sicurezza informatica degli impianti di generazione elettrica: l'esperienza enel e il...
TRANSCRIPT
Sicurezza informatica degli impianti di generazione elettrica: l'esperienza ENEL e il Laboratorio Cybersecurity SCADA
Luca GuidiENEL SpA
Divisione Ingegneria e Innovazione
Area Tecnica Ricerca
Roma, 9 Luglio 2009
2
Uso: Aziendale
Sistema Elettrico italiano
GENERAZIONE (molti produttori)Qualche migliaio di impianti di generazione (1000 termo+2000 idro)Capacità installata: 93.600 MWe. Disponibile alla punta: 61.150 MWe
TRASMISSIONE (Terna)62.000 km di linee ad altissima (220-380 kV) e alta tensione (120-150 kV).18 linee di interconnessione con l’estero
DISTRIBUZIONE (Un solo distributore per Comune; dati ENEL )Media Tensione
2.000 Cabine Primarie (AT/MT) con capacità di 87.500 MVA
334.000 km di linee
Bassa Tensione345.000 Cabine Secondarie (MT/BT) con capacità di 65.700 MVA
725.000 km di linee
30 milioni di contatori elettronici
3
Uso: Aziendale
0
10
20
30
40
50
60
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
DIAGRAMMA DI CARICO Dicembre 2007
Acqua fluente + rinnovabili
Termoelettrico
Import
Idro
x 1.000 MW
4
Uso: Aziendale
L’equilibrio della rete
C’è una importante differenza tra la rete elettrica e quelle gas/acqua: nella prima non c’è ACCUMULO.
• La rete deve essere bilanciata: produzione e carichi devono essere globalmente uguali, istante per istante.
• L’equilibrio della rete è demandato ai grandi impianti dispacciabili (> 10 MWe)
• Il giorno prima viene definito il Piano Vincolato di produzione (GME); il giorno stesso vengono inviati gli Ordini di Bilanciamento per variazioni note in anticipo.
• La regolazione in tempo reale, richiesta da improvvisi e imprevedibili sbilanciamenti, è a carico in prima istanza del servizio di Riserva Primaria degli impianti (power/frequency control).
• Un eccesso di generazione o di carico causa variazioni rapide di frequenza; automaticamente gli squilibri sono bilanciati con un rapidissimo decremento o incremento di potenza generata.
• I servizi di Riserva Secondaria o Terziaria consentono un ritorno all’equilibrio con dinamica più lenta
5
Uso: Aziendale
La Riserva
• Riserva primaria (tutte le unità, almeno ±1,5% in 30 s); automatismo in impianto
• Riserva secondaria (±6% in 200 s, ±15% per idro); richiesta automatica GME
• Riserva terziaria (“pronta” entro 15 minuti; “fredda” entro 60 minuti); richiesta GME
Fabbisogno riserva secondaria
C 10150150R 2secondaria (MW)
se C=40.000 MW => Rsecondaria = 500 MW
se C=30.000 MW => Rsecondaria = 417 MW
6
Uso: Aziendale
Variazione di frequenza di rete per scatto
Fonte: TERNA S.p.A.
7
Uso: Aziendale
Transitorio di regolazione frequenza/potenza
Fonte: TERNA S.p.A.
8
Uso: Aziendale
Alcuni eventi che hanno suscitato allarme
• Blackout Italia di Domenica 28 Settembre 2003– Mancano oltre 6.000 MW, oltre agli impianti di generazione italiani che sono
scattati. Il carico richiesto era di circa 24.000 MW– Carichi interrompibili
3.500 MW da pompaggio1.000 MW utenza interrompibile1.000 MW “alleggeritori di carico” per utenza diffusa
Può un albero che cade in Svizzera mettere al buio l’Italia intera?Può un albero che cade in Svizzera mettere al buio l’Italia intera?• Blackout “USA NordEst-Canada” del 14 Agosto 2003
– Errore di misura sulla rete, scatto impianto, contatto albero con linee– 45+10 milioni di utenti interessati (anche in questo caso un albero … )
• Blackout Europa centrale e Italia Nord, 4 Novembre 2006– Due linee ad alta tensione, da 400.000 Volt, in Germania, il cui cedimento ha
provocato, con un effetto domino, uno squilibrio generale di produzione di elettricità in Europa
– Il blackout ha riguardato 10 milioni di cittadini in numerosi paesi, tra i quali Francia, Germania, Italia, Olanda, Portogallo, Spagna, Belgio e Austria
9
Uso: Aziendale
Il nuovo contesto per l’Automazione
• Evoluzione del Sistema di Automazione in Centrale, basato su elaboratori tradizionali (PC): modulare, distribuito, integrato.
• Sala Manovra informatizzata• Anche sul fronte del “campo” uso di dispositivi “intelligenti” e segnali
digitali (Bus di Campo) • Eliminazione del dualismo SRC (Regolazione e Controllo) - SdS
(Supervisione). Ora SCP (Sistema di Controllo Principale) che integra le parti regolazione, controllo e supervisione.
• Possibilità di implementare funzioni evolute (di automazione e diagnostica) a livello utente
• A sua volta, la rete di processo si integra nella Intranet aziendale e con i sistemi gestionali
Centrali sempre più informatizzate e sempre più integrate nella “Corporate Network”
10
Uso: Aziendale
Una vecchia Sala Manovra
11
Uso: AziendaleIl nuovo Sistema Sala Manovra
12
Uso: Aziendale
Fine anni ’90: la diffusione dati d’impianto
• Integrare le reti di processo delle Centrali Termoelettriche nella Intranet Aziendale
• Rendere visibili, dagli uffici e da remoto, i dati di esercizio in tempo reale, organizzati e personalizzati per diverse categorie di utenti
• Sviluppare applicazioni speciali per monitoraggio e diagnostica.
• Proteggere i Sistemi Digitali di Processo (Regolazione, Supervisione, Monitoraggio e Diagnostica) da intrusioni non desiderate
• Proteggere i dati “sensibili” di ENEL Produzione
• Garantire il corretto funzionamento dei SDP, supportando i protocolli esistenti (SCC) e gestendo la transizione verso i nuovi (OPC)
13
Uso: Aziendale
INTRANET
RouterWind
Firewall
Hub
Data ServerServer WWW
Hub
SDP1
SDP2
SDP3
Hub
PC
PC
PC
Rete di Processo
Rete Demilitarizzata
Rete degli Uffici
Architettura Sistema Diffusione Dati d’Impianto
14
Uso: Aziendale
Architettura del nuovo Sistema di Monitoraggio e Diagnostica
15
Uso: Aziendale
Pericoli in aumento
6 132 252 406 773 1334 2340 2412 2573 2134 37349859
21756
82094
137529
52658
0
20000
40000
60000
80000
100000
120000
140000
160000
1988 1989 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003
Year
Inci
dent
s re
port
ed
Source: CERT/CC
Cambia la natura delle minacce• Cyber attacks, virus• Furto d’identità: frodi ai consumatori (casi di phishing)• Crimine organizzato: carte di credito (miliardi di Euro)
• CERT(1) ha stimato che almeno l’80% degli incidenti non viene riportato per vari motivi, tra cui:– l’organizzazione non è in
grado di riconoscere che il proprio sistema è stato violato
– l’organizzazione è riluttante ad ammetterlo
• CERT(1) ha stimato che almeno l’80% degli incidenti non viene riportato per vari motivi, tra cui:– l’organizzazione non è in
grado di riconoscere che il proprio sistema è stato violato
– l’organizzazione è riluttante ad ammetterlo
16
Uso: Aziendale
Minacce interne:- accidentali- vendette di dipendentiSolo il 30% cause esterne
Dal 2001 shift verso le cause esterne.
Prima e dopo il 2000
17
Uso: Aziendale
Sorgenti di attacchi/incidenti
•La Business network (Intranet) è la prima fonte di incidenti
•Anche l’accesso diretto è importante
•Internet è la prima fonte di incidenti
•Numerose altre modalità
18
Uso: Aziendale
Diminuisce il know-how richiesto per gli attacchi
Source: PlantData Technologies
19
Uso: Aziendale
Criticità delle reti di processo e degli SCADA in ENEL
• Interconnessione tra le reti di processo delle Centrali e l’Intranet Aziendale, a sua volta connessa a Internet
• Continua evoluzione delle connessioni, sia hardware che software
• Dimensioni e complessità della rete ENEL• Uso di diverse tecnologie• Diffusione dei sistemi Microsoft Windows per l’automazione e
controllo• Inizialmente, assenza di antivirus sui sistemi SCADA• Prevedibile diffusione di connessioni wireless• Presenza di connessioni modem • Carenza di stringenti procedure di security negli impianti• …….
20
Uso: Aziendale
Cybersecurity SCADA in ENEL
Obiettivo: Proteggere i Sistemi di Automazione e Controllo degli impianti di produzione da
attacchi informatici.
Protezione delle infrastrutture critiche nella lotta contro il terrorismoDirettiva EPCIPCOM (2004) 702
Protezione delle infrastrutture critiche nella lotta contro il terrorismoDirettiva EPCIPCOM (2004) 702
CA- ESCORT (Coordinating Action coordinata da CEN)
Attività di ENEL–Ricerca, ICT e SECURITY• Individuazione di nuove tecnologie volte a
incrementare la sicurezza della infrastruttura dedicata all’automazione degli impianti di generazione
• Realizzazione del Laboratorio di Cybersecurity
Modello di gestione rischi operativi
21
Uso: Aziendale
Interesse per l’ENEL
• L’obiettivo dell’EPCIP non è quello di “proteggere” le Aziende da possibili danni economici dovuti ad attacchi esterni, bensì quello di proteggere la comunità dalle conseguenze catastrofiche di tali attacchi. Tuttavia è sicuro che vi saranno obblighi stringenti per le Aziende.
• In questo contesto risulta di importanza strategica la partecipazione attiva all’EPCIP fin dalle fasi preliminari al fine di:– conoscere in anticipo le direttive in modo da essere già conformi alle
stesse all’entrata in vigore della normativa– indirizzare la normativa europea per coprire tutte le aree di interesse per
ENEL
• Uno scatto di un impianto a carbone può comportare perdite economiche dell’ordine del M€!!
• Non c’è un simile “business case” per un attacco alla rete Business/Office
22
Uso: Aziendale
Visione SCADA/Process cybersecurity
• La cybersecurity e la certificazione degli SCADA è necessaria (ruolo fornitori) ma non sufficiente
• Lo SCADA è un pezzo del mosaico• La Rete di Processo è il nostro target. In un impianto a carbone ci
sono più di 50 sistemi SCADA (un solo Sistema di Controllo Principale che integra tutto).
• Integrazione, connessione con la Intranet (Business/Office), direct dial-up, altro
• E’ necessaria una visione globale del “sistema” che vogliamo proteggere.
• Il fine ultimo: non vogliamo uno SCADA “sicuro”; vogliamo un processo “sicuro”.
• Aggiornamento e costi operativi continui• Questo “processo” richiede una organizzazione dedicata all’interno
dell’Azienda: molte competenze, diversi punti di vista (tradeoff?) da gestire – con una visione unitaria e – con un forte commitment dal vertice aziendale
23
Uso: Aziendale
Pisa
Sesta
Brindisi
Catania
Livorno
S. Gilla
Marghera
La Ricerca in ENEL
24
Uso: Aziendale
Modellistica matematica
Sperimentazione
Applicazione
L’approccio della Ricerca
Analisi Sviluppo Dimostrazione
Laboratori PrototipiStazionisperimentali
25
Uso: Aziendale
Metodologia JRC (17799/CC)
DataSources
Assets Vulnerabilities
Threats
Loss AttacksCorporateSecurity
Policy(7799)
Security Target /
Protection Profile(CC)
Security Failures
Assessment
System Architecture
Security Objectives & Requirements
Procurement
Preliminary design &
requirements
Service contracts (QoS),
Insurance
[1] IEC TR 62210 “Power system control and associated communications – Data and communication security” IEC TC57 (WG15) Technical Report, First edition 2003-05.
[2] “Guide to ISO/BS 17799 - Risk assessment and risk management”, BSI, PD 3002:2002.[3] Common Criteria for Information Technology Security Evaluation. CC version 2.1,
August 1999 (aligned with ISO 15408:1999). Common Criteria project Sponsoring Organisations.
26
Uso: Aziendale
16000 m2
12 operatori
18 impianti sperimentali
spesa annua 1,3 M€
La Ricerca in ENEL: l’Area di Livorno
27
Uso: Aziendale
Il punto di partenza: infrastruttura tipica di centrale
SWITCH
HUB
HUB
SWITCH
HUB
FIREWALL
SWITCH
Rete di Processo
Rete Dati operativi
Rete DMZ
Rete Uffici
HUB
Rete Telecontrollo
RTU
Rete Dati e Telecontrollo
Rete Intranet ENEL
ROUTER WIND
SCPGRTN
FIREWALL
Diffusione dati aziendali via WEB
RAS/VPN accessi ext
Antivirus
Pagina 8/10
28
Uso: Aziendale
Switch rete controllori TG
sensori e attuatoridel Turbogas
ProtocollI RS-232/485, MODBUS
sensori e attuatoridel ciclo vapore
Protocollo profibus
Rete campoField Network (1)
Rete controlloriControl Network (2)
Rete di ProcessoProcess Network (3)
Srv SCP Clt SCP
SCTG
Gw XU
Srv ATTPIA Srv ASCGw opc-pi firewallGTDS SMAV
Srv PIRTU
Rete DatiData Network (6)
WINTS
Rete Siemensdi centrale
Rete DMZiDemilitarized Network (4)
router
Rete Uffici
Stazioneremota
Siemens
ABB Internet (8)
Intranet Enel (7)GRTN
StazioneRemota
Enel
fw
fw
Rete Dati Enelfw
routerRouter
isdn
Switch reteprocesso
unità X
Switch firewallSwitch reteprocesso
servizi comuni
Switch dmzSwitch rete ufficiSwitch rete datiSwitch rete Siemens
trasduttore attuatore trasduttore attuatore
PLC PLC PLC PLC
Rete Regolaz.Sec.Sec.Reg. Network (5)
ParentServerEnel
ServerRadius
Enel
29
Uso: Aziendale
Intranetcomandi
dati controlloallarmi - blocchi
supervisionemonitoraggiodiagnostica
SCTG
comandi dati controllo
allarmi - blocchi
supervisionemonitoraggiodiagnostica
SCP
switch 1
switch 2
controllore
controllore
bus di campo
Camera dicombustione
generatoredi vapore a recupero
diagnosticaTG
diagnosticavibrazioni
server areaservizi comuni
gatewayopc- pi
firewall
switch ASC
firewall
switch rete DMZswitch rete Dati
data serverPI
switch rete Uffici
routerWind
routerWind
Rete dati
stazionedi lavoro
aria
gas
fumi
fumiacqua
vapore
Turbogas
HRSG
rete processo
protocolloteleperm
comandi
allarmi – dati controllo
tipo di scambio datisupervisione
attuatori / trasduttori
turbina Gturbina
SteamTurbine
GCompr.
diagnostica di 2° livelloarchiviazionediffusione dati d’impianto
protocolloteleperm
protocolloOPC
protocollo OPC
protocollo OPC
protocolloPI
protocolloPI
30
Uso: Aziendale
Testbed M. Administrator 192.168.6.0/24
Switch L2158.47.12.201
Firewall
Horizontal Services 192.168.1.0/24
Switch L2192.168.6.1
Firewall
Switch L2192.168.5.1
Firewall
Switch L2192.168.7.1
Firewall
Vulner.Contr.Repository Tools 192.168.7.0/24
Switch L2192.168.1.1
Firewall
Switch L2192.168.8.1
Firewall
Power Context Simulator 192.168.8.0/24
Switch L2192.168.2.1
Firewall
Threat and Attack Simulator 192.168.2.0/24
Firewall
Switch L2Simulatore
Scada System
Switch L2192.168.101.1
DMZ192.168.101.0/24 Processo 158.47.12.0/24
Dati192.168.100.0/24
PI
SCADA, ASC, GW OPC/PI
Switch L2192.168.100.1
Switch L2192.168.3.1
Firewall
Wireless LAN 192.168.3.0/24
Centro Stella 192.168.0.0/24
192.168.8.10 192.168.0.10
192.168.1.10 192.168.0.11
192.168.2.10 192.168.0.12
192.168.5.10192.168.0.13
192.168.0.14 192.168.6.10
192.168.0.15 192.168.7.10
192.168.0.16192.168.3.10
192.168.0.17
192.168.101.10 192.168.100.10158.47.12.212
192.168.102.12
Observer Terminal 192.168.4.0/24 - 192.168.5.0/24Switch L2192.168.4.1
Switch L2Rete campo
Parent Server, RTU
158.47.12.212
LAN del Laboratorio
Switch L3192.168.0.1
31
Uso: Aziendale
Firewall
Area Scada System dorsale Laboratorio 192.168.0.0/24192.168.0.17
192.168.101.10
192.168.100.10
158.47.12.210
server DCS
staz.config. controllori
Switch L2192.168.101.1 DMZ
192.168.101.0/24
serverPI
192.168.101.35
Firewall
Switch L2Simulatore
158.47.12.212
simul. impianto
serverscada
192.168.102.10
192.168.102.36 192.168.102.37Strumentazione e attuatori di Idrolab
Switch L2192.168.100.1
Dati 192.168.100.0/24
parentserver
RTU
192.168.100.39 192.168.100.38
Client RTU
192.168.100.101
SwitchRete Idrolab (158.47.12.0/24)
controllore scada
Processo158.47.12.0/24
server DCSclient scada
ASCgw opc/pi
staz.config. controllori
158.47.12.162
158.47.12.165 158.47.12.163
158.47.12.160
172.16.10.22 172.16.10.21
Switch L2rete campo
172.16.10.2 172.16.10.1
Switch L2158.47.12.201
172.16.10.22 172.16.10.21
158.47.12.162 158.47.12.160
controllore scada
Switch L2Idrolab
32
Uso: Aziendale
patch panel96 rj45
2 3
6 5 4
Horizontalservice
Testbed MasterAdministrator
Threat andattack simulator
Vulnerabilty and countermeasures
repository and toolsScadasystem
Power contextsimulator
Observerterminal
1
7
8
patch panel 24 rj45
patch panel 24 rj45
armadioswitch
armadioswitch
patch panel 96 rj45
patch panel 24 rj45
patch panel 24 rj45
B/N
PC e Firewall
stampanti
tastiera
video
dispositivo switch
armadio basso80x50x73
armadio alto80x50x200
B/N
Col.
tavolo medio105x2100
tavolo lungo105x2800
scaffalesedia
B/N
AREA APPARATI
AREA LAVORO
AREA LABORATORIO
1
2
1 4 prese rete gestionale3
finestra
finestra
porta
corridoio
porta
parete a vetri conporta scorrevoledispositivo sicurezza
armadio switch80x60x200
33
Uso: Aziendale
Il Laboratorio
34
Uso: Aziendale
IDROLAB (Area Sperimentale Livorno)
35
Uso: Aziendale
Idrolab
36
Uso: AziendaleProgramma Sperimentale
Sistema Industrialeda testare
Sistema di gestione del laboratorio
Sistema di gestione del laboratorio
Librerie di vulnerabilità e minacce
Librerie di vulnerabilità e minacce
Sistemi di attaccoSistemi di attacco
Analizzatore dei risultati
Analizzatore dei risultati
Sistemi di osservazione
Sistemi di osservazione
Utilizzo del LaboratorioUtilizzo del Laboratorio
Test AttacchiTest Attacchi
Test Security PoliciesTest Security Policies
Test ManutenzioneTest Manutenzione
Test VulnerabilitàTest Vulnerabilità
Test ContromisureTest Contromisure
Comparazione architettureComparazione architetture
Verifica StandardsVerifica Standards
37
Uso: Aziendale
Primi Risultati
Esperimento realizzato con successo utilizzando 6 PCsEffetti potenziali: Impossibilita’ per menutentori remoti, ABB, Siemens,
di accedere al sistema.Critico nell’ ottica futura: es. Mercato dell’Energia
Denial of Service controInternet Gateway
Denial of Service controInternet Gateway
Intranet ENEL
Router Wind
Switch Rete Uffici
WorkStationWorkStation
WorkStation
WorkStation
Rete Uffici
Router Wind
Subnet B
Router Wind
Subnet C
Router Wind
RadiusServer
FW Switch
Power Plant FW
Process Network
Scada Sub-Net
ASC Sub-Net
Switch2
Switch1
SecondaryRegulationController
TurbogasController
Steam CycleController
RTU (secondary regulation)
Control Network
Secondary Regulation
Network
DMZ
Modem
Internet
SCTG SCP Server
SCPClient
ATTPIAWINIS
SwitchASC
TenoreASC
GatewayOPC-PI SMAVTG
GTDS
DB
Server PI
DBPI
SwitchDMZ
SME
SwitchASC
WINTS
Modbus
Analogico 4-20 mA
Field Network
ProfibusI/O
Tras.
Rete DATI
Router
Subnet B
Router Subnet C
Router
Router
DNS ParentServer
Router
Router
FW-VPN
Master/ Secondary
Router
FW VPNMaster
DOS da Intranetcontro rete di Processo
DOS da Intranetcontro rete di Processo
Caso 1: attacco a basso impatto
Caso 2: attacco critico. Impatto sui sistemi scada, sui controllori. Gli effetti potenziali possono essere molto rilevanti
1
2
Trojan HorseTrojan Horse
Caso 1: Infezione con accesso fisico
Caso 2: Infezione da remoto
PI SpoofingDNS Poisoning
PI SpoofingDNS Poisoning
Estremamente critico:Meccanismo applicabile a tutti i servizi di centraleConsente di catturare le credenziali di accesso ai sistemi interessatiSemplicemente risolvibile
Zero Day VirusMalware AttacksZero Day Virus
Malware Attacks
• Attacco difficilmente contrastabile• Danni potenziali altissimi• Realizzato con successo in laboratorio