della rete è demandato ai grandi impianti dispacciabili (> 10 MWe) • Il giorno prima viene definito il Piano Vincolato di produzione (GME); il giorno stesso vengono inviati gli Ordini di Bilanciamento per variazioni note in anticipo. • La regolazione in tempo reale, richiesta da improvvisi e imprevedibili sbilanciamenti, è a carico in prima istanza del servizio di Riserva Primaria degli impianti (power/frequency control). • Un eccesso di generazione o di carico causa variazioni rapide di frequenza; automaticamente gli squilibri sono bilanciati con un rapidissimo decremento o incremento di potenza generata. • I servizi di Riserva Secondaria o Terziaria consentono un ritorno all’equilibrio con dinamica più lenta
La Riserva • Riserva primaria (tutte le unità, almeno ±1,5% in 30 s); automatismo in impianto • Riserva secondaria (±6% in 200 s, ±15% per idro); richiesta automatica GME • Riserva terziaria (“pronta” entro 15 minuti; “fredda” entro 60 minuti); richiesta GME Fabbisogno riserva secondaria (MW) se C=40.000 MW => Rsecondaria = 500 MW se C=30.000 MW => Rsecondaria = 417 MW
Variazione di frequenza di rete per scatto Fonte: TERNA S.p.A.
Transitorio di regolazione frequenza/potenza Fonte: TERNA S.p.A.
Alcuni eventi che hanno suscitato allarme • Blackout Italia di Domenica 28 Settembre 2003 • Mancano oltre 6.000 MW, oltre agli impianti di generazione italiani che sono scattati. Il carico richiesto era di circa 24.000 MW • Carichi interrompibili • 3.500 MW da pompaggio • 1.000 MW utenza interrompibile • 1.000 MW “alleggeritori di carico” per utenza diffusa • Può un albero che cade in Svizzera mettere al buio l’Italia intera? • Blackout “USA NordEst-Canada” del 14 Agosto 2003 • Errore di misura sulla rete, scatto impianto, contatto albero con linee • 45+10 milioni di utenti interessati (anche in questo caso un albero … ) • Blackout Europa centrale e Italia Nord, 4 Novembre 2006 • Due linee ad alta tensione, da 400.000 Volt, in Germania, il cui cedimento ha provocato, con un effetto domino, uno squilibrio generale di produzione di elettricità in Europa • Il blackout ha riguardato 10 milioni di cittadini in numerosi paesi, tra i quali Francia, Germania, Italia, Olanda, Portogallo, Spagna, Belgio e Austria
Il nuovo contesto per l’Automazione • Evoluzione del Sistema di Automazione in Centrale, basato su elaboratori tradizionali (PC): modulare, distribuito, integrato. • Sala Manovra informatizzata • Anche sul fronte del “campo” uso di dispositivi “intelligenti” e segnali digitali (Bus di Campo) • Eliminazione del dualismo SRC (Regolazione e Controllo) - SdS (Supervisione). Ora SCP (Sistema di Controllo Principale) che integra le parti regolazione, controllo e supervisione. • Possibilità di implementare funzioni evolute (di automazione e diagnostica) a livello utente • A sua volta, la rete di processo si integra nella Intranet aziendale e con i sistemi gestionali • Centrali sempre più informatizzate e sempre più integrate nella “Corporate Network”
Fine anni ’90: la diffusione dati d’impianto • Integrare le reti di processo delle Centrali Termoelettriche nella Intranet Aziendale • Rendere visibili, dagli uffici e da remoto, i dati di esercizio in tempo reale, organizzati e personalizzati per diverse categorie di utenti • Sviluppare applicazioni speciali per monitoraggio e diagnostica. • Proteggere i Sistemi Digitali di Processo (Regolazione, Supervisione, Monitoraggio e Diagnostica) da intrusioni non desiderate • Proteggere i dati “sensibili” di ENEL Produzione • Garantire il corretto funzionamento dei SDP, supportando i protocolli esistenti (SCC) e gestendo la transizione verso i nuovi (OPC)
INTRANET Router Wind Hub Hub SDP1 PC Firewall SDP2 PC Hub SDP3 PC Data Server Server WWW Rete di Processo Rete Demilitarizzata Rete degli Uffici Architettura Sistema Diffusione Dati d’Impianto
Architettura del nuovo Sistema di Monitoraggio e Diagnostica
Pericoli in aumento Source: CERT/CC • Cambia la natura delle minacce • Cyber attacks, virus • Furto d’identità: frodi ai consumatori (casi di phishing) • Crimine organizzato: carte di credito (miliardi di Euro) • CERT(1) ha stimato che almeno l’80% degli incidenti non viene riportato per vari motivi, tra cui: • l’organizzazione non è in grado di riconoscere che il proprio sistema è stato violato • l’organizzazione è riluttante ad ammetterlo
Prima e dopo il 2000 • Minacce interne: • accidentali • vendette di dipendenti • Solo il 30% cause esterne Dal 2001 shift verso le cause esterne.
Sorgenti di attacchi/incidenti • La Business network (Intranet) è la prima fonte di incidenti • Anche l’accesso diretto è importante • Internet è la prima fonte di incidenti • Numerose altre modalità
Diminuisce il know-how richiesto per gli attacchi Source: PlantData Technologies
Criticità delle reti di processo e degli SCADA in ENEL • Interconnessione tra le reti di processo delle Centrali e l’Intranet Aziendale, a sua volta connessa a Internet • Continua evoluzione delle connessioni, sia hardware che software • Dimensioni e complessità della rete ENEL • Uso di diverse tecnologie • Diffusione dei sistemi Microsoft Windows per l’automazione e controllo • Inizialmente, assenza di antivirus sui sistemi SCADA • Prevedibile diffusione di connessioni wireless • Presenza di connessioni modem • Carenza di stringenti procedure di security negli impianti • …….
Cybersecurity SCADA in ENEL Obiettivo:Proteggere i Sistemi di Automazione e Controllo degli impianti di produzione da attacchi informatici. Modello di gestione rischi operativi Protezione delle infrastrutture critiche nella lotta contro il terrorismo Direttiva EPCIP COM (2004) 702 • Attività di ENEL–Ricerca, ICT e SECURITY • Individuazione di nuove tecnologie volte a incrementare la sicurezza della infrastruttura dedicata all’automazione degli impianti di generazione • Realizzazione del Laboratorio di Cybersecurity CA- ESCORT (Coordinating Action coordinata da CEN)
Interesse per l’ENEL • L’obiettivo dell’EPCIP non è quello di “proteggere” le Aziende da possibili danni economici dovuti ad attacchi esterni, bensì quello di proteggere la comunità dalle conseguenze catastrofiche di tali attacchi. Tuttavia è sicuro che vi saranno obblighi stringenti per le Aziende. • In questo contesto risulta di importanza strategica la partecipazione attiva all’EPCIP fin dalle fasi preliminari al fine di: • conoscere in anticipo le direttive in modo da essere già conformi alle stesse all’entrata in vigore della normativa • indirizzare la normativa europea per coprire tutte le aree di interesse per ENEL • Uno scatto di un impianto a carbone può comportare perdite economiche dell’ordine del M€!! • Non c’è un simile “business case” per un attacco alla rete Business/Office
Visione SCADA/Process cybersecurity • La cybersecurity e la certificazione degli SCADA è necessaria (ruolo fornitori) ma non sufficiente • Lo SCADA è un pezzo del mosaico • La Rete di Processo è il nostro target. In un impianto a carbone ci sono più di 50 sistemi SCADA (un solo Sistema di Controllo Principale che integra tutto). • Integrazione, connessione con la Intranet (Business/Office), direct dial-up, altro • E’ necessaria una visione globale del “sistema” che vogliamo proteggere. • Il fine ultimo: non vogliamo uno SCADA “sicuro”; vogliamo un processo “sicuro”. • Aggiornamento e costi operativi continui • Questo “processo” richiede una organizzazione dedicata all’interno dell’Azienda: molte competenze, diversi punti di vista (tradeoff?) da gestire • con una visione unitaria e • con un forte commitment dal vertice aziendale
Pisa Marghera Livorno Sesta S. Gilla Brindisi Catania La Ricerca in ENEL
L’approccio della Ricerca Modellistica matematica Analisi Sviluppo Dimostrazione Applicazione Prototipi Laboratori Stazionisperimentali Sperimentazione
Metodologia JRC (17799/CC) Assessment Assets Vulnerabilities Data Sources Threats Loss Attacks Security Failures Security Objectives & Requirements System Architecture Corporate Security Policy (7799) Preliminary design & requirements Security Target / Protection Profile (CC) Service contracts (QoS), Insurance Procurement [1] IEC TR 62210 “Power system control and associated communications – Data and communication security” IEC TC57 (WG15) Technical Report, First edition 2003-05. [2] “Guide to ISO/BS 17799 - Risk assessment and risk management”, BSI, PD 3002:2002. [3] Common Criteria for Information Technology Security Evaluation. CC version 2.1, August 1999 (aligned with ISO 15408:1999). Common Criteria project Sponsoring Organisations.
La Ricerca in ENEL: l’Area di Livorno • 16000 m2 • 12 operatori • 18 impianti sperimentali • spesa annua 1,3 M€
SWITCH SWITCH SWITCH HUB HUB HUB Il punto di partenza: infrastruttura tipica di centrale Diffusione dati aziendali via WEB RAS/VPN accessi ext Antivirus GRTN Rete Dati e Telecontrollo SCP FIREWALL Rete Intranet ENEL Rete Dati operativi ROUTER WIND FIREWALL Rete Uffici Rete Telecontrollo Rete di Processo Rete DMZ RTU HUB Pagina 8/10
ABB Internet (8) Server Radius Enel fw Stazione Remota Enel fw Siemens Intranet Enel (7) GRTN Rete Dati Enel Parent Server Enel fw Rete Siemens di centrale Rete Regolaz.Sec. Sec.Reg. Network (5) Rete Dati Data Network (6) Rete DMZi Demilitarized Network (4) Rete Uffici Router isdn router Stazione remota WINTS RTU router Srv PI Switch rete Siemens Switch rete dati Switch rete uffici Switch dmz SMAV Srv ASC firewall Clt SCP GTDS Gw opc-pi Srv ATTPIA Srv SCP Rete di Processo Process Network (3) Switch rete processo servizi comuni Switch firewall Switch rete processo unità X Gw XU Switch rete controllori TG Rete controllori Control Network (2) SCTG PLC PLC PLC PLC sensori e attuatori del Turbogas ProtocollI RS-232/485, MODBUS trasduttore attuatore sensori e attuatori del ciclo vapore Protocollo profibus trasduttore attuatore Rete campo Field Network (1)
Intranet protocollo OPC SCTG SCP protocollo teleperm protocollo OPC comandi dati controllo allarmi - blocchi comandi dati controllo allarmi - blocchi server area servizi comuni gateway opc- pi supervisione monitoraggio diagnostica supervisione monitoraggio diagnostica protocollo OPC protocollo PI stazione di lavoro router Wind diagnostica TG diagnostica vibrazioni switch 1 switch ASC switch rete Uffici switch 2 rete processo Rete dati protocollo teleperm firewall firewall controllore data server PI bus di campo protocollo PI router Wind switch rete DMZ switch rete Dati controllore attuatori / trasduttori Steam Turbine HRSG Camera di combustione vapore gas generatore di vapore a recupero G G turbina turbina Compr. fumi aria Turbogas acqua fumi tipo di scambio dati comandi supervisione archiviazione diagnostica di 2° livello allarmi – dati controllo diffusione dati d’impianto
LAN del Laboratorio Wireless LAN 192.168.3.0/24 Switch L2 192.168.3.1 Firewall Observer Terminal 192.168.4.0/24 - 192.168.5.0/24 192.168.3.10 Switch L2 192.168.4.1 192.168.0.16 Power Context Simulator 192.168.8.0/24 Centro Stella 192.168.0.0/24 Firewall Switch L2 192.168.5.1 Firewall Switch L2 192.168.8.1 192.168.8.10 192.168.0.10 192.168.0.13 192.168.5.10 Horizontal Services 192.168.1.0/24 Testbed M. Administrator 192.168.6.0/24 Switch L3 192.168.0.1 Firewall Firewall Switch L2 192.168.6.1 Switch L2 192.168.1.1 192.168.1.10 192.168.0.11 192.168.0.14 192.168.6.10 Vulner.Contr.Repository Tools 192.168.7.0/24 Threat and Attack Simulator 192.168.2.0/24 Firewall Firewall Switch L2 192.168.7.1 Switch L2 192.168.2.1 192.168.2.10 192.168.0.12 192.168.0.15 192.168.7.10 Scada System 192.168.0.17 Firewall 192.168.101.10 192.168.100.10 158.47.12.212 DMZ 192.168.101.0/24 Dati 192.168.100.0/24 Switch L2 192.168.101.1 Switch L2 192.168.100.1 Processo 158.47.12.0/24 Parent Server, RTU PI Switch L2 158.47.12.201 158.47.12.212 Switch L2 Rete campo Firewall SCADA, ASC, GW OPC/PI 192.168.102.12 Switch L2 Simulatore
192.168.100.101 Client RTU DMZ 192.168.101.0/24 Dati 192.168.100.0/24 192.168.100.39 192.168.100.38 192.168.101.35 server PI parent server RTU 158.47.12.162 158.47.12.160 server DCS staz.config. controllori client scada ASC gw opc/pi 158.47.12.165 158.47.12.163 158.47.12.212 172.16.10.22 172.16.10.21 Firewall 192.168.102.10 Switch L2 rete campo Switch L2 Simulatore simul. impianto server scada 192.168.102.36 192.168.102.37 Area Scada System dorsale Laboratorio 192.168.0.0/24 192.168.0.17 192.168.101.10 Firewall 192.168.100.10 158.47.12.210 Switch L2 192.168.101.1 Switch L2 192.168.100.1 Processo 158.47.12.0/24 Switch L2 158.47.12.201 172.16.10.22 172.16.10.21 server DCS staz.config. controllori Switch L2 Idrolab 172.16.10.2 172.16.10.1 158.47.12.162 158.47.12.160 controllorescada controllore scada Switch Rete Idrolab (158.47.12.0/24) Strumentazione e attuatori di Idrolab
2 3 1 patch panel 24 rj45 patch panel 24 rj45 1 Horizontal service Testbed Master Administrator Threat and attack simulator finestra porta B/N AREA LAVORO Col. AREA LABORATORIO Vulnerabilty and countermeasures repository and tools Scada system Power context simulator Observer terminal corridoio B/N finestra 2 patch panel 24 rj45 patch panel 24 rj45 6 5 4 7 sedia parete a vetri con porta scorrevole dispositivo sicurezza scaffale patch panel 96 rj45 armadio basso 80x50x73 B/N PC e Firewall stampanti armadio switch armadio switch 80x60x200 armadio alto 80x50x200 video armadio switch AREA APPARATI tavolo medio 105x2100 tastiera dispositivo switch tavolo lungo 105x2800 patch panel 96 rj45 4 prese rete gestionale 1 3 8 porta
Programma Sperimentale Utilizzo del Laboratorio Librerie di vulnerabilità e minacce Sistemi di attacco Test Vulnerabilità Verifica Standards Test Manutenzione Comparazione architetture Sistema di gestione del laboratorio Sistemi di osservazione Test Security Policies Test Contromisure Test Attacchi Sistema Industriale da testare Analizzatore dei risultati
Primi Risultati Denial of Service contro Internet Gateway DOS da Intranet contro rete di Processo Trojan Horse PI Spoofing DNS Poisoning Zero Day Virus Malware Attacks • Esperimento realizzato con successo utilizzando 6 PCs • Effetti potenziali: Impossibilita’ per menutentori remoti, ABB, Siemens, di accedere al sistema. • Critico nell’ ottica futura: es. Mercato dell’Energia Caso 1: attacco a basso impatto Caso 2: attacco critico. Impatto sui sistemi scada, sui controllori. Gli effetti potenziali possono essere molto rilevanti Caso 1: Infezione con accesso fisico Caso 2: Infezione da remoto Estremamente critico: Meccanismo applicabile a tutti i servizi di centrale Consente di catturare le credenziali di accesso ai sistemi interessati Semplicemente risolvibile • Attacco difficilmente contrastabile • Danni potenziali altissimi • Realizzato con successo in laboratorio 2 1