La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Sicurezza informatica degli impianti di generazione elettrica: l'esperienza ENEL e il Laboratorio Cybersecurity SCADA Luca Guidi ENEL SpA Divisione Ingegneria.

Presentazioni simili


Presentazione sul tema: "Sicurezza informatica degli impianti di generazione elettrica: l'esperienza ENEL e il Laboratorio Cybersecurity SCADA Luca Guidi ENEL SpA Divisione Ingegneria."— Transcript della presentazione:

1 Sicurezza informatica degli impianti di generazione elettrica: l'esperienza ENEL e il Laboratorio Cybersecurity SCADA Luca Guidi ENEL SpA Divisione Ingegneria e Innovazione Area Tecnica Ricerca Roma, 9 Luglio 2009

2 Uso: Aziendale 2 Sistema Elettrico italiano GENERAZIONE (molti produttori) Qualche migliaio di impianti di generazione (1000 termo+2000 idro) Capacità installata: MWe. Disponibile alla punta: MWe TRASMISSIONE (Terna) km di linee ad altissima ( kV) e alta tensione ( kV). 18 linee di interconnessione con lestero DISTRIBUZIONE (Un solo distributore per Comune; dati ENEL ) Media Tensione Cabine Primarie (AT/MT) con capacità di MVA km di linee Bassa Tensione Cabine Secondarie (MT/BT) con capacità di MVA km di linee 30 milioni di contatori elettronici

3 Uso: Aziendale 3 DIAGRAMMA DI CARICO Dicembre 2007 Acqua fluente + rinnovabili Termoelettrico Import Idro x MW

4 Uso: Aziendale 4 Lequilibrio della rete Cè una importante differenza tra la rete elettrica e quelle gas/acqua: nella prima non cè ACCUMULO. La rete deve essere bilanciata: produzione e carichi devono essere globalmente uguali, istante per istante. Lequilibrio della rete è demandato ai grandi impianti dispacciabili (> 10 MWe) Il giorno prima viene definito il Piano Vincolato di produzione (GME); il giorno stesso vengono inviati gli Ordini di Bilanciamento per variazioni note in anticipo. La regolazione in tempo reale, richiesta da improvvisi e imprevedibili sbilanciamenti, è a carico in prima istanza del servizio di Riserva Primaria degli impianti (power/frequency control). Un eccesso di generazione o di carico causa variazioni rapide di frequenza; automaticamente gli squilibri sono bilanciati con un rapidissimo decremento o incremento di potenza generata. I servizi di Riserva Secondaria o Terziaria consentono un ritorno allequilibrio con dinamica più lenta

5 Uso: Aziendale 5 La Riserva Riserva primaria (tutte le unità, almeno ±1,5% in 30 s); automatismo in impianto Riserva secondaria (±6% in 200 s, ±15% per idro); richiesta automatica GME Riserva terziaria (pronta entro 15 minuti; fredda entro 60 minuti); richiesta GME Fabbisogno riserva secondaria (MW) se C= MW => R secondaria = 500 MW se C= MW => R secondaria = 417 MW

6 Uso: Aziendale 6 Variazione di frequenza di rete per scatto Fonte: TERNA S.p.A.

7 Uso: Aziendale 7 Transitorio di regolazione frequenza/potenza Fonte: TERNA S.p.A.

8 Uso: Aziendale 8 Alcuni eventi che hanno suscitato allarme Blackout Italia di Domenica 28 Settembre 2003 –Mancano oltre MW, oltre agli impianti di generazione italiani che sono scattati. Il carico richiesto era di circa MW –Carichi interrompibili MW da pompaggio MW utenza interrompibile MW alleggeritori di carico per utenza diffusa Può un albero che cade in Svizzera mettere al buio lItalia intera? Blackout USA NordEst-Canada del 14 Agosto 2003 –Errore di misura sulla rete, scatto impianto, contatto albero con linee –45+10 milioni di utenti interessati (anche in questo caso un albero … ) Blackout Europa centrale e Italia Nord, 4 Novembre 2006 –Due linee ad alta tensione, da Volt, in Germania, il cui cedimento ha provocato, con un effetto domino, uno squilibrio generale di produzione di elettricità in Europa –Il blackout ha riguardato 10 milioni di cittadini in numerosi paesi, tra i quali Francia, Germania, Italia, Olanda, Portogallo, Spagna, Belgio e Austria

9 Uso: Aziendale 9 Il nuovo contesto per lAutomazione Evoluzione del Sistema di Automazione in Centrale, basato su elaboratori tradizionali (PC): modulare, distribuito, integrato. Sala Manovra informatizzata Anche sul fronte del campo uso di dispositivi intelligenti e segnali digitali (Bus di Campo) Eliminazione del dualismo SRC (Regolazione e Controllo) - SdS (Supervisione). Ora SCP (Sistema di Controllo Principale) che integra le parti regolazione, controllo e supervisione. Possibilità di implementare funzioni evolute (di automazione e diagnostica) a livello utente A sua volta, la rete di processo si integra nella Intranet aziendale e con i sistemi gestionali Centrali sempre più informatizzate e sempre più integrate nella Corporate Network

10 Uso: Aziendale 10 Una vecchia Sala Manovra

11 Uso: Aziendale 11 Il nuovo Sistema Sala Manovra

12 Uso: Aziendale 12 Fine anni 90: la diffusione dati dimpianto Integrare le reti di processo delle Centrali Termoelettriche nella Intranet Aziendale Rendere visibili, dagli uffici e da remoto, i dati di esercizio in tempo reale, organizzati e personalizzati per diverse categorie di utenti Sviluppare applicazioni speciali per monitoraggio e diagnostica. Proteggere i Sistemi Digitali di Processo (Regolazione, Supervisione, Monitoraggio e Diagnostica) da intrusioni non desiderate Proteggere i dati sensibili di ENEL Produzione Garantire il corretto funzionamento dei SDP, supportando i protocolli esistenti (SCC) e gestendo la transizione verso i nuovi (OPC)

13 Uso: Aziendale 13 INTRANET Router Wind Firewall Hub Data Server Server WWW Hub SDP1 SDP2 SDP3 Hub PC Rete di Processo Rete Demilitarizzata Rete degli Uffici Architettura Sistema Diffusione Dati dImpianto

14 Uso: Aziendale 14 Architettura del nuovo Sistema di Monitoraggio e Diagnostica

15 Uso: Aziendale 15 Pericoli in aumento Source: CERT/CC Cambia la natura delle minacce Cyber attacks, virus Furto didentità: frodi ai consumatori (casi di phishing)phishing Crimine organizzato: carte di credito (miliardi di Euro) CERT (1) ha stimato che almeno l80% degli incidenti non viene riportato per vari motivi, tra cui: –lorganizzazione non è in grado di riconoscere che il proprio sistema è stato violato –lorganizzazione è riluttante ad ammetterlo CERT (1) ha stimato che almeno l80% degli incidenti non viene riportato per vari motivi, tra cui: –lorganizzazione non è in grado di riconoscere che il proprio sistema è stato violato –lorganizzazione è riluttante ad ammetterlo

16 Uso: Aziendale 16 Minacce interne: - accidentali - vendette di dipendenti Solo il 30% cause esterne Dal 2001 shift verso le cause esterne. Prima e dopo il 2000

17 Uso: Aziendale 17 Sorgenti di attacchi/incidenti La Business network (Intranet) è la prima fonte di incidenti Anche laccesso diretto è importante Internet è la prima fonte di incidenti Numerose altre modalità

18 Uso: Aziendale 18 Diminuisce il know-how richiesto per gli attacchi Source: PlantData Technologies

19 Uso: Aziendale 19 Criticità delle reti di processo e degli SCADA in ENEL Interconnessione tra le reti di processo delle Centrali e lIntranet Aziendale, a sua volta connessa a Internet Continua evoluzione delle connessioni, sia hardware che software Dimensioni e complessità della rete ENEL Uso di diverse tecnologie Diffusione dei sistemi Microsoft Windows per lautomazione e controllo Inizialmente, assenza di antivirus sui sistemi SCADA Prevedibile diffusione di connessioni wireless Presenza di connessioni modem Carenza di stringenti procedure di security negli impianti …….

20 Uso: Aziendale 20 Cybersecurity SCADA in ENEL Obiettivo: Proteggere i Sistemi di Automazione e Controllo degli impianti di produzione da attacchi informatici. Protezione delle infrastrutture critiche nella lotta contro il terrorismo Direttiva EPCIP COM (2004) 702 CA- ESCORT (Coordinating Action coordinata da CEN) Attività di ENEL–Ricerca, ICT e SECURITY Individuazione di nuove tecnologie volte a incrementare la sicurezza della infrastruttura dedicata allautomazione degli impianti di generazione Realizzazione del Laboratorio di Cybersecurity Modello di gestione rischi operativi

21 Uso: Aziendale 21 Interesse per lENEL Lobiettivo dellEPCIP non è quello di proteggere le Aziende da possibili danni economici dovuti ad attacchi esterni, bensì quello di proteggere la comunità dalle conseguenze catastrofiche di tali attacchi. Tuttavia è sicuro che vi saranno obblighi stringenti per le Aziende. In questo contesto risulta di importanza strategica la partecipazione attiva allEPCIP fin dalle fasi preliminari al fine di: –conoscere in anticipo le direttive in modo da essere già conformi alle stesse allentrata in vigore della normativa –indirizzare la normativa europea per coprire tutte le aree di interesse per ENEL Uno scatto di un impianto a carbone può comportare perdite economiche dellordine del M!! Non cè un simile business case per un attacco alla rete Business/Office

22 Uso: Aziendale 22 Visione SCADA/Process cybersecurity La cybersecurity e la certificazione degli SCADA è necessaria (ruolo fornitori) ma non sufficiente Lo SCADA è un pezzo del mosaico La Rete di Processo è il nostro target. In un impianto a carbone ci sono più di 50 sistemi SCADA (un solo Sistema di Controllo Principale che integra tutto). Integrazione, connessione con la Intranet (Business/Office), direct dial-up, altro E necessaria una visione globale del sistema che vogliamo proteggere. Il fine ultimo: non vogliamo uno SCADA sicuro; vogliamo un processo sicuro. Aggiornamento e costi operativi continui Questo processo richiede una organizzazione dedicata allinterno dellAzienda: molte competenze, diversi punti di vista (tradeoff?) da gestire –con una visione unitaria e –con un forte commitment dal vertice aziendale

23 Uso: Aziendale 23 Pisa Sesta Brindisi Catania Livorno S. Gilla Marghera La Ricerca in ENEL

24 Uso: Aziendale 24 Modellistica matematica Sperimentazione Applicazione Lapproccio della Ricerca AnalisiSviluppoDimostrazione Laboratori Prototipi Stazioni sperimentali

25 Uso: Aziendale 25 Metodologia JRC (17799/CC) Data Sources Assets Vulnerabilities Threats Loss Attacks Corporate Security Policy (7799) Security Target / Protection Profile (CC) Security Failures Assessment System Architecture Security Objectives & Requirements Procurement Preliminary design & requirements Service contracts (QoS), Insurance [1]IEC TR Power system control and associated communications – Data and communication security IEC TC57 (WG15) Technical Report, First edition [2]Guide to ISO/BS Risk assessment and risk management, BSI, PD 3002:2002. [3]Common Criteria for Information Technology Security Evaluation. CC version 2.1, August 1999 (aligned with ISO 15408:1999). Common Criteria project Sponsoring Organisations.

26 Uso: Aziendale m 2 12 operatori 18 impianti sperimentali spesa annua 1,3 M La Ricerca in ENEL: lArea di Livorno

27 Uso: Aziendale 27 Il punto di partenza: infrastruttura tipica di centrale SWITCH HUB SWITCH HUB FIREWALL SWITCH Rete di Processo Rete Dati operativi Rete DMZ Rete Uffici HUB Rete Telecontrollo RTURTU Rete Dati e Telecontrollo Rete Intranet ENEL ROUTER WIND SCP GRTN FIREWALL Diffusione dati aziendali via WEB RAS/VPN accessi ext Antivirus Pagina 8/10

28 Uso: Aziendale 28 Switch rete controllori TG sensori e attuatori del Turbogas ProtocollI RS-232/485, MODBUS sensori e attuatori del ciclo vapore Protocollo profibus Rete campo Field Network (1) Rete controllori Control Network (2) Rete di Processo Process Network (3) Srv SCP Clt SCP SCTG Gw XU Srv ATTPIA Srv ASC Gw opc-pi firewall GTDS SMAV Srv PIRTU Rete Dati Data Network (6) WINTS Rete Siemens di centrale Rete DMZi Demilitarized Network (4) router Rete Uffici Stazione remota Siemens ABBInternet (8) Intranet Enel (7) GRTN Stazione Remota Enel fw Rete Dati Enel fw router Router isdn Switch rete processo unità X Switch firewallSwitch rete processo servizi comuni Switch dmzSwitch rete ufficiSwitch rete datiSwitch rete Siemens trasduttoreattuatore trasduttoreattuatore PLC Rete Regolaz.Sec. Sec.Reg. Network (5) Parent Server Enel Server Radius Enel

29 Uso: Aziendale 29

30 Uso: Aziendale 30 Testbed M. Administrator /24 Switch L Firewall Horizontal Services /24 Switch L Firewall Switch L Firewall Switch L Firewall Vulner.Contr.Repository Tools /24 Switch L Firewall Switch L Firewall Power Context Simulator /24 Switch L Firewall Threat and Attack Simulator /24 Firewall Switch L2 Simulatore Scada System Switch L DMZ /24 Processo /24 Dati /24 PI SCADA, ASC, GW OPC/PI Switch L Switch L Firewall Wireless LAN /24 Centro Stella / Observer Terminal / /24 Switch L Switch L2 Rete campo Parent Server, RTU LAN del Laboratorio Switch L

31 Uso: Aziendale 31 Firewall Area Scada System dorsale Laboratorio / server DCS staz. config. controllori Switch L DMZ /24 server PI Firewall Switch L2 Simulatore simul. impianto server scada Strumentazione e attuatori di Idrolab Switch L Dati /24 parent server RTU Client RTU Switch Rete Idrolab ( /24) controllore scada Processo /24 server DCS client scada ASC gw opc/pi staz. config. controllori Switch L2 rete campo Switch L controllore scada Switch L2 Idrolab

32 Uso: Aziendale 32 patch panel 96 rj Horizontal service Testbed Master Administrator Threat and attack simulator Vulnerabilty and countermeasures repository and tools Scada system Power context simulator Observer terminal patch panel 24 rj45 armadio switch armadio switch patch panel 96 rj45 patch panel 24 rj45 B/N PC e Firewall stampanti tastiera video dispositivo switch armadio basso 80x50x73 armadio alto 80x50x200 B/N Col. tavolo medio 105x2100 tavolo lungo 105x2800 scaffale sedia B/N AREA APPARATI AREA LAVORO AREA LABORATORIO prese rete gestionale 3 finestra porta corridoio porta parete a vetri con porta scorrevole dispositivo sicurezza armadio switch 80x60x200

33 Uso: Aziendale 33 Il Laboratorio

34 Uso: Aziendale 34 IDROLAB (Area Sperimentale Livorno)

35 Uso: Aziendale 35 Idrolab

36 Uso: Aziendale 36 Programma Sperimentale Sistema Industriale da testare Sistema di gestione del laboratorio Librerie di vulnerabilità e minacce Sistemi di attacco Analizzatore dei risultati Sistemi di osservazione Utilizzo del Laboratorio Test Attacchi Test Security Policies Test Manutenzione Test Vulnerabilità Test Contromisure Comparazione architetture Verifica Standards

37 Uso: Aziendale 37 Primi Risultati Esperimento realizzato con successo utilizzando 6 PCs Effetti potenziali: Impossibilita per menutentori remoti, ABB, Siemens, di accedere al sistema. Critico nell ottica futura: es. Mercato dellEnergia Denial of Service contro Internet Gateway Denial of Service contro Internet Gateway DOS da Intranet contro rete di Processo DOS da Intranet contro rete di Processo Caso 1: attacco a basso impatto Caso 2: attacco critico. Impatto sui sistemi scada, sui controllori. Gli effetti potenziali possono essere molto rilevanti 1 2 Trojan Horse Caso 1: Infezione con accesso fisico Caso 2: Infezione da remoto PI Spoofing DNS Poisoning PI Spoofing DNS Poisoning Estremamente critico: Meccanismo applicabile a tutti i servizi di centrale Consente di catturare le credenziali di accesso ai sistemi interessati Semplicemente risolvibile Zero Day Virus Malware Attacks Zero Day Virus Malware Attacks Attacco difficilmente contrastabile Danni potenziali altissimi Realizzato con successo in laboratorio


Scaricare ppt "Sicurezza informatica degli impianti di generazione elettrica: l'esperienza ENEL e il Laboratorio Cybersecurity SCADA Luca Guidi ENEL SpA Divisione Ingegneria."

Presentazioni simili


Annunci Google