Hacker-resistent kraftværkssoftware får en lysende prøve på Hawaii

Johns Hopkins computersikkerhedseksperter rejste for nylig til Hawaii for at se, hvor godt deres hacker-resistente software ville fungere i et fungerende, men i øjeblikket offline Honolulu kraftværk. Den vellykkede modstandsdygtighedstest, finansieret af det amerikanske forsvarsministerium, blev til dels udløst af voksende bekymringer om sårbarheden af ​​elnet, efter at to højprofilerede cyberangreb slukkede lyset i dele af Ukraine i løbet af de sidste to år.

Hverken afbrydelsen i Kiev var lang eller omfattende nok til at forårsage alvorlig skade eller panik. Alligevel fungerede angrebene som et wake-up call, sætte fokus på elnetsikkerhed i USA og andre steder.

"I dag, vores strømsystem er ikke designet til at modstå den slags angreb, der skete i Ukraine, " sagde Yair Amir, professor og formand for Institut for Datalogi ved universitetets Whiting School of Engineering. "Hvis selv en del af et elnets kontrolsystem er kompromitteret, spillet er slut. Vi skal gøre vores net mere sikkert, modstandsdygtig og indtrængentolerant."

Amir og hans team af forskere håber at hjælpe med at øge modstandskraften med deres nye open source-kontrolsystem til elnet kaldet Spire. Det indtrængningstolerante system er designet til at holde strømmen flydende, selvom en del af systemet er kompromitteret.

I et eksperiment i april sidste år, et Sandia National Laboratories hackerhold var i stand til at fjernudslette et kommercielt netkontrolsystem inden for et par timer, men holdet kunne ikke trænge ind i Spire-systemet i tre dage. På den tredje dag, Sandia-angrebsholdet fik fjernadgang til en del af Spire, men dets testhackere kunne stadig ikke forstyrre systemets korrekte drift.

For nylig, Spire-udviklerne fra Johns Hopkins blev inviteret til at få våde fødder på Hawaii. I slutningen af ​​januar, Amir og hans team tog til en offline Hawaiian Electric Company-fabrik i Honolulu og brugte to uger på at teste Spire-systemet på kraftværkets udstyr med hjælp fra HECO-ingeniørerne Keith Webster og John Tica. Efter et par dages opsætning og integration, Spire kørte kontinuerligt uden afbrydelse i næsten en hel uge.

Målet med Hawaii-deployeringen var at verificere, at Spire kan fungere uden at forringe kontrolsystemets ydeevne og uden negative effekter på andre kraftværkssystemer.

Et elnet skal reagere på uønskede hændelser – f.eks. en strømafbryder, der udløses eller en generator, der lukker ned - inden for hundreder af millisekunder, sagde Amir. "Hvis en generator går ud, systemet skal hurtigt opdage det og kompensere ved at øge strømmen i andre generatorer eller ved at afbryde strømmen til dele af nettet."

På den sidste dag af Hawaii-testen, Webster implementerede en enhed til at måle ende-til-ende reaktionstid for det kommercielle kontrolsystem i anlægget og Spire. Målingerne viste, at det kommercielle system afspejlede en ændring i nettets strømtilstand inden for 900 millisekunder til et sekund. Spire viste den samme ændring inden for 400-500 millisekunder, opfylder kravet om aktualitet.

En del af hvordan systemet fungerer er ved hjælp af replikaer. Forskerne byggede den til at indeholde seks kopier af hovedkontrolserveren, der arbejder sammen om at blive enige om opdateringer i systemet. Det er det mindste antal replikaer, der er nødvendige for at få god beskyttelse, siger Amir. "Hver replika stemmer på alle data og beslutninger, " tilføjede han. "Hvis en af ​​replikaerne er kompromitteret, og en anden gennemgår vedligeholdelse, så vil de andre gode replikaer gøre det muligt for systemet at fortsætte med at fungere korrekt og rettidigt."

Hvorfor blev testen udført på Hawaii? Først, forskningsprojektet blev finansieret af Forsvarsministeriet, som er en af ​​HECOs største kunder. Ud over, Amir sagde, den unikke adgang til et "mølkugle" kraftværk med fuldt funktionsdygtige styresystemer, men uden aktiv elproduktion, var perfekt til test af kontrolsystem på netniveau. "Hvis noget går lidt galt, " han sagde, "Du har i det mindste ikke en kvart million mennesker, der mister magten."

Amir og hans kolleger planlægger at udgive Spire 1.1, den version, der blev implementeret i denne test-implementering, i de kommende uger. Version 1.0, testet i april, er allerede tilgængelig til download.

At gøre Spire til open source var en slags "no-brainer, " sagde Amir. Han har brugt over et årti af sin forskerkarriere på at arbejde på indtrængningstolerante systemer og netværk. Han sagde, at frigivelse af kildekoden åbenlyst øger bevidstheden og chancen for virkelige konsekvenser. Det amerikanske elnet er et logisk mål for større cyberangreb, han sagde. Deaktivering eller manipulation af nettet i stor skala, Amir sagde, kunne alvorligt skade landet ved at forstyrre liv og forårsage enorme økonomiske tab.

"Vi besluttede, at vi ikke bare vil offentliggøre vores resultater, " han tilføjede, "men vi vil frigive open source-løsninger, der vil vise folk, hvordan man gør kontrolsystemer til elnettet sikre, robust, og indtrængentolerant, " sagde Amir. "Vi ønsker at skabe et fællesskab af mennesker, der virkelig er interesserede i det. Vi er nødt til at beskytte vores kritiske infrastruktur."