Edição 91 – agosto de 2013
Por Carlos Oliveira e Ricardo Abboud
Principais cenários de falhas de segurança em novos projetos de subestações de energia elétrica, bem como casos de projetos de modernização apresentando soluções viáveis para minimizar os problemas relacionados à segurança cibernética
Ao escutarmos a expressão “ameaça cibernética” é comum a relacionarmos à figura de um hacker, ou seja, um adolescente que domina sistemas computacionais com o intuito de invadir sites e redes de grandes corporações por diversão. Porém, esta não é mais uma realidade no mundo atual. As invasões atuais são arquitetadas por grupos organizados, geralmente patrocinados por governos ou empresas para causar danos materiais, roubo de informações sigilosas ou, até mesmo, ações terroristas.
Até o final da década de 90, os sistemas de automação de energia elétrica não tinham preocupação com esta ameaça. O cenário da automação de subestações nesta época era, em sua grande maioria, baseada em comunicações totalmente isoladas e, normalmente, utilizava canais seriais. Atualmente vivemos uma realidade diferente. Com o avanço da aplicação da norma IEC 61850, os sistemas de automação de subestações de energia elétrica estão cada vez mais interligados. A falta de formação técnica especializada aliada à farta informação disponível sobre os sistemas elétricos na Internet faz com que os profissionais desta área comecem a se preocupar cada vez mais com possíveis ameaças cibernéticas.
Em 2007, uma pesquisa realizada com diversas empresas em todo o mundo apontou que, no Brasil, aproximadamente, 80% destas já haviam sido vitimas de pelo menos um ataque ao ano. Em 2011, a empresa McAfee publicou um relatório intitulado de “Global Energy Cyber Attacks: Night Dragon” que alertava para diversas tentativas de ataques a empresas de energia elétrica, gás e óleo utilizando ferramentas de administração remota. Recentemente, a McAfee conduziu um estudo por solicitação do Departamento de Energia (DOE) dos Estados Unidos que apontou uma tendência de crescimento destas ameaças. Isso seria justificado pelo aumento da exposição, da interconexão e da complexidade das redes de comunicação juntamente com o uso de tecnologias computacionais existentes e a necessidade emergente de cada vez mais automação dos processos.
Diante deste cenário, nos Estados Unidos, já existe uma regulamentação governamental com regras específicas de segurança cibernética para infraestruturas críticas no setor elétrico. O principal padrão adotado é a NERC-CIP (North American Reliability Corporation – Critical Infrastructure Protection). Todas as instalações no setor elétrico devem possuir projeto e equipamentos totalmente de acordo com este padrão. Ainda nos Estados Unidos, também existe uma série de recomendações do NIST (National Institute of Standards and Technology) sobre políticas e procedimentos para segurança de aplicações computacionais utilizadas em meio industrial. Em outras partes do mundo, como na Europa, já existem tendências de adoção de regulamentações governamentais similares. Este fato só vem a comprovar a importância da segurança cibernética no setor de energia elétrica mundial.
Análise de um projeto: ameaças e recomendações
O conceito de segurança dentro de um projeto de subestação normalmente nos remete ao conceito de cercas, cadeados, CFTV, sistemas de alarme e vigias. De certo modo esta associação não está errada. Em segurança cibernética existe o termo “defesa em profundidade”. Esta designação tem origem em uma técnica militar utilizada desde a antiguidade. A base principal é o emprego de várias camadas de defesa. Um castelo medieval é um bom exemplo, onde, para uma invasão, era necessário primeiro atravessar um fosso e, em caso de sucesso, ainda existiam muralhas altas a se transpor e, no topo dessas muralhas, soldados armados. Se todas estas barreiras fossem vencidas ainda existiam vários muros e portões até que a invasão alcançasse finalmente a sala do trono real. Abstraindo este conceito para o ambiente da tecnologia de informação, defesa em profundidade é o emprego de várias técnicas de proteção dispostas em múltiplas camadas. No caso de um projeto de subestação de energia elétrica, a camada mais interna de proteção seria justamente a segurança patrimonial ou física. Veja a Figura 1
Enquanto a segurança física é o único método de defesa, no caso de uma invasão direcionada para os equipamentos do pátio da subestação, em linhas gerais podemos abordar as seguintes ações para as demais camadas:
a. Camada IED (Intelligent Electronic Device): Utilização de senhas, níveis hierárquicos de acesso, desabilitação de funções não utilizadas, etc.;
b. Camada Subestação: Controle de acesso interno e externo à rede Ethernet da subestação por firewalls, roteadores, desabilitação de portas não utilizadas nos switches, etc.;
c. Camada Empresa: Políticas de segurança corporativas baseadas em firewalls, antivírus, controle de acesso centralizado, etc.
A Figura 2 descreve um sistema de comunicação desde o controle e supervisão local de uma subestação até o centro de controle remoto e engenharia de uma empresa. Esta é uma arquitetura fictícia, porém, representa a realidade em vários projetos modernos de subestações utilizando a norma IEC 61850. Temos todos os IEDs conectados à rede Ethernet por meio de switches gerenciáveis. Toda operação local pode ser realizada por uma IHM (Interface Homem Máquina), local que, geralmente, é uma plataforma computacional dotada de sistemas operacionais de uso geral. Esta IHM, por meio do protocolo IEC
61850 MMS, supervisiona e controla os IEDs responsáveis pela proteção e automação de toda a subestação. Paralelamente a IHM, existe a figura do gateway de comunicação ou concentrador de dados que também supervisiona e controla os IEDs, porém, disponibilizando um canal de comunicação para um centro de controle remoto por meio de protocolos como DNP3, IEC 610870-5-104 ou OPC. Devido à flexibilidade para implantação de soluções e utilização compartilhada de aplicações, em alguns casos este equipamento também funciona como uma plataforma computacional utilizando sistemas operacionais de mercado. Para disponibilização das informações concentradas no gateway de comunicação bem como acesso aos IEDs, temos o roteador de borda que em conjunto com o firewall provê canais seguros de comunicação para a rede WAN (Wide Area Network), onde as demais subestações e o centro de controle encontram-se conectados. No centro de controle tem-se o servidor SCADA (Supervisory Control and Data Aquisition), que fornece os dados e rotas de comandos providos por todas as subestações às estações de operação. Na rede deste centro também se encontram alocadas as estações de engenharia responsáveis por coleta de dados específicos como, por exemplo, oscilografias e relatórios fornecidos pelos IEDs das subestações. É comum existir uma conexão com Internet protegida por firewall. E pela Internet é possível disponibilizar um acesso remoto de manutenção para colaboradores que não estão geograficamente alocados dentro do centro de controle.
Enlaces de comunicação externa
Os enlaces de comunicação externa são todos os canais disponíveis para entrada e saída de informações de uma subestação. Eles podem ser infraestruturas de comunicação pertencentes à própria empresa ou àquelas provedoras de serviços de telecomunicações. Estes enlaces possuem uma exposição física e lógica sendo a porta de entrada de diversos ataques. Alguns principais serão mostrados a seguir.
Invasões e ataques
A proteção física e lógica dos enlaces de comunicação externa é a primeira barreira de segurança de qualquer sistema moderno de automação de sistemas elétricos. Em alguns casos estes enlaces possuem conexão com a Internet, tornando sua exposição ainda mais sensível a ataques como DoS (Denial Of Service). O DoS consiste no envio massivo de requisições falsas a um determinado serviço de rede do sistema, consumindo seus recursos e degradando ou paralisando seu funcionamento. Este tipo de ataque se tornou muito comum com o avanço da Internet, porém a invasão da rede ainda é uma das mais perigosas ameaças cibernéticas em que um sistema de automação de energia elétrica pode enfrentar. A invasão é o primeiro passo para diversas outras ações danosas.
A proteção mais utilizada contra invasões de uma rede é o controle de acesso aos recursos e serviços da rede. Para prover este controle de acesso é utilizado o firewall. Uma das origens do nome recorre ao meio automobilístico onde é usado como designação do isolamento e utilizado para separar um possível incêndio no motor do compartimento dos passageiros. A segurança do usuário do automóvel deve ser priorizada, porém, alguns acessos nesta barreira de proteção devem ser abertos para integração do controle do carro, tais como volante, acelerador, freio, etc. Assim é o firewall em uma rede Ethernet, ele deve bloquear todos os pacotes nocivos ao sistema e liberar somente os pacotes confiáveis à aplicação. Este controle é realizado por meio de regras programadas no firewall, baseadas no fluxo de entrada e saída da comunicação. A principal regra a configurar em um firewall empregado em uma subestação de energia elétrica é, por padrão, negar todos os pacotes. Em seguida serão adicionadas regras para cada serviço necessário de acordo com o projeto de automação.
Interceptações
Uma vez invadida uma rede de comunicação, é possível interceptar os pacotes de dados que trafegam nesta. O ataque denominado “Man-in-the-middle”, como o próprio nome sugere, consiste no invasor alocado justamente dentro do fluxo de informações entre dois pontos. Por exemplo, em um sistema de automação de energia elétrica poderia ser entre um IED da subestação e uma estação de engenharia remota. A Figura 3 mostra uma interceptação de pacotes e como informações importantes com a senha de acesso do IED são expostas neste caso.
Além da quebra da confidencialidade de informações, uma interceptação mais sofisticada pode até mesmo alterar os dados enviados. Em 2007, o Laboratório Nacional de Idaho do Departamento de Energia dos Estados Unidos conduziu uma demonstração de ataque cibernético contra uma usina geradora. Neste experimento, o gerador foi fisicamente danificado pela interceptação e modificação dos valores de tensão, corrente, frequência e potências que eram fornecidos ao sistema de controle de geração da usina.
A descentralização da tarefas nas empresas e a necessidade de uma rápida resolução de problemas traz a necessidade do acesso de colaboradores aos recursos da rede mesmo quando estes estão fora das alocações fisícas da empresa. O risco de interceptação neste tipo de acesso remoto é muito grande, já que é comum o uso da Internet para este fim devido à fácil implantação de uma solução baseada na comunicação.
A principal medida preventiva contra a interceptação de informações em uma linha de comunicação é a criptografia de dados. Criptografia é uma palavra de origem grega para “escrita escondida”. Sua ideia principal é codificar uma mensagem utilizando regras ou símbolos que somente serão conhecidos pelo transmissor e pelo receptor como ilustrado na Figura 4.
Na área da tecnologia da informação, estas regras ou símbolos são chamadas de “chave”. Basicamente temos dois modos de criptografias:
a) Simétrica: A chave de encriptação é a mesma utilizada para desencriptação. Possuem processamento mais rápido, de implementação mais simples e de menor custo;
b) Assimétrica: A chave de encriptação é diferente da utilizada para desencriptação. Para tal, empregam o conceito de chave pública e chave privada. Estas chaves normalmente são controladas por servidores chamados de Autoridades Certificadoras. Criptografias assimétricas são mais seguras, porém exigem mais tempo de processamento, possuem implementação mais complexa e com maior custo.
Em um projeto moderno de automação de subestação é aconselhável o uso de VPN (Virtual Private Network) em todos acessos remotos à rede. VPN é utilizada para prover uma extensão de uma rede local para outros pontos de acesso de maneira segura mesmo utilizando meios como a Internet para realizar tal conexão. Existem dois tipos de VPN: Security e Trusted. A VPN do tipo Security se utiliza de técnicas de criptografia para criar um canal de comunicação blindado. Esta técnica é chamada de “tunelamento” e normalmente emprega protocolos seguros de rede como o IPsec (Internet Protocol Security). Este protocolo é derivado do IP (Internet Protocol), largamente utilizado nas redes Ethernet, porém pode embaralhar as informações contidas em seu pacote. A VPN do tipo Confiável não possui a funcionalidade de criptografia incorporada, mas estabelece que a rota de comunicação seja conhecida e controlada.
Plataformas computacionais
Computadores sempre foram utilizados dentro dos centros de controle de subestações em ambientes climatizados, livres de interferências eletromagnéticas ou surtos elétricos. Com a popularização destes equipamentos, seu custo tornou-se cada vez mais baixo propiciando o desenvolvimento de computadores mais robustos que poderiam ser aplicados nos mesmos ambientes agressivos, nos quais os IEDs eram expostos nas subestações.
Atualmente, os projetos de automação de subestações consideram o uso de computadores nos diversos níveis de aplicação. A flexibilidade de desenvolvimento e compartilhamento de funções em plataformas computacionais são indubitavelmente as grandes vantagens da utilização, porém estas facilidades baseiam-se em sistemas operacionais de mercado, por isso as ameaças que convivemos operando computadores pessoais no ambiente corporativo ou doméstico são passíveis nestas plataformas computacionais, descritas a seguir, mas não limitadas a estas.
Vírus
O vírus de computador age de maneira semelhante ao vírus biológico, porém, o primeiro é um software malicioso que infecta sistemas computacionais causando alguns danos. Uma vez introduzido, o vírus cria cópias e se espalha por diversos meios.
A principal proteção para esse tipo de ameaça é o emprego de softwares antivírus. Estes programas são responsáveis por examinar todas as informações em um computador e promover uma supervisão em tempo real para tentativas de infecções. Em um mundo globalizado e principalmente interconectado, a cada instante um tipo diferente de vírus é disseminado. Logo um software antivírus necessita de atualizações constantes. Em um sistema de automação de subestação, as principais preocupações em se utilizar softwares antivírus residem basicamente em:
a) Impacto no desempenho da plataforma computacional diante de funções críticas de controle da subestação. Imagine se uma rotina de autoexame à procura de vírus é inicializada no momento de uma manobra de um circuito impedindo que o operador a concretize;
b) Não existem informações largamente disseminadas sobre a utilização de softwares antivírus em sistemas dedicados de automação. As empresas desenvolvedoras de software antivírus possuem seu foco em usuários domésticos e corporativos;
c) Dificuldade de atualização constante do software em computadores alocados dispersamente nas subestações.
A publicação especial do NIST de número 1508 apresenta algumas orientações sobre o uso deste tipo de softwares no ambiente de automação de processos. Algumas conclusões interessantes neste estudo, que podem ser abstraídas para a automação de subestações, são:
a) O exame para verificação de vírus sob demanda, ou seja, disparado pelo usuário, tem o maior impacto sobre o desempenho das tarefas de automação muitas vezes ocupando 100% dos recursos disponíveis de processamento;
b) Por outro lado, o exame para verificação de vírus, em tempo real, tem pouco ou nenhum impacto;
c) É possível utilizar softwares antivírus de mercado em plataformas computacionais de automação desde que as parametrizações sejam feitas com um foco diferente do comumente utilizado na área de TI.
Dispositivos móveis de memória USB
Dispositivos de memória USB são largamente utilizados em todos os níveis de um sistema de automação de subestações. Genericamente chamados de pen drive ou flash drive, estes dispositivos são empregados para troca de arquivos entre plataformas computacionais, atualização de softwares, etc. Porém são grandes responsáveis pela propagação dos vírus. Outra ameaça relacionada é o vazamento de informações confidenciais por parte de colaboradores mal-intencionados ou no caso de perda ou roubo destas memórias.
É muito importante no projeto de um sistema de automação de subestações de energia elétrica a adoção de res
trições ao uso destes dispositivos. Algumas ações preventivas são o bloqueio de uso das interfaces USB nas plataformas computacionais responsáveis pelas tarefas em tempo real do sistema e adoção de políticas de uso de pen drives. Quando o uso destes dispositivos é indispensável, empregar pen drives dotados de criptografia, antivírus embarcados e sistemas de proteção por senha dos dados gravados.
Vulnerabilidades instantâneas
Os softwares antivírus baseiam suas defesas em sintomas e trechos de programação dos vírus conhecidos até o momento e registrados em uma base de dados interna. Seu comportamento pode ser comparado com uma lista negra (blacklist). Se a solicitação de um determinado aplicativo possui características similares às presentes nesta lista, é julgada como possível ameaça. Porém em alguns casos os vírus podem sofrer mutações, ou seja, adotar outro modo de operação desconhecido pelo software antivírus e conseguir se inocular no sistema. Isso é considerada uma vulnerabilidade instantânea que é denominada ameaça zero-hour (hora zero), também conhecida como zero-day (dia zero). Além de novos tipos ou mutações de vírus, também se enquadram nesta classificação as falhas de desenvolvimento de sistemas operacionais ou aplicativos.
Uma ação defensiva contra esta ameaça é o emprego de Whitelists. Como o nome sugere, enquanto uma blacklist é uma lista de restrições, uma whitelist é um conjunto de permissões. Somente as ações, aplicativos e arquivos definidos nela são passíveis de execução. Tudo que não se encontra permitido, por padrão, é vetado de execução.
Outra ação defensiva, neste caso, é o emprego de versões de sistemas operacionais e aplicativos com uma certa maturidade de mercado, onde todas as vulnerabilidades já foram encontradas e sanadas e que o desenvolvedor possua um “Ciclo de desenvolvimento do sistema” (SDLC) bem estruturado. A publicação especial do NIST, de número 800-64, apresenta um guia para adequação deste ciclo às necessidades de segurança de sistemas de automação e controle. Basicamente, ele apresenta orientações relativas à prevenção de vulnerabilidades na etapa de desenvolvimento e de como o fornecedor do software deve proceder para mitigar os impactos de alguma falha detectada quando a versão do produto já foi fornecida aos clientes.
Controle de acesso
Apesar de serem dotados de sistemas operacionais compatíveis com os controladores de acesso presentes no ambiente corporativo, as plataformas computacionais empregadas no interior das subestações, normalmente estão isoladas deste sistema. Ou seja, um colaborador, quando deseja alterar uma planilha de custos compartilhada na sua rede corporativa, tem a sua identidade (login de rede) conferida por um servidor de acesso, porém quando este mesmo colaborador altera uma configuração em uma IHM ou gateway de comunicação na subestação, ele utiliza um usuário e senha compartilhados entre vários colaboradores.
Uma identidade compartilhada viola um dos princípios básicos do controle de acesso seguro: a Autenticação. Basicamente a ação preventiva neste caso é a integração de um servidor de acesso e todas as plataformas computacionais em todos os níveis do sistema de automação de subestações. Este artigo abordará com mais detalhes a questão do controle de acesso mais adiante.
Enlances de comunicação interna
O alicerce de uma rede de comunicação dentro de uma subestação de energia elétrica de acordo com a IEC 61850 são os switches. Estes equipamentos são elementos concentradores das conexões Ethernet dos diversos dispositivos da instalação. Existem duas categorias de switches: gerenciáveis e não gerenciáveis. O primeiro tipo é o mais utilizado nos projetos modernos, pois fornece ao usuário uma série de funcionalidades e possibilidades que o segundo tipo não possui. Em um primeiro momento da implantação de projetos de subestação baseados na norma IEC 61850, muito se preocupou com funcionalidades como VLAN (Virtual LAN) e RSTP (Rapid Spanning Tree Protocol). Utiliza-se VLAN normalmente para segregar o tráfego de pacotes IEC 61850 GOOSE, evitando o impacto do multicast sobre IEDs que não compartilham do mesmo grupo de automação. Já o RSTP é importante à medida que temos configurações que utilizam vários switches para atender ao número total de pontos de redes solicitados pela aplicação. Novamente, a preocupação com a segurança cibernética normalmente não é um requisito do projeto neste nível.
Configurações básicas
Apesar da principal diferença entre switches gerenciáveis e não gerenciáveis ser a capacidade de configurar diversos aspectos deste equipamento é muito comum encontrar switches em operação nas subestações sem qualquer configuração realizada. No caso de uma invasão por meio dos enlaces externos de comunicação, o invasor utilizará usuário e senha padrões para interceptação dos pacotes trafegados ou até mesmo degradar o desempenho da rede ao ponto de inviabilizar a comunicação na subestação.
A ação defensiva básica neste caso é a configuração de usuários e senhas com diversos níveis hierárquicos de acesso. É muito importante garantir que configurações sejam criptografadas evitando a quebra de confidencialidade em possíveis interceptações. Muitos switches gerenciáveis fornecem interfaces WEB seguras (HTTPS) para realizar sua configuração, para esta sessão de comunicação são utilizadas técnicas de criptografia, é importante que as chaves de criptografia possam ser alteradas pelo usuário. Caso a chave de criptografia seja de conhecimento público e não possa ser alterada, ataques podem ser realizados pela interface de configuração do switch, permitindo que toda sua parametrização seja alterada, abrindo, assim, outras possibilidades de ataque.
Portas ociosas
Nos projetos antigos de automação de subestação, baseados em comunicação serial, o elemento centralizador era uma UTR (Unidade Terminal Remota) ou um concentrador de dados. Estes dispositivos possu&iac
ute;am várias interfaces seriais com funcionalidades programadas de acordo com a aplicação. Um colaborador nunca conectaria um computador portátil em uma porta serial ociosa sem o prévio conhecimento de todo o projeto e configuração da UTR. E mesmo que um colaborador desavisado insistisse em conectar seu computador, provavelmente não teria sucesso, pois existiam muitas configurações envolvidas (velocidade, formato dos dados, controles de fluxo, etc.). No caso dos switches isso não é uma realidade, normalmente é preciso conhecer apenas a faixa de endereços IP. Ou seja, uma porta ociosa e disponível em um switch é uma brecha de segurança grave. Em termos operacionais, se o colaborador configura seu computador com um endereço IP já existente na rede, pode causar falhas de comunicação no dispositivo detentor de tal endereço IP. Em termos cibernéticos pode ser a origem de um ataque com capacidade de atingir todos os níveis da automação da subestação.
Para prevenir os problemas relatados, a primeira ação é desabilitar todas as portas não utilizadas do switch. Filtro de endereços MAC (Media Access Control) também é uma boa estratégia. Como estes endereços são fisicamente gravados nas interfaces de rede, somente um dispositivo detentor de certo endereço MAC poderia acessar determinada porta do switch. Para que estas técnicas sejam empregadas com sucesso é muito importante a supervisão e controle remoto dos switches e, principalmente, a capacitação da equipe de manutenção da subestação.
Redes com topologia plana
Para comunicação interna em uma subestação, geralmente não existe a preocupação de se utilizar uma topologia com níveis hierárquicos, ou seja, todos os dispositivos com interface de rede fazem parte da mesma rede lógica independente das suas funcionalidades. Este arranjo é chamado de topologia plana. Esta topologia pode propiciar algumas falhas de segurança. Na Figura 5, por exemplo, um notebook da equipe de manutenção é ligado ao switch para configuração de um IED, uma IHM ou um concentrador de dados. Porém, como o notebook possui um endereço IP dentro da mesma rede lógica dos demais equipamentos, além dos aplicativos da manutenção, se o computador estiver contaminado com algum vírus, este poderá se proliferar para os demais elementos da rede.
Como normalmente existe um roteador de borda e um firewall para interligação com o enlace externo do sistema de automação da subestação, é interessante criar também rotas e regras para a rede interna de comunicação. Desta forma, somente as portas necessárias aos aplicativos da manutenção serão disponibilizadas na rede. Na Figura 6, tomando como base a rede mostrada na Figura 5, temos liberadas somente as portas de serviços realmente utilizadas na aplicação. Por exemplo, SSH (porta 22), HTTPS (porta 443) e RDP (porta 3389). O notebook obrigatoriamente será configurado para uma rede lógica diferente dos demais dispositivos da rede, o acesso não ocorre mais de maneira direta e não supervisionada. Caso um software mal-intencionado esteja instalado no notebook de manutenção, ele será bloqueado pelas regras do firewall e pelas rotas.
IED
O IED é o dispositivo mais próximo dos equipamentos de pátio de uma subestação. Este pode ser um relé de proteção multifuncional ou um controlador de bay por exemplo. Em uma concepção de defesa em profundidade, esta seria a última camada para evitar que uma ameaça cibernética evolua para uma atuação catastrófica no sistema elétrico. Em uma primeira análise, os projetos modernos de subestação não se preocupam com os aspectos de segurança da informação neste nível.
Vírus
O fato dos IEDs utilizarem sistemas operacionais dedicados, ou seja, rotinas específicas para uma certa aplicação, sempre afastou toda e qualquer possibilidade de preocupação com vírus nestes dispositivos. Porém, a descoberta de vírus como o Stuxnet e o Duqu causou uma mudança neste pensamento. Apesar de não atacarem propriamente o IED, estas ameaças poderiam causar danos físicos nos processos subjugados ao IED.
As ações preventivas, neste caso, são a utilização de softwares antivírus em todas as plataformas computacionais do sistema de automação da subestação e o emprego de técnicas para evitar a proliferação destas ameaças, como políticas para uso de memórias USB e utilização de redes com topologias hierárquicas.
Controle de acesso
Senha de acesso é uma importante medida de segurança. Uma senha bem estruturada é a melhor defesa contra invasões de sistemas. A Tabela 1 mostra a comparação do tempo necessário para se decodificar uma senha baseada em uma comunicação serial de 57600 bps para diferentes IEDs. A regulamentação NERC-CIP requer que as senhas utilizadas em todos os dispositivos e sistemas envolvidos na automação de subestações possuam, pelo menos, seis caracteres combinando letras, números e caracteres especiais (por exemplo, @, #, ?, etc.) e que esta senha seja modificada anualmente ou com menor frequência. Contudo, a senha é apenas uma parte quando discutimos a questão de controle de acesso que possui três princípios básicos: autenticação, autorização e auditoria.
Autenticação é a validação do usuário, isto é, uma conferência de sua identidade dentro do sistema. Normalmente protegida por uma senha, cartões criptografados, leituras biométricas, etc. Autorização é um conjunto de permissões que uma dada identidade recebe no sistema, ou seja, o que o usuário pode fazer no sistema. Finalizando, a auditoria é a possibilidade de rastreamento de todas as ações do usuário assim que autenticado no sistema.
Nos sistemas de automação de subestações de energia elétrica, estes conceitos são ausentes ou deficitários. A autenticação até existe, porém as senhas são compartilhadas entre vários colaboradores o que prejudica ou até mesmo invalida a auditoria. A autorização é presente em alguns modelos de IED
s, diferenciando vários níveis de acesso. Porém, como a senha foi compartilhada, a autorização também será.
Tabela 1 – Comparação dos padrões de senha de diferentes IEDs e qual o tempo necessário
para descobrir a senha utilizada.
Exigir um sistema complexo de controle de acesso no nível dos IEDs pode ser desproposital, em função da aplicação totalmente dedicada destes dispositivos. Outro empecilho na implantação deste sistema é que os enlaces externos nem sempre dispõem de grandes larguras de banda. Existem alguns dispositivos que atuam como gerenciadores de acesso aos IEDs e empregam o protocolo LDAP (Lightweight Directory Access Protocol) para conexão com os servidores de autenticação centralizado. O LDAP é implementado na maioria dos sistemas operacionais utilizados em servidores de autenticação. Deste modo, o colaborador pode utilizar a sua mesma identidade requerida quando acessa seu computador pessoal no escritório para, por exemplo, trocar um ajuste de um relé de proteção na subestação. Adicionalmente existem dispositivos capazes de realizar simultaneamente as funções de gerenciamento de senhas, roteador e firewall, a Figura 7 ilustra a utilização de tais dispositivos e o conceito do gerenciamento de senhas centralizado.
Estes dispositivos são capazes de gerenciar e controlar as senhas de acesso corrente aos IEDs utilizando requisitos de segurança como senhas complexas e alterações periódicas e a Figura 8 exemplifica o processo. As alterações de senhas são comunicados ao administrador do sistema por meio de relatórios.
Além de o colaborador necessitar da memorização de apenas uma senha para vários tipos de atividade, existem outras vantagens como:
a) Restrição de acesso a determinados IEDs baseado em regras de grupos de acesso. Por exemplo, integrantes do grupo de manutenção poderiam acessar integralmente a parametrização dos IEDs enquanto um grupo de monitoramento seria permitido apenas a leitura de relatórios;
b) Controle de todas as ações dos colaboradores no sistema de automação de subestações, uma vez que, para qualquer ação, estes devem ser autenticados no servidor centralizado;
c) Aumento da segurança no nível dos IEDs, já que a senha de acesso não precisa ser compartilhada entre todos os colaboradores.
CONCLUSÃO
Questões de segurança cibernética não atingem mais somente o ambiente TI. Os resultados de uma invasão cibernética em sistemas de automação de subestações podem ser catastróficos. Regulamentações existentes nos Estados Unidos e tendências de adoção na União Europeia enfatizam a importância de adoção de medidas preventivas nos projetos de subestações modernas. Algumas ações abordadas foram:
a) Utilização de criptografia em todos os enlaces externos;
b) Emprego de roteadores e firewalls tanto para enlaces externo quanto para internos, evitando, assim, o emprego de redes de topologia plana;
c) Software antivírus também são necessários em todas as plataformas computacionais, porém, suas configurações devem ser readequadas para este fim;
d) Políticas de uso de memórias USB e emprego de whitelist em computadores com tarefas de tempo real;
e) Desabilitação de portas ociosas nos switches;
f) Sempre utilizar senhas com pelo menos 6 caracteres contendo letras, números e caracteres especiais para todos os dispositivos no sistema;
g) Utilização de sistemas de controle de acesso centralizado propiciando autorização, autenticação e auditoria de maneira abrangente, incorporando funcionalidades de roteador e firewall.
REFERÊNCIAS
(1) AMIN, Massoud; GIACOMONi, Anthony M. Smart Grid – Safe, Secure, Self-Healing, artigo publicado pela revista IEEE Power & Energy de janeiro/fevereiro de 2012.
(2) LIU Cheg-Ching e outros. Intruders in the Grid, artigo publicado pela revista IEEE Power & Energy de janeiro/fevereiro de 2012.
(3) CRAIG JR, Philip A.; MCKENNA JR, Thomas P. Technology Security Assessment for Capabilities and Applicability in Energy Sector Industrial Control Systems, relatório publicado pela McAfee em março de 2012.
(4) EWING, Chris. Engineering Defense-in-Depth Cybersecurity for the Modern Substation, artigo publicado pela Schweitzer Engineering Laboratories, Inc. em 2010.
(5) SCHWEITZER III, Edmund O. e outros. How would we know?, artigo publicado pela Schweitzer Engineering Laboratories, Inc. em 2011.
(6) ANDERSON, Dwight; KIPP, Nathan. Implementing Firewalls for Modern Substation Cybersecurity, artigo publicado pela Schweitzer Engineering Laboratories, Inc. em 2010.
(7) FALCO, Joe e outros. Using Host-Based Antivirus Software on Industrial Control Systems: Integration Guidance and a Test Methodology for Assessing Performance Impacts, NIST Special Publication 1058 em setembro de 2006.
(8) ANDERSON, Dwight. Increase Security Posture With Application Whitelisting, artigo publicado pela Schweitzer Engineering Laboratories, Inc. em 2011.
(9) KISSEL, Richard e outros. Security Considerations in the System Development Life Cycle, NIST Special Publication 800-64 em outubro de 2008.
(10) CSSP (Control Systems Security Program) ICS-CERT (Industrial Control Systems Cyber Emergency Respo
nse Team) endereço eletrônico http://www.us-cert.gov/control_systems/ics-cert/
(11) ANDERSON, Dwight; LEISCHNER, Garrett. Cybersecurity as Part of Modern Substations, artigo publicado pela Schweitzer Engineering Laboratories, Inc. em 2007.
* Carlos Oliveira é formado em engenharia elétrica pela Universidade Federal de Juiz de Fora e mestre em engenharia elétrica pela mesma instituição. Trabalhou como engenheiro de automação na ATI/ATITEL, Ltda, no desenvolvimento de hardware e software para automação da distribuição. Desde 2008, trabalha como engenheiro de aplicação na Schweitzer Engineering Laboratories, Inc., nas funções associadas aos protocolos de comunicação, integração do IEC 61850 e sistemas de gerenciamento de ativos.
Ricardo Abboud é graduado em engenharia elétrica pela Universidade Federal de Uberlândia. Trabalhou na CPFL como engenheiro de proteção na Divisão de Equipamentos da Proteção. Em janeiro de 2013 assumiu o cargo de Diretor Técnico da SEL Brasil. É instrutor de cursos de especialização da Fupai/UNIFEI e do Inatel. É também instrutor da Universidade SEL Brasil desde sua fundação.