Beskytter vores energiinfrastruktur mod cyberangreb

Næsten hver dag, nyhedsoverskrifter annoncerer endnu et sikkerhedsbrud og tyveri af kreditkortnumre og andre personlige oplysninger. Selvom det kan være irriterende og foruroligende at have stjålet sit kreditkort, en langt mere markant, endnu mindre anerkendt, bekymring er sikkerheden i den fysiske infrastruktur, herunder energisystemer.

"Med et kreditkortstyveri, du skal muligvis betale $ 50 og få et nyt kreditkort, "siger Stuart Madnick, John Norris Maguire -professor i informationsteknologi ved Sloan School of Management, professor i ingeniørsystemer på School of Engineering, og grundlægger af Cybersecurity hos MIT Sloan -konsortiet. "Men med infrastrukturangreb, reel fysisk skade kan forekomme, og genopretning kan tage uger eller måneder. "

Et par eksempler viser truslen. I 2008, et påstået cyberangreb sprængte en olierørledning i Tyrkiet, lukke den ned i tre uger; i 2009, den ondsindede Stuxnet computerorm ødelagde hundredvis af iranske centrifuger, forstyrre landets program for berigelse af atombrændsel; og i 2015, et angreb bragte en del af det ukrainske elnet ned - i kun seks timer, men understationer på nettet skulle drives manuelt i flere måneder.

Ifølge Madnick, for modstandere til at angribe et vellykket angreb, de skal have evnen, muligheden, og motivationen. I de seneste hændelser, alle tre faktorer har tilpasset sig, og angribere har lammet store fysiske systemer.

"Den gode nyhed er, at i hvert fald i USA, det har vi ikke rigtig oplevet endnu "siger Madnick. Men han mener, at" det kun er motivation, der mangler. "I betragtning af tilstrækkelig motivation, angribere overalt i verden kunne, for eksempel, nedbringe nogle eller alle landets sammenkoblede elnet eller stoppe strømmen af ​​naturgas gennem landets 2,4 millioner miles rørledning. Og mens nødfaciliteter og brændstofforsyninger kan holde tingene kørende i et par dage, det vil sandsynligvis tage langt længere tid end det at reparere systemer, som angriberne har beskadiget eller sprængt.

"Det er massive virkninger, der ville påvirke vores daglige liv, "siger Madnick." Og det er ikke på de fleste menneskers radar. Men bare at håbe på, at det ikke vil ske, er ikke ligefrem en sikker måde at gå livet på. "Han mener bestemt, at" det værste mangler endnu. "

Udfordringen for industrien

Det er en voksende udfordring at sikre energisystemers cybersikkerhed. Hvorfor? Dagens industrielle faciliteter bygger i vid udstrækning på software til anlægskontrol, snarere end på traditionelle elektromekaniske enheder. I nogle tilfælde, selv funktioner, der er kritiske for at sikre sikkerheden, er næsten udelukkende implementeret i software. I en typisk industriel facilitet, snesevis af programmerbare computersystemer fordelt over hele anlægget giver lokal kontrol af processer - f.eks. opretholdelse af vandstanden i en kedel på et bestemt setpunkt. Disse enheder interagerer alle med et "tilsyns" -system på højere niveau, der gør det muligt for operatører at kontrollere de lokale systemer og den samlede drift af anlægget, enten på stedet eller eksternt. I de fleste faciliteter, disse programmerbare computersystemer kræver ikke nogen godkendelse for at indstillinger kan ændres. I betragtning af denne opsætning, en cyberangreb, der får adgang til softwaren i enten det lokale eller tilsynssystemet, kan forårsage skade eller afbrydelse af tjenesten.

Den traditionelle metode, der bruges til at beskytte kritiske kontrolsystemer, er at "lufte" dem-det vil sige adskille dem fra det offentlige internet, så ubudne gæster ikke kan nå dem. Men i nutidens verden med høj forbindelse, et luftgab garanterer ikke længere sikkerhed. For eksempel, virksomheder ansætter ofte uafhængige entreprenører eller leverandører til at vedligeholde og overvåge specialudstyr i deres faciliteter. For at udføre disse opgaver, entreprenøren eller leverandøren har brug for adgang til driftsdata i realtid-oplysninger, der normalt overføres via internettet. Ud over, legitime forretningsbehov, såsom overførsel af filer og opdatering af software, kræver brug af USB -stik, som utilsigtet kan bringe luftgabets integritet i fare, efterlader et anlæg sårbart over for cyberangreb.

Leder efter sårbarheder

Virksomheder arbejder aktivt på at skærpe deres sikkerhed - men typisk først efter at der er sket en hændelse. "Så vi plejer at se gennem bakspejlet, "siger Madnick. Han understreger behovet for at identificere og afbøde sårbarheden i et system, før der opstår et problem.

Den traditionelle metode til at identificere cyber-sårbarheder er at oprette en oversigt over alle komponenter, undersøge hver enkelt for at identificere eventuelle sårbarheder, dæmpe disse sårbarheder, og aggreger derefter resultaterne for at sikre det overordnede system. Men denne tilgang bygger på to centrale forenklede antagelser, siger Shaharyar Khan, en stipendiat i MIT System Design and Management -programmet. Det forudsætter, at begivenheder altid kører i en enkelt, lineær retning, så en begivenhed forårsager en anden begivenhed, som forårsager en anden hændelse, og så videre, uden feedback -sløjfer eller interaktioner for at komplicere sekvensen. Og det forudsætter, at forståelse af hver komponents adfærd isoleret nok er tilstrækkelig til at forudsige adfærden i det overordnede system.

Men disse antagelser holder ikke for komplekse systemer - og moderne kontrolsystemer i energifaciliteter er ekstremt komplekse, softwareintensiv, og består af stærkt koblede komponenter, der interagerer på mange måder. Som resultat, siger Khan, "det overordnede system udviser adfærd, som de enkelte komponenter ikke gør" - en egenskab kendt i systemteori som fremkomst. "Vi betragter sikkerhed og sikkerhed som nye egenskaber ved systemer, "siger Khan. Udfordringen er derfor at kontrollere systemets nye adfærd ved at definere nye begrænsninger, en opgave, der kræver forståelse for, hvordan alle de interagerende faktorer på arbejdet - fra mennesker til udstyr til eksterne regler og mere - i sidste ende påvirker systemsikkerheden.

At udvikle et analytisk værktøj op til den udfordring, Madnick, Khan, og James L. Kirtley Jr., professor i elektroteknik, vendte sig først til en metode kaldet Systemteoretisk ulykkesmodel og -proces, som blev udviklet for mere end 15 år siden af ​​MIT -professor Nancy Leveson i luftfart og astronautik. Med det arbejde som fundament, de udviklede "cybersikkerhed, "en analytisk metode specielt skræddersyet til cybersikkerhedsanalyse af komplekse industrielle kontrolsystemer.

For at anvende cybersikkerhedsproceduren på et anlæg, en analytiker begynder med at besvare følgende spørgsmål:

• Hvad er hovedformålet med det system, der analyseres; det er, hvad skal du beskytte? Det kan lyde ligetil at besvare det spørgsmål, men Madnick bemærker, "Overraskende, når vi spørger virksomheder, hvad deres 'kronjuveler' er, de har ofte problemer med at identificere dem. "
• I betragtning af dette hovedformål, hvad er det værste, der kan ske med systemet? At definere hovedformålet og de værst mulige tab er nøglen til at forstå målet med analysen og den bedste allokering af ressourcer til afbødning.
• Hvad er de vigtigste farer, der kan føre til det tab? Som et enkelt eksempel, at have våde trapper i et anlæg er en fare; at få nogen til at falde ned ad trappen og bryde en ankel er et tab.
• Hvem eller hvad styrer denne fare? I ovenstående eksempel, det første trin er at bestemme, hvem eller hvad der styrer trappens tilstand. Næste trin er at spørge, Hvem eller hvad styrer denne controller? Og så, Hvem eller hvad styrer denne controller? Besvarelse af dette spørgsmål rekursivt og kortlægning af feedback -sløjferne mellem de forskellige controllere giver en hierarkisk kontrolstruktur, der er ansvarlig for at opretholde trappens tilstand i en acceptabel tilstand.

I betragtning af den fulde kontrolstruktur, det næste trin er at spørge:Hvilke kontrolhandlinger kan foretages af en controller, der ville være usikker i betragtning af systemets tilstand? For eksempel, hvis en angriber ødelægger feedback fra en nøglesensor, en controller ikke kender systemets faktiske tilstand og derfor kan foretage en forkert handling, eller kan foretage de korrekte handlinger, men på det forkerte tidspunkt eller i den forkerte rækkefølge - hvilket ville føre til skade.

Baseret på den nu dybere forståelse af systemet, analytikeren hypoteser derefter en række tabsscenarier, der stammer fra usikre kontrolhandlinger og undersøger, hvordan de forskellige controllere kan interagere for at udsende en usikker kommando. "På hvert analyseniveau, vi forsøger at identificere begrænsninger for den proces, der kontrolleres, at, hvis overtrådt, ville resultere i, at systemet bevæger sig i en usikker tilstand, "siger Khan. F.eks. en begrænsning kan diktere, at damptrykket inde i en kedel ikke må overstige en vis øvre grænse for at forhindre kedlen i at briste på grund af overtryk.

"Ved løbende at forfine disse begrænsninger, efterhånden som vi skrider frem gennem analysen, vi er i stand til at definere nye krav, der sikrer sikkerhed og sikkerhed i det overordnede system, "siger han." Så kan vi identificere praktiske trin til håndhævelse af overholdelse af disse begrænsninger gennem systemdesign, processer og procedurer, eller sociale kontroller såsom virksomhedskultur, lovkrav, eller forsikringsincitamenter. "

Casestudier

For at demonstrere evnen til cybersikkerhedsanalyse, Khan valgte en 20 megawatt, gasturbinekraftværk-et lille anlæg, der har alle elementerne i et kraftværk i fuld skala på nettet. I en analyse, han undersøgte kontrolsystemet for gasturbinen, fokuserer især på, hvordan softwaren, der styrer brændstofreguleringsventilen, kan ændres for at forårsage tab på systemniveau.

Udførelse af cybersikkerhedsanalysen gav flere turbinrelaterede tabsscenarier, der involverede brande eller eksplosioner, katastrofalt udstyrsfejl, og i sidste ende manglende evne til at generere strøm.

For eksempel, i et scenario, angriberen deaktiverer møllens digitale beskyttelsessystem og ændrer logikken i softwaren, der styrer brændstofreguleringsventilen for at holde ventilen åben, når den skal lukkes, forhindrer brændstof i at strømme ind i turbinen. Hvis møllen derefter pludselig kobles fra nettet, det vil begynde at dreje hurtigere end dets designgrænse og vil bryde fra hinanden, beskadige udstyr i nærheden og skade arbejdere i området.

Cybersafety-analysen afdækkede kilden til denne sårbarhed:En opdateret version af kontrolsystemet havde elimineret en backup mekanisk boltsamling, der sikrede turbine "over-speed" beskyttelse. I stedet, overhastighedsbeskyttelse blev implementeret udelukkende i software.

Denne ændring gav mening fra et forretningsmæssigt perspektiv. En mekanisk enhed kræver regelmæssig vedligeholdelse og test, og disse tests udsætter møllen for så ekstreme belastninger, at den undertiden mislykkes. Imidlertid, i betragtning af vigtigheden af ​​cybersikkerhed, det kan være klogt at bringe den mekaniske bolt tilbage som en selvstændig sikkerhedsanordning-eller i det mindste at betragte selvstændige elektroniske overhastighedsbeskyttelsesordninger som en sidste forsvarslinje.

En anden casestudie fokuserede på systemer, der bruges til at levere kølet vand og aircondition til de bygninger, der betjenes. Endnu engang, cybersikkerhedsanalysen afslørede flere tabsscenarier; I dette tilfælde, de fleste havde en årsag til fælles:brugen af ​​frekvensomformere (VFD'er) til at justere hastigheden på motorer, der driver vandpumper og kompressorer.

Som alle motorer, motoren, der driver kølemaskinens kompressor, har visse kritiske hastigheder, ved hvilke mekanisk resonans opstår, forårsager overdreven vibration. VFD'er er typisk programmeret til at springe over disse kritiske hastigheder under motorstart. Men nogle VFD'er er programmerbare over netværket. Dermed, en angriber kan forespørge en VFD om den vedhæftede motors kritiske hastighed og derefter kommandere den til at køre motoren med den farlige hastighed, permanent beskadige det.

"Dette er en simpel slags angreb; det kræver ikke meget sofistikering, "siger Khan." Men det kunne blive lanceret og kunne forårsage katastrofal skade. "Han citerer tidligere arbejde udført af Matthew Angle '07, MEng '11, Ph.d. '16, i samarbejde med Madnick og Kirtley. Som en del af en undersøgelse fra 2017 af cyberangreb på industrielle kontrolsystemer, Angle byggede et laboratorietestmotorsæt udstyret med en komplet VFD med computerkode, som forskerne kendte. Ved blot at ændre et par nøglelinjer kode, de fik kondensatorer i VFD til at eksplodere, sender røg bølgende ud i gården bag deres MIT lab. I industrielle omgivelser med VFD'er i fuld størrelse, et lignende cyberangreb kan forårsage betydelig strukturel skade og potentielt skade personale.

I betragtning af sådanne muligheder, forskergruppen anbefaler, at virksomheder nøje overvejer "funktionaliteten" af udstyret i deres system. Mange gange, anlægspersonale er ikke engang klar over de muligheder, som deres udstyr tilbyder. For eksempel, de er måske ikke klar over, at en VFD, der driver en motor i deres anlæg, kan fås til at fungere i omvendt retning ved en lille ændring i computerkoden, der styrer den-en klar cyber-sårbarhed. Fjernelse af denne sårbarhed kræver brug af en VFD med mindre funktionalitet. "God teknik til at fjerne sådanne sårbarheder kan undertiden fejlagtigt karakteriseres som et skridt tilbage, men det kan være nødvendigt at forbedre et anlægs sikkerhedsstilling, "siger Khan. En fuld cybersikkerhedsanalyse af et system vil ikke kun fremhæve sådanne spørgsmål, men også guide den strategiske placering af analoge sensorer og andre redundante feedback -sløjfer, der vil øge modstandsdygtigheden ved systemdrift.

At tage udfordringen op

Gennem deres cybersikkerhedsforskning, Khan, Madnick, og deres kolleger har fundet ud af, at sårbarheder ofte kan spores til menneskelig adfærd, samt ledelsesbeslutninger. I et tilfælde, et firma havde inkluderet standardadgangskoden for sit udstyr i betjeningsvejledningen, offentligt tilgængeligt på internettet. Andre sager involverede operatører, der forbinder USB -drev og personlige bærbare computere direkte til anlæggets netværk, derved bryde luftgabet og endda indføre malware i anlægskontrolsystemet.

I et tilfælde, en natarbejder downloadede film på en plantecomputer ved hjælp af en USB -stick. Men ofte blev sådanne handlinger taget som en del af desperate forsøg på at få et i øjeblikket nedlukket anlæg igen i gang. "I den store prioriteringsplan, Jeg forstår, at fokus på at få anlægget til at køre igen er en del af kulturen, "siger Madnick." Desværre, de ting, folk gør for at holde deres anlæg kørende, udsætter nogle gange planten for en endnu større risiko. "

At muliggøre en ny kultur og tankegang kræver et seriøst engagement i cybersikkerhed i ledelseskæden. Afbødningsstrategier vil sandsynligvis kræve genopbygning af kontrolsystemet, købe nyt udstyr, eller foretage ændringer i processer og procedurer, der kan medføre ekstra omkostninger. I betragtning af hvad der er på spil, ledelsen må ikke kun godkende sådanne investeringer, men også indgyde en følelse af hastende karakter i deres organisationer for at identificere sårbarheder og eliminere eller afbøde dem.

Baseret på deres undersøgelser, forskerne konkluderer, at det er umuligt at garantere, at et industrielt kontrolsystem aldrig får brudt sit netværn. "Derfor, systemet skal være designet, så det er modstandsdygtigt over for virkningerne af et angreb, "siger Khan." Cybersikkerhedsanalyse er en kraftfuld metode, fordi den genererer et helt sæt krav - ikke kun teknisk, men også organisatorisk, logistisk, og proceduremæssig - det kan forbedre modstandskraften i ethvert komplekst energisystem mod et cyberangreb. "

Denne historie er genudgivet med tilladelse fra MIT News (web.mit.edu/newsoffice/), et populært websted, der dækker nyheder om MIT -forskning, innovation og undervisning.