Det geopolitiska sammanhanget påminner oss om att säkringen av styrsystem för energiinfrastrukturen har blivit en strategisk fråga. Två principer måste vägleda en robust cybersäkerhetsstrategi: ”Zero Trust” och ”Defense in Depth”.
I våras skakade några tillkännagivanden om cybersäkerhetsvärlden. Den 17 april uppmanade den amerikanska regeringen, genom U.S. Agency for Cybersecurity and Infrastructure Security (den amerikanska byrån för cybersäkerhet (CISA)), alla operatörer av kritisk infrastruktur att omedelbart stärka säkerheten för sina ICS/SCADA-anordningar och -nät (Industrial Control Systems/Supervisory Control And Data Acquisition), (Industriella styrsystem/Övervakande kontroll och datainsamling) efter en attack med skadlig programvara mot industriella system.
Några dagar tidigare hade ukrainska myndigheter meddelat att de avvärjt en större attack mot landets elnät. I Ukraina misstänktes omedelbart den ryska militära underrättelsetjänsten. ”Alla energileverantörer (…) borde intressera sig för denna attack och undra om hackare skulle kunna rikta in sig på infrastrukturen i USA eller i andra länder”, förklarade Andrii Bezverkhyi, grundare av SOC Prime, ett företag som specialiserat sig på att upptäcka hot.
”Säkring av energiinfrastruktur är ett tillvägagångssätt som måste anpassas till varje kunds strategi, arkitektur och nätomgivning.”
Utöver kriget i Ukraina ”är det viktigt att understryka att inte bara Ukraina och USA finns på listan över mål, utan också andra nuvarande och/eller blivande Nato-medlemmar samt andra länder som stöder denna internationella organisation”, anser Naiara Pabo Busto, International Business Development Manager på Axians, VINCI Energies ICT-enhet.
Energi i framkant
Hon konstaterar att ”energiinfrastrukturen blir alltmer utsatt” och drar slutsatsen att ”energisäkerheten därmed äventyras, liksom kontinuiteten av försörjningen och andra därmed sammanhängande riskfaktorer”. Detta växande hot är en påminnelse om hur energiinfrastrukturens säkerhet, oavsett land, är en viktig fråga.
I energiöverförings- och distributionsnäten används i själva verket driftteknik (OT, Operational Technology) och kritisk kommunikation (SCADA, fjärrskydd osv.) som hanterar materiel och programvara, som är avsedda för att styra industriell utrustning.
”Digitaliseringen av nätet ger oöverträffade affärs- och driftsfördelar, i synnerhet automatisering av nätet och integration av nya tillämpningar, som tillför ett mervärde. IEC 61850-standarden* tillför interoperabilitet och betydande fördelar med digitaliseringen. Digitaliseringen och standardiseringen blottlägger likväl systemen för skadliga attacker, för alla apparater, all utrustning, programvara och alla processer kommer i framtiden att vara anslutna till nätet. De är därför mer sårbara för cyberattacker”, förklarar Naiara Pabo Busto.
Skräddarsydd säkerhet
För att säkra energiinfrastruktur, utöver dess motståndskraft, är det lämpligt att ha grundlig kunskap om och förståelse för de olika processer, anläggningar och kommunikationer som ingår i den, från produktionen till mätaren.
”Säkring av energiinfrastruktur är ett tillvägagångssätt som måste anpassas till varje kunds strategi, arkitektur och nätomgivning”, understryker Naiara Pabo Busto. I detta syfte rekommenderar hon användningen av en steg-för-steg-metodik i linje med gällande standarder, som IEC 62443**, och cybersäkerhetsramar som den från US National Institute of Standards and Technology (NIST).
”Det första steget”, förklarar denna Axians-expert, ”består i att granska hela omgivningen runt energiinfrastrukturen för att få nätet att synas helt och hållet. Detta är ett stort problem, för många apparater som är installerade i transformatorstationer är föråldrade och det finns inget sätt att förstärka deras säkerhet (chiffrering, autentisering osv.).”
Två strategiska pelare
En robust cybersäkerhetsstrategi för att stärka energiinfrastrukturens robusthet och säkerhet bygger på två huvudprinciper: ”Zero Trust” och ”Defense in Depth”.
”Ett ”Zero Trust”–sinnestillstånd innebär att endast kända och legitima IoT- och OT-datorenheter, liksom deras användares kommunikation, uttryckligen är tillåtna, förklarar Naiara Pabo Busto. ”Defense in Depth” är ett begrepp som har sitt ursprung i armén. Det har exporterats framgångsrikt till cybersäkerheten, som går igenom många skyddsmekanismer och -lager för att säkra kritiska data, anläggningar och kommunikation. ”Defense in Depth” tillhandahåller mekanismer för redundans och motståndskraft som kan motverka ett brett spektrum av cyberattacker.”
För Laurent Chilaud, som är ansvarig för utveckling och teknik på SDEL Contrôle Commande (VINCI Energies – Omexom), ”kan detta djupgående skydd, som är avsett för att integrera successiva lager för att komplicera åtkomst för möjliga attacker, ta till en mängd olika lösningar: brandväggssystem, IDS/IPS (sonder för upptäckt av intrång/skyddssonder), rollbaserad åtkomstkontroll, VLAN, kryptering.” Experten påminner dock om att”det är viktigt att genomföra en risk-/kostnadsanalys i förväg för att på bästa möjliga sätt anpassa skyddssystemet för maximal effektivitet.”
* Internationell standard som definierar kommunikationsprotokollen för intelligenta elektroniska apparater i elektriska transformatorstationer.
** Uppsättning av standardrekommendationer för cybersäkerheten i industrianläggningar.
14/12/2022