Sicurezza informatica degli impianti di generazione
elettrica:
l'esperienza ENEL e il Laboratorio Cybersecurity SCADA
Luca Guidi
ENEL SpA
Divisione Ingegneria e Innovazione
Area Tecnica Ricerca
Roma, 9 Luglio 2009
Uso:
Aziendale
Sistema Elettrico italiano
GENERAZIONE (molti produttori)
Qualche migliaio di impianti di generazione (1000 termo+2000 idro)
Capacità installata: 93.600 MWe. Disponibile alla punta: 61.150 MWe
TRASMISSIONE (Terna)
62.000 km di linee ad altissima (220-380 kV) e alta tensione (120-150 kV).
18 linee di interconnessione con l’estero
DISTRIBUZIONE (Un solo distributore per Comune; dati ENEL )
Media Tensione
2.000 Cabine Primarie (AT/MT) con capacità di 87.500 MVA
334.000 km di linee
Bassa Tensione
345.000 Cabine Secondarie (MT/BT) con capacità di 65.700 MVA
725.000 km di linee
30 milioni di contatori elettronici
2
Uso:
Aziendale
DIAGRAMMA DI CARICO Dicembre 2007
x 1.000 MW
60
Idro
50
40
Termoelettrico
30
20
10
Import
Acqua fluente + rinnovabili
0
0
1
2
3
4
5
6
7
8
9
10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
3
Uso:
Aziendale
L’equilibrio della rete
C’è una importante differenza tra la rete elettrica e quelle
gas/acqua: nella prima non c’è ACCUMULO.
• La rete deve essere bilanciata: produzione e carichi devono essere
globalmente uguali, istante per istante.
• L’equilibrio della rete è demandato ai grandi impianti dispacciabili (> 10
MWe)
• Il giorno prima viene definito il Piano Vincolato di produzione (GME); il
giorno stesso vengono inviati gli Ordini di Bilanciamento per variazioni
note in anticipo.
• La regolazione in tempo reale, richiesta da improvvisi e imprevedibili
sbilanciamenti, è a carico in prima istanza del servizio di Riserva Primaria
degli impianti (power/frequency control).
• Un eccesso di generazione o di carico causa variazioni rapide di frequenza;
automaticamente gli squilibri sono bilanciati con un rapidissimo decremento
o incremento di potenza generata.
• I servizi di Riserva Secondaria o Terziaria consentono un ritorno
all’equilibrio con dinamica più lenta
4
Uso:
Aziendale
La Riserva
•
•
•
Riserva primaria (tutte le unità, almeno ±1,5% in 30 s); automatismo
in impianto
Riserva secondaria (±6% in 200 s, ±15% per idro); richiesta
automatica GME
Riserva terziaria (“pronta” entro 15 minuti; “fredda” entro 60 minuti);
richiesta GME
Fabbisogno riserva secondaria
Rsecondaria  150  150  10  C
2
se C=40.000 MW => Rsecondaria = 500 MW
se C=30.000 MW => Rsecondaria = 417 MW
5
(MW)
Uso:
Variazione di frequenza di rete per scatto
Fonte: TERNA S.p.A.
6
Aziendale
Uso:
Transitorio di regolazione frequenza/potenza
Fonte: TERNA S.p.A.
7
Aziendale
Uso:
Aziendale
Alcuni eventi che hanno suscitato allarme
• Blackout Italia di Domenica 28 Settembre 2003
– Mancano oltre 6.000 MW, oltre agli impianti di generazione italiani che sono
scattati. Il carico richiesto era di circa 24.000 MW
– Carichi interrompibili
3.500 MW da pompaggio
1.000 MW utenza interrompibile
1.000 MW “alleggeritori di carico” per utenza diffusa
Può un albero che cade in Svizzera mettere al buio l’Italia intera?
• Blackout “USA NordEst-Canada” del 14 Agosto 2003
– Errore di misura sulla rete, scatto impianto, contatto albero con linee
– 45+10 milioni di utenti interessati (anche in questo caso un albero … )
• Blackout Europa centrale e Italia Nord, 4 Novembre 2006
– Due linee ad alta tensione, da 400.000 Volt, in Germania, il cui cedimento
ha provocato, con un effetto domino, uno squilibrio generale di produzione
di elettricità in Europa
– Il blackout ha riguardato 10 milioni di cittadini in numerosi paesi, tra i quali
Francia, Germania, Italia, Olanda, Portogallo, Spagna, Belgio e Austria
8
Uso:
Aziendale
Il nuovo contesto per l’Automazione
•
•
•
•
•
•
Evoluzione del Sistema di Automazione in Centrale, basato su
elaboratori tradizionali (PC): modulare, distribuito, integrato.
Sala Manovra informatizzata
Anche sul fronte del “campo” uso di dispositivi “intelligenti” e segnali
digitali (Bus di Campo)
Eliminazione del dualismo SRC (Regolazione e Controllo) - SdS
(Supervisione). Ora SCP (Sistema di Controllo Principale) che integra
le parti regolazione, controllo e supervisione.
Possibilità di implementare funzioni evolute (di automazione e
diagnostica) a livello utente
A sua volta, la rete di processo si integra nella Intranet aziendale e
con i sistemi gestionali
Centrali sempre più informatizzate e sempre più integrate
nella “Corporate Network”
9
Uso:
Una vecchia Sala Manovra
10
Aziendale
Il nuovo Sistema Sala Manovra
11
Uso:
Aziendale
Uso:
Aziendale
Fine anni ’90: la diffusione dati d’impianto
•
Integrare le reti di processo delle Centrali Termoelettriche nella
Intranet Aziendale
•
Rendere visibili, dagli uffici e da remoto, i dati di esercizio in tempo
reale, organizzati e personalizzati per diverse categorie di utenti
•
•
Sviluppare applicazioni speciali per monitoraggio e diagnostica.
•
•
Proteggere i dati “sensibili” di ENEL Produzione
Proteggere i Sistemi Digitali di Processo (Regolazione, Supervisione,
Monitoraggio e Diagnostica) da intrusioni non desiderate
Garantire il corretto funzionamento dei SDP, supportando i protocolli
esistenti (SCC) e gestendo la transizione verso i nuovi (OPC)
12
Uso:
Aziendale
Architettura Sistema Diffusione Dati d’Impianto
INTRANET
Router
Wind
SDP1
PC
Firewall
SDP2
PC
Hub
Hub
Hub
SDP3
PC
Data Server
Server WWW
Rete di
Processo
Rete
Demilitarizzata
Rete degli
Uffici
13
Uso:
Aziendale
Architettura del nuovo Sistema di Monitoraggio e Diagnostica
14
Uso:
Aziendale
Pericoli in aumento
Cambia la natura delle minacce
• Cyber attacks, virus
• Furto d’identità: frodi ai consumatori (casi di phishing)
• Crimine organizzato: carte di credito (miliardi di Euro)
160000
137529
• CERT(1) ha stimato che almeno
l’80% degli incidenti non viene
riportato per vari motivi, tra
cui:
– l’organizzazione non è in
grado di riconoscere che il
proprio sistema è stato
violato
– l’organizzazione è riluttante
ad ammetterlo
Incidents reported
140000
120000
100000
82094
80000
52658
60000
40000
20000
21756
6
132 252 406 773 1334 2340 2412 2573 2134 3734
9859
0
1988 1989 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003
Year
Source: CERT/CC
15
Uso:
Prima e dopo il 2000
Minacce interne:
- accidentali
- vendette di dipendenti
Solo il 30% cause esterne
Dal 2001 shift verso le
cause esterne.
16
Aziendale
Uso:
Aziendale
Sorgenti di attacchi/incidenti
• La Business network (Intranet)
è la prima fonte di incidenti
• Anche l’accesso diretto è
importante
• Internet è la prima fonte di
incidenti
• Numerose altre modalità
17
Uso:
Aziendale
Diminuisce il know-how richiesto per gli attacchi
Source: PlantData Technologies
18
Uso:
Aziendale
Criticità delle reti di processo e degli SCADA in ENEL
•
•
•
•
•
•
•
•
•
•
Interconnessione tra le reti di processo delle Centrali e
l’Intranet Aziendale, a sua volta connessa a Internet
Continua evoluzione delle connessioni, sia hardware che
software
Dimensioni e complessità della rete ENEL
Uso di diverse tecnologie
Diffusione dei sistemi Microsoft Windows per l’automazione e
controllo
Inizialmente, assenza di antivirus sui sistemi SCADA
Prevedibile diffusione di connessioni wireless
Presenza di connessioni modem
Carenza di stringenti procedure di security negli impianti
…….
19
Uso:
Aziendale
Cybersecurity SCADA in ENEL
Obiettivo: Proteggere i Sistemi di Automazione e Controllo degli impianti di produzione da
attacchi informatici.
Modello di gestione
rischi operativi
Protezione delle
infrastrutture
critiche nella lotta
contro il terrorismo
Direttiva EPCIP
COM (2004) 702
Attività di ENEL–Ricerca, ICT e SECURITY
• Individuazione di nuove tecnologie volte a
incrementare la sicurezza della infrastruttura dedicata
all’automazione degli impianti di generazione
• Realizzazione del Laboratorio di Cybersecurity
CA- ESCORT (Coordinating Action coordinata da CEN)
20
Uso:
Aziendale
Interesse per l’ENEL
•
•
•
•
L’obiettivo dell’EPCIP non è quello di “proteggere” le Aziende da
possibili danni economici dovuti ad attacchi esterni, bensì quello di
proteggere la comunità dalle conseguenze catastrofiche di tali
attacchi. Tuttavia è sicuro che vi saranno obblighi stringenti per le
Aziende.
In questo contesto risulta di importanza strategica la partecipazione
attiva all’EPCIP fin dalle fasi preliminari al fine di:
– conoscere in anticipo le direttive in modo da essere già conformi alle
stesse all’entrata in vigore della normativa
– indirizzare la normativa europea per coprire tutte le aree di interesse
per ENEL
Uno scatto di un impianto a carbone può comportare perdite
economiche dell’ordine del M€!!
Non c’è un simile “business case” per un attacco alla rete
Business/Office
21
Uso:
Aziendale
Visione SCADA/Process cybersecurity
•
•
•
•
•
•
•
•
La cybersecurity e la certificazione degli SCADA è necessaria (ruolo
fornitori) ma non sufficiente
Lo SCADA è un pezzo del mosaico
La Rete di Processo è il nostro target. In un impianto a carbone ci
sono più di 50 sistemi SCADA (un solo Sistema di Controllo Principale
che integra tutto).
Integrazione, connessione con la Intranet (Business/Office), direct
dial-up, altro
E’ necessaria una visione globale del “sistema” che vogliamo
proteggere.
Il fine ultimo: non vogliamo uno SCADA “sicuro”; vogliamo un
processo “sicuro”.
Aggiornamento e costi operativi continui
Questo “processo” richiede una organizzazione dedicata all’interno
dell’Azienda: molte competenze, diversi punti di vista (tradeoff?) da
gestire
– con una visione unitaria e
– con un forte commitment dal vertice aziendale
22
Uso:
La Ricerca in ENEL
Pisa
Marghera
Livorno
Sesta
S. Gilla
Brindisi
Catania
23
Aziendale
Uso:
Aziendale
L’approccio della Ricerca
Modellistica matematica
Analisi
Sviluppo
Dimostrazione
Applicazione
Laboratori
Stazioni
sperimentali
Prototipi
Sperimentazione
24
Uso:
Metodologia JRC (17799/CC)
Preliminary
design &
requirements
Aziendale
Assessment
Assets
Vulnerabilities
Data
Sources
Threats
Loss
Attacks
Security Failures
Security Objectives &
Requirements
System
Architecture
Corporate
Security
Policy
(7799)
Security
Target /
Protection
Profile
(CC)
Service
contracts (QoS),
Insurance
Procurement
[1] IEC TR 62210 “Power system control and associated communications – Data and communication security” IEC
TC57 (WG15) Technical Report, First edition 2003-05.
[2] “Guide to ISO/BS 17799 - Risk assessment and risk management”, BSI, PD 3002:2002.
[3] Common Criteria for Information Technology Security Evaluation. CC version 2.1, August 1999 (aligned with ISO
15408:1999). Common Criteria project Sponsoring Organisations.
25
Uso:
La Ricerca in ENEL: l’Area di Livorno
 16000 m2
 12 operatori
 18 impianti sperimentali
 spesa annua 1,3 M€
26
Aziendale
Uso:
Aziendale
Il punto di partenza: infrastruttura tipica di centrale
GRTN
Rete Dati e
Telecontrollo
SCP
Diffusione
dati
aziendali
via WEB
FIREWALL
Rete Intranet
ENEL
RAS/VPN
accessi ext
Rete Dati operativi
HUB
Antivirus
ROUTER WIND
FIREWALL
Rete Uffici
SWITCH
Rete
Telecontrollo
Rete di Processo
SWITCH
Rete DMZ
R
T
U
Pagina 8/10
SWITCH
HUB
HUB
HUB
27
ABB
Internet (8)
Server
Uso:
Radius
Enel
fw
Aziendale
fw
Siemens
Intranet Enel (7)
GRTN
Rete Dati Enel
Parent
Server
Enel
fw
Rete Siemens
di centrale
Rete Regolaz.Sec.
Sec.Reg. Network (5)
Router
isdn
WINTS
Rete Dati
Data Network (6)
Switch rete Siemens
GTDS
Stazione
remota
router
RTU
Switch rete dati
SMAV
Gw opc-pi
Srv ATTPIA
Switch rete
processo
servizi comuni
Rete DMZi
Demilitarized Network (4)
Rete Uffici
router
Srv PI
Switch rete uffici
Srv ASC
firewall
Rete di Processo
Process Network (3)
Switch firewall
Switch dmz
Clt SCP
Srv SCP
Switch rete
processo
unità X
Gw XU
Switch rete controllori TG
SCTG
sensori e attuatori
del Turbogas
ProtocollI RS-232/485, MODBUS
PLC
trasduttore
PLC
attuatore
Rete controllori
Control Network (2)
Rete campo
Field Network (1)
PLC
trasduttore
PLC
attuatore
28
sensori e attuatori
del ciclo vapore
Protocollo profibus
Stazione
Remota
Enel
Uso:
SCTG
comandi
dati controllo
allarmi - blocchi
protocollo OPC
SCP
protocollo
teleperm
supervisione
monitoraggio
diagnostica
comandi
dati controllo
allarmi - blocchi
Aziendale
protocollo
OPC
Intranet
gateway
opc- pi
server area
servizi comuni
supervisione
monitoraggio
diagnostica
protocollo OPC
diagnostica
TG
protocollo
PI
stazione
di lavoro
diagnostica
vibrazioni
router
Wind
switch 1
switch ASC
switch 2
rete processo
protocollo
teleperm
controllore
data server
PI
bus di campo
aria
HRSG
turbina
Turbogas
protocollo
PI
switch rete DMZ
router
Wind
attuatori / trasduttori
Camera di
combustione
Compr.
Rete dati
firewall
firewall
switch rete Dati
controllore
gas
switch rete Uffici
fumi
G
vapore
generatore
di vapore
a recupero
Steam
Turbine
G
turbina
acqua
comandi
allarmi – dati controllo
tipo di scambio dati
supervisione
diagnostica di 2° livello
fumi
archiviazione
diffusione dati d’impianto
29
Uso:
Aziendale
LAN del Laboratorio
Wireless LAN 192.168.3.0/24
Switch L2
Firewall
192.168.3.1
192.168.3.10
Observer Terminal 192.168.4.0/24 - 192.168.5.0/24
Power Context Simulator 192.168.8.0/24
Switch L2
Switch L2
192.168.0.16
192.168.4.1
Centro Stella 192.168.0.0/24
192.168.8.10
192.168.0.10
192.168.0.13
Horizontal Services 192.168.1.0/24
Switch L2
192.168.1.10
Switch L3
192.168.0.11
192.168.0.14
192.168.2.10
Switch L2
192.168.6.1
192.168.6.10
Vulner.Contr.Repository Tools 192.168.7.0/24
Firewall
192.168.2.1
192.168.5.10
Firewall
192.168.0.1
Threat and Attack Simulator 192.168.2.0/24
Switch L2
192.168.5.1
Testbed M. Administrator 192.168.6.0/24
Firewall
192.168.1.1
Switch L2
Firewall
Firewall
192.168.8.1
Switch L2
Firewall
192.168.0.12
192.168.0.15
192.168.7.1
192.168.7.10
Scada System
192.168.0.17
Firewall
192.168.101.10
192.168.100.10
158.47.12.212
Switch L2
192.168.101.1
DMZ
192.168.101.0/24
PI
Switch L2
192.168.100.1
Processo 158.47.12.0/24
Parent Server, RTU
Switch L2
158.47.12.201
Switch L2
Rete campo
SCADA, ASC, GW OPC/PI
158.47.12.212
Firewall
192.168.102.12
Switch L2
Simulatore
30
Dati
192.168.100.0/24
Uso:
Area Scada System
Aziendale
192.168.100.101
dorsale Laboratorio 192.168.0.0/24
192.168.0.17
Client
RTU
192.168.101.10
Firewall
192.168.100.10
158.47.12.210
Switch L2
DMZ
192.168.101.0/24
192.168.101.1
Dati
192.168.100.0/24
Switch L2
192.168.100.1
192.168.100.39
192.168.101.35
server
PI
192.168.100.38
parent
server
Processo
158.47.12.0/24
RTU
Switch L2
158.47.12.201
158.47.12.162
server DCS
158.47.12.160
staz.config.
172.16.10.22
ASC
client
scada
controllori
172.16.10.21
gw opc/pi
158.47.12.165
158.47.12.163
158.47.12.212
Firewall
192.168.102.10
Switch L2
rete campo
172.16.10.22
server
DCS
Switch L2
Idrolab
172.16.10.2
controllore
scada
172.16.10.1
controllore
scada
158.47.12.162
Strumentazione e
attuatori di Idrolab
Switch L2
Simulatore
172.16.10.21
staz.config.
controllori
simul.
impianto
server
scada
192.168.102.36
192.168.102.37
158.47.12.160
Switch
Rete Idrolab (158.47.12.0/24)
31
Uso:
1
patch panel 24 rj45
2
Aziendale
patch panel 24 rj45
3
1
Horizontal
service
Testbed Master
Administrator
porta
Threat and
attack simulator
finestra
B/N
AREA LAVORO
Col.
AREA LABORATORIO
corridoio
Scada
system
B/N
Power context
simulator
Observer
terminal
Vulnerabilty and
countermeasures
repository and tools
2
6
7
patch panel
96 rj45
B/N
PC e Firewall
armadio basso
80x50x73
tastiera
dispositivo switch
patch panel 96 rj45
3
porta
8
1
patch panel 24 rj45
scaffale
video
armadio
switch
5
sedia
stampanti
armadio
switch
AREA APPARATI
patch panel 24 rj45
4 prese rete gestionale
4
parete a vetri con
porta scorrevole
dispositivo sicurezza
armadio switch
80x60x200
armadio alto
80x50x200
tavolo medio
105x2100
tavolo lungo
105x2800
32
finestra
Uso:
Il Laboratorio
33
Aziendale
Uso:
IDROLAB (Area Sperimentale Livorno)
34
Aziendale
Uso:
Idrolab
35
Aziendale
Programma Sperimentale
Uso:
Aziendale
Utilizzo del Laboratorio
Librerie di vulnerabilità e
Test Vulnerabilità
minacce
Sistemi di attacco
Verifica Standards
Test Manutenzione
Comparazione architetture
Sistema di Test Security Policies
Test Contromisure Sistemi di
gestione del
osservazione
laboratorio
Test Attacchi
Sistema Industriale
da testare
Analizzatore dei
risultati
36
Uso:
Aziendale
Primi Risultati
DOS da Intranet
contro rete di Processo
Denial of Service contro
Internet Gateway
PI Spoofing
Trojan Horse
DNS Poisoning
Zero Day Virus
Malware Attacks
Internet
Caso 1: Infezione
Estremamente
attacco
critico:
a basso
con accesso
impatto
fisico utilizzando 6 PCs
Esperimento
realizzato
con
successo
Meccanismo
applicabile
a tutti iper
servizi
di centrale
Effetti
potenziali:
Impossibilita’
menutentori
remoti, ABB, Siemens,
di
accedere
al
sistema.
Caso 2: Infezione
Consente
attacco
di catturare
critico.
da remoto
leImpatto
credenziali
sui sistemi
di accesso
scada,
ai sistemi
sui controllori.
interessati
Gli
effetti
potenziali
possono
essere
molto
rilevanti
Critico
nell’
ottica
futura:
es.
Mercato
dell’Energia
Semplicemente risolvibile
Analogico 4-20 mA
•
•
•
Modem
WINTS
Profibus
Switch1
Modbus
Secondary
Regulation
Controller
SCTG
RTU
(secondary
regulation)
Switch2
2
I/O Tras.
Scada Sub-Net
Turbogas
Controller
WINIS
SCP ATTPIA
Client
SCP
Server
ASC Sub-Net
Switch
ASC
DB
Steam Cycle
Controller
Field
Network
Gateway
Tenore OPC-PI
ASC
Control
Network
TG
SMAV SME
GTDS
1
Secondary
Regulation
Network
Switch
ASC
Process Network
Switch
DMZ
Server PI
Attacco difficilmente contrastabile
Danni potenziali altissimi
Realizzato con successo in laboratorio
FW Switch
DB
PI
Power Plant FW
DMZ
FW-VPN
Master/Secondary
Router
Switch Rete Uffici
WorkStation
WorkStation
WorkStation
Router
Rete Uffici
WorkStation
Rete DATI
Router
Router
Router
Router
Router Wind
DNS
Intranet ENEL
Parent
Server
Subnet
B
Subnet
C
Router
Router Wind
FW VPN
Master
Router Wind
Router Wind
Subnet B
Subnet C
Radius
Server
37