A SeConSys sikeres működésének egyik pillére, hogy új és/vagy bonyolult kihívások esetében különböző nézeteket egyeztetve – vagy akár ütköztetve – kíséreljük meg valid szakmai álláspont kialakítását. Külön öröm, ha tágabb szakmai kör is értesülhet az egy-egy kihívás kapcsán felmerülő gondolatokról.
A technológia-közeli eszközök védelmének erősítéséről szóló augusztus 5-ei posztomra icscybersec kolléga augusztus 14-én reagált, amely vendégposztként augusztus 16-án jelent meg itt, a SeConSys blogban. A leírtak alapján bennem is további gondolatok fogalmazódtak meg.
1. Gondolatok az 1. kérdésre érkezett válasz kapcsán
A kérdés: „Mi a véleményetek a technológia közeli védelem megerősítésének vázolt koncepciójáról?”
1.1. Purdue modell
A Purdue modellt sokan temetik. Való igaz, a „klasszikus” modell „vegytisztán” mind kevésbé képezi le a mai állapotokat. De temetni talán még korai lenne.
A villamosenergia-rendszerben paradigmaváltás zajlik a tisztán hierarchikus „termelés, átvitel, elosztás, fogyasztás” séma helyébe lépő olyan elosztott rendszer irányába, amelyben szinte bármely funkció bármely másikkal együtt is értelmezhető úgy, hogy közben új funkcióként a „tárolás” is megjelenik.
Érdekes analógiaként a korábbi – jórészt hierarchikus – OT rendszerek helyébe is egyre nagyobb arányban lépnek üzembe hálózatos megoldások. Ilyen értelemben talán az OT esetében is paradigmaváltásról lehet beszélni. A változások talán inkább a Purdue modell eme új helyzetre történő aktualizálását, semmint temetését indokolják.
1.2. „Mellékszál”-1.: Fogalmi tisztázás szükségessége
Benyomásom szerint sokszor nem teljesen ugyanazt értjük az IT és OT, avagy OT és ICS egyezőségeiről és különbözőségeiről.
A kézikönyv egyre inkább esedékes aktualizálása keretében érdemes ezekkel foglalkozni.
1.3. „Mellékszál”-2.: „Ki őrzi az őrzőket?”
A latin mondás az első kérdésemre icscybersec kolléga által írtak kapcsán merül fel bennem. Mint írja: „a SIGA OT Solutions által készített megoldás is lehet olyan jó, mint bármelyik OT hálózatbiztonsági termék”. Nézetem szerint funkciójukat tekintve ezek a termékek egyfajta „safety” feladatot látnak el, hiszen ezek felelnek a védett rendszer(ek) integritásáért, ezzel rendeltetésszerű működéséért. Ilyen értelemben őrként működnek.
Nos, emlékezetes módon a szaúdi Aramco elleni támadás éppen a safety funkciót ellátó rendszer ellen zajlott. Sikerrel. Végül nem a támadón múlt, hogy a támadás végül nem vezetett vegyipari katasztrófához…
A támadás sajnálatos gyakorlati példa arra, hogy egyetlen rendszer – akár safety funkciót ellátó – esetében sem zárható ki (sikeres) kibertámadás bekövetkezése.
De akkor viszont jogos a kérdés: „Ki őrzi az őrzőket?”
2. Gondolatok a 2. kérdésre érkezett válasz kapcsán
A kérdés: „Egy ilyen védelem valóban csökkentené-e egy zsarolóvírusos támadó késztetését?”
2.1. A paradigmaváltó villamosenergia-rendszer ellátásbiztonságot növelő/csökkentő hatása
Nem tévedés: a létrejövő új villamosenergia-rendszer modell egyszerre (!) növeli és csökkenti az ellátásbiztonságot.
Növeli, amennyiben az elosztott termelés (és idővel tárolás), a microgridek egyre inkább növelik a villamosenergia-rendszer rezilienciáját.
Ugyanakkor a mindehhez szükséges digitális eszközök és rendszerek számának nagyságrendi növekedése jelentős mértékben megnöveli a támadási felületet (különösen abban az esetben, ha a támadó valamely tömegesen alkalmazott eszköz/rendszer sérülékenységét használja ki).
A két hatás párhuzamosan, egymást ki nem záró módon érvényesül. Jelen pillanatban meg sem jósolható, hogy idővel valamelyik dominánssá válik-e, és ha igen, akkor melyik.
2.2. „A számítógép jó eszköz olyan problémák megoldására, amelyek nélküle fel sem merülnének”
Ne feledjük, hogy a digitális eszközök és rendszerek megjelenése előtt is volt villamosenergia-ellátás. Az ötvenes években a Várból, az Úri utca 72 sz. alatti régi lakóház alatt lévő többszintes pincerendszerből zajlott az ország villamosenergia-ellátásának irányítása. A hálózati állapotadatok begyűjtése, ill. a működtetési parancsok kiadása kezdetben telefonon zajlott, a mindenkori aktuális hálózati állapotot pedig egy fatáblán, kézzel rögzítették. És mindez a gyakorlatban tényleg működött!
Komoly lépés volt a legfontosabb mérési adatok távvezetékeken történő, nagyfrekvenciás jelátvitele. A küldött impulzusok száma jelezte egy-egy mérés konkrét értékét. Ez a kezdetleges jelátvitel lehetővé tette az első világító, aktív vezénylőtábla megépítését, analóg technikával.
Ne feledjük, hogy az erőművekben és alállomásokon a védelmi automatika funkciókat relés kialakítású eszközök látták el. Azaz ezek is analóg elven működtek! Nem is rosszul! És „mellesleg” a hackertámadás legcsekélyebb esélye nélkül!
Még egy adalék. Mind a 2015., mind a 2016. évi ukrajnai támadás esetén az áramellátás az érintett alállomásokra kiküldött kezelőszemélyzet kézi kapcsolásaival volt helyreállítható, vezényléssel, azaz az üzemirányító szóbeli utasításai alapján. Tehát analóg módon, az ’50-es években szokásos eljárás szerint.
A villamosenergia-rendszerben is lezajlott „digitális habzsi-dőzsiből” a támadások után kijózanodva érdemes átgondolni azokat a szükséges és elégséges analóg megoldásokat, valamint azokon alapuló eljárásrendeket, amelyek révén az ellátás fenntartható. Az más kérdés, hogy ezek (ismételt) kialakításának (nem kicsi) költségét valakinek – a legvégén a fogyasztónak – viselnie kell.
2.3. „Mellékszál”-3.: Az üzemhelyreállítás egyes feltételei blackout esetén
A vezényléssel történő üzemhelyreállítás alapvető feltétele, hogy a terepen mozgó elektrikusokkal legyen beszédkapcsolat. Ez korábban URH rádiótelefonokkal valósult meg, ma inkább mobiltelefonokkal, ill. az alállomásokban üzemi telefonokkal.
A 2015. évi támadás részben szünetmentes tápellátást is érintett, amely részleges telefonközponti leállást is okozott. Ugyanakkor tartós áramszünet esetén idővel a mobiltelefonhálózat bázisállomásainak szünetmentesei is leállhatnak, ami fokozatosan ellehetetleníti a mobilon való kommunikációt is. Egy esetleges tartós blackout esetében min. két irányban ebben az esetben is fenn kell tartani a kommunikációt:
- a környező országok rendszerirányítóival. Ez kulcskérdés, ha egy, vagy több országban intakt a villamosenergia-rendszer, akkor ennek segítségével megkezdhető a magyar rendszer helyreállítása;
- az ún. blackstart-hoz szükséges létesítményekkel. Blackstart-ról abban az esetben beszélünk, ha külföldön is kiterjedt blackout van, azaz országok közötti kisegítésre sincs mód. Ebben az esetben arra előzetesen kijelölt, blackstart-képes (gázturbinás) erőműnek arra kijelölt rendszerelemeken keresztül kell villamosenergiát juttatnia a paksi atomerőművi blokkok újraindításához. A blackstart-képesség előfeltétele, hogy az abban érintett valamennyi szolgálati hellyel blackout esetén is legyen megbízható beszédkapcsolat.
2.4. Összegzés
Nézetem szerint a ransomware támadásoktól függetlenül is szükséges és lehetséges a villamosenergia-rendszer rezilienciájának erősítése. Ennek nélkülözhetetlen eleme olyan vészhelyzeti üzemvitel komplex személyi és tárgyi feltételeinek biztosítása, az üzemfenntartás képességének demonstrálása, amely pl. egy potenciális támadó felé jelzi, hogy pl. egy ransomware támadás csak korlátozott eredményekkel járhat.
Ugyanakkor a hihető reziliencia elérése időben elhúzódó és jelentős forrást igénylő folyamat, amely a fogyasztói árra gyakorolandó hatásai miatt politikai döntés kérdése az „ellátásbiztonság vs. ár” viszonylatban.
A végén ez a posztom a SeConSys blog eddigi leghosszabb, legösszetettebb posztja lett. De mint Murphy-től tudjuk: „bonyolult problémákra mindig akad egyszerű, könnyen érthető, téves válasz.” Jómagam pedig helyes válaszra törekedtem.
Örömmel veszem/vennénk, ha mások is csatlakoznának a polémiához!
Szívesen vesszük a fentiekkel akár egyetértő, akár azokkal vitatkozó üzeneteket. Ezekre pl. újabb posztban reagálva akár érdemi szakmai eszmecsere is megindulhat.