TTY / Tietoturvallisuuden jatkokurssi / Harjoitustyö 2012

Risto Eerola

Älykkään sähköverkon tietoturvahaasteita

Johdanto

Sähköverkkoa on kutsuttu suurimmaksi ihmisen rakentamaksi järjestelmäksi. Tekniikka on pohjimmiltaan yli sata vuotta vanhaa, eikä sellaisenaan pysty vastaamaan ihmiskunnan jatkuvasti kasvavaan energian tarpeeseen taloudellisella ja ympäristön kannalta kestävällä tavalla. Älykäs sähköverkko, Smart Grid, pyrkii vastaamaan haasteisiin hyödyntämällä laajamittaisesti informaatio- ja viestintäteknologioita. Smart Grid on osa yhteiskunnan kriittistä infrastruktuuria ja sillä on sekä perinteisen IT-tietojärjestelmän että automaatiojärjestelmän piirteitä. Toteutuksessa tietoturva tulee ottaa alusta alkaen huomioon. Työssä esitellään Smart Grid ja sen tärkeimpiä tietoturva-aspekteja.

Smart Grid: lyhyt esittely ja rajaus tämän työn puitteissa

Tässä Smart Grid esitellään hyvin lyhyesti. Kattavampia, mutta silti helppotajuisia käsittelyitä mm. lähteissä [1-3]. Smart Gridin myötä sähköyhtiöiden ICT-järjestelmiin ja itse sähköverkkoon tehdään suuria muutoksia ja uudistuksia. Verkon monitorointi- ja hallintaominaisuuksia kehitetään ja automaatioastetta kasvatetaan. Kuluttajalle ilmeisin muutos on älykkäiden, etäluettavien sähkömittarien (kuva 1) asennus. Smart Gridin tavoitteena on sekä energian että informaation kaksisuuntainen liikenne ja nykyistä joustavampi, luotettavampi ja tarkemmin hyödynnetty verkko, jossa asiakas voi olla sekä energian ostaja että myyjä. Smart Grid mahdollistaa mm. uusiutuvan energian ja hajautetun tuotannon laajamittaisen liittämisen verkkoon, sähkön kulutuksen tarkan ja reaaliaikaisen seurannan sekä erilaiset kysyntäjoustoskenaariot.

Smart Meter

Kuva 1: Älykäs sähkömittari (lähde: flicker/traftery) [4]

Alla (Kuva 2) on NISTin esittämä jaottelu sähköverkon eri toimijoista ja osa-alueista. Karkeasti yleistettynä sähköekosysteemi toimii seuraavalla tavalla: voimalaitokset tuottavat keskitetysti suuria määriä sähköenergiaa. Valtakunnallinen siirtoverkko toimii korkeilla jännitteillä ja siirtää energian pitkien etäisyyksien yli. Jakeluverkot toimivat pienemmällä maantieteellisellä alueella ja alhaisemmilla jännitteillä. Ne huolehtivat sähkön jakelusta siirtoverkosta kuluttajille. Verkon hallinta ja tukitoiminnot huolehtivat siitä, että kuluttaja saa keskeytyksittä sähköä. Kaikki tämä on luonnollisesti merkittävää liiketoimintaa.

NIST_SG_framework_domains.png

Kuva 2: Älykkään sähköverkon osa-alueet (domains) ja eri toimijoiden väliset yhteydet [5 s.42]

Smart Gridin myötä kenties eniten muuttuu sähkön jakeluverkko sekä jakeluverkon ja kuluttajan välinen rajapinta eli sähkömittari. Ne ovat myös tietoturvan kannalta olennaisia osa-alueita, joten työssä käsitellään etupäässä niitä. Muutkin osa-alueet ovat tietoturvan kannalta mielenkiintoisia, mutta ne jätetään tässä vähemmälle huomiolle.

Smart Gridin erityispiirteitä tietoturvan kannalta

Määritelmästä riippumatta Smart Grid on valtava kokonaisuus, jossa on erityyppisiä osajärjestelmiä. Tietoturvamielessä Smart Grid on monilla tavoin perinteisten IT-järjestelmien ja automaatiojärjestelmien välimaastossa. Esimerkiksi verkkoyhtiön asiakastietokanta on tyypillinen IT-järjestelmä. Toisaalta sähköverkon automaattinen vian paikannus ja rajaaminen on pikemminkin automaatiojärjestelmä. Automaatiojärjestelmien tietoturvan erityispiirteitä on käsitelty lähteessä [6]. Smart Gridissä yhdistyvät näiden järjestelmien haasteet uudella tavalla ja ennennäkemättömässä mittakaavassa.

IT:n ja automaation eroa kuvaa osuvasti yleistys ”-- IT uses ’physics to manipulate data’ while an ICS uses ’data to manipulate physics’” [7 s.3]. Englanniksi käytetään usein termiä "cyber-physical system". Smart Grid -aiheinen video [8] näyttää kouriintuntuvasti, miksi automaatiojärjestelmien tietoturva on erityisen olennaista. Kuten esiintyjä toteaa, videolla nähtävät viat johtuvat "perinteisistä" syistä, mutta tulevaisuudessa tietoturvapoikkeamat voisivat aiheuttaa vastaavia ongelmia.

Smart Grid mahdollistaa paljon uusia toiminnallisuuksia. Tietoturva-ammattilaiselle uudet mahdollisuudet ja ominaisuudet tarkoittavat aina potentiaalisia uusia haavoittuvuuksia (laajempi hyökkäyspinta-ala, useampia hyökkäysvektoreita). Otetaan esimerkiksi kysyntäjoustoskenaario: asiakas on sopinut, että kulutushuipun aikana sähköyhtiö voi kytkeä tiettyjä laitteita tai vaikka lämmityksen hetkellisesti pois päältä rahallista korvausta vastaan. Jos tekniikka tällaiseen etäohjaukseen tai laitteiden automaattiseen poiskytkeytymiseen on olemassa, siitä todennäköisesti löytyy haavoittuvuuksia ja sitä voidaan myös väärinkäyttää. Älykkään sähköverkon kaikkia potentiaalisia sovellutuksia ei vielä tiedetä. Kääntäen se tarkoittaa, että myöskään kaikkia uusia hyökkäysmahdollisuuksia ei tiedetä.

Eri toimijoiden näkökulmia ja tietoturvatarpeita

Smart Gridin eri toimijoilla on erilaisia tarpeita ja näkökulmia tietoturvaan liittyen. Intressiryhmiin jaottelua löytyy eri lähteistä (mm. [9 ss.20-22], [10]), tässä käytetään seuraavaa ryhmittelyä:
  • sähkön kuluttaja (yksityishenkilöt/yritysasiakkaat)
  • sähköverkkoyhtiö (ja muut verkkotason toimijat)
  • koko yhteiskunta (kansallinen/valtiollinen taso)

Kuluttajalle tärkeintä on, että sähköä on aina luotettavasti ja turvallisesti saatavilla, kohtuulliseen hintaan. Laskutuksen tulee tapahtua oikein ja yksityisyyttä ei saa loukata. Luottamuksellisuuden kannalta tärkeitä ovat totutusti mm. laskutustiedot sekä henkilö- ja osoitetiedot. Uutena asiana älymittari mahdollistaa kulutuksen tarkan, lähes reaaliaikaisen seurannan (mistä voi päätellä onko asukas kotona, mitä laitteita käytetään jne.). Lähteen [10 ss.22-28] mukaan kuluttajaa koskevia uhkakuvia ovat mm. varkaat (jotka päättelevät kulutustiedoista, koska asukas kotona), hakkerit (erilaisia motiiveja), kostonhaluiset/vihamieliset hyökkääjät (esim. naapuri, työntekijä), ekoterroristit, hallituksen taholta tulevat uhat (lähinnä yksityisyydelle), tietosodankäynti, sähköyhtiöiden tahattomat vahingot, jne.

Sähköverkkoyhtiön kannalta tietoturva koskee monia asioita. Kuluttaja on pohjimmiltaan yhdistettynä koko valtavaan sähköverkkoinfrastruktuuriin. Verkkoyhtiön kannalta mikä tahansa loppupiste (asiakas) voi olla verkkoon kohdistuvan hyökkäyksen lähde. Kaikki verkon osat ovat jollain tavoin yhteydessä toisiinsa, ja monimutkaisessa järjestelmässä pienetkin viat saattavat edetä hallitsemattomasti laajoille alueille. Verkkoyhtiön omat työntekijät tuntevat verkon ja laitteet ja saattavat aiheuttaa sisäisiä uhkia. Yhtiön maine voi kärsiä pahasti tietoturvaongelmien seurauksena. Tietoturvan kannalta haasteellista on myös organisaatioiden ja yritysten välinen tiedonsiirto ja järjestelmien integrointi. Esimerkiksi mittarinluenta usein ulkoistetaan sähköyhtiöltä jollekin palveluntarjoajalle. Yritysten välillä liikkkuu valtavia määriä käyttäjien kannalta yksityisiä tietoja, joiden luottamuksellisuudesta on huolehdittava. Viranomaiset saattavat poikkeustilanteissa tarvita erilaisia tietoja, ja asettavat vaatimuksia niiden saatavuudelle.

Yhteiskunnan toiminnan kannalta sähköverkko on osa kriittistä infrastruktuuria. Moderni yhteiskunta lamaantuu nopeasti ilman sähköä. Sähköverkko voi vaurioitua pahoin esimerkiksi luonnonilmiöistä johtuen. Tietoturvan kannalta mielenkiintoisempia ovat erilaiset tahalliset hyökkäykset. Smart Grid on otollinen kohde ilkivallalle, haktivismille tai terrorismille. Täysimittaisessa tietosodankäynnissä se on myös takuuvarma hyökkäyskohde. Onnistunut tietoverkkohyökkäys voidaan toteuttaa ylittämättä konventionaalisen sodankäynnin kynnystä. Hyökkääjän todellista identiteettiä ei välttämättä voida varmistaa, mikä hankaloittaa (sotilaallisten) vastatoimien aloittamista. Tietosodankäynti on laaja alue eikä sitä käsitellä tässä tarkemmin. Olennaista on, että tietoturva tulee mitoittaa mahdolliset valtiollisen tason hyökkääjät huomioon ottaen. Pitkäkestoinen tiedustelu ja erittäin kehittyneet, monimutkaiset hyökkäykset (ns. APT, advanced persistent threat [11]) ovat mahdollisia.

Älykäs sähkömittari ja sen tietoturvahaasteet

Etäluettavien, älykkäiden sähkömittarien muodostama Advanced Metering Infrastructure (AMI) on olennainen osa Smart Gridiä. Älykäs sähkömittari on malliesimerkki laitteesta, jossa realisoituvat monet hajautettuja automaatiojärjestelmiä koskevat tietoturvahaasteet (kts. [6]).

Mittareita asennetaan miljoonia kappaleita, joten laitteen tulee olla edullinen (tämä rajoittaa muistikapasiteettia ja laskentatehoa). Perinteisten mittarien kohdalla on totuttu kymmenien vuosien käyttöikään [12]. Jää nähtäväksi, kuinka pitkä elinkaari älymittarille on mahdollinen, mittareita on jo jouduttu vaihtamaan [13]. Työkustannusten vuoksi laitteiden jatkuva vaihtaminen ei ole mahdollista, vaikka itse laite olisi kuinka edullinen. On lähtökohtaisesti syytä varautua yli vuosikymmenen mittaisiin elinkaariin, mikä on tietoturvamielessä todella haastavaa.

Mittari voi olla hyökkäyksen kohteena kahdelta suunnalta [14 s.84]. Verkon suunnalta tulevan hyökkäyksen tarkoituksena on aiheuttaa haittaa kuluttajalle. Jos mittari saadaan vaikkapa näyttämään virheellistä sähkön hintatietoa, saattavat kuluttajan älykkäät laitteet kytkeytyä odottamattomasti päälle tai pois. Laajassa mittakaavassa tämä voi aiheuttaa ongelmia jo koko verkon stabiiliudelle. Toisaalta kuluttaja voi yrittää väärinkäyttää mittaria. Kuluttajalla on fyysinen pääsy laitteeseen, ja kohtuullisella tietotaidolla sen murtaminen ei välttämättä ole vaikeaa [12]. On syytä muistaa, että mittari pohjimmiltaan määrittelee sähkön kuluttajan ja tuottajan välisen rahavirran suuruuden. Tulevaisuuden hajautetun tuotannon skenaarioissa kuluttaja voi kuluttaa sähköä verkosta. Peukaloitu mittari kuitenkin näyttää verkkoyhtiölle, että kuluttaja on myynyt omaa tuotantoaan verkkoon, jolloin verkkoyhtiö maksaakin kuluttajalle. [14 s.108]

Langattomasti dataa lähettävät mittarit voivat aiheuttaa ongelmia yksityisyyden suojan suhteen. Tiedonsiirron pitäisi tietenkin olla salattua, mutta sitä se ei todellisuudessa aina ole, mikä voi johtaa yksityisyyden loukkauksiin [15]. Voi myös olla, että mahdollinen salaus on kohtuullinen tänä päivänä, mutta ei riitä koko mittarin pitkän elinkaaren ajalle. Osittain yksityisyyteen liittyvistä uhkakuvista johtuen älymittarit ovat myös kohdanneet poikkeuksellisen suurta vastustusta erityisesti Yhdysvalloissa [16 s.8]. Mittarien tietoturvassa on monien mielestä paljon kehitettävää [17].

Yhteenveto

Smart Grid on tietoturvamielessä täysin uudenlainen ympäristö, niin luonteeltaan, laajuudeltaan kuin tärkeydeltäänkin. Se luo uusia mahdollisuuksia, mutta toteutuksessa on monia haasteita, eikä vähiten tietoturvan kannalta. Riskit on syytä tiedostaa ja varautua niihin etukäteen. IT-ympäristöistä on opittu tietoturvan olevan helpointa ja halvinta, kun se alusta alkaen "sisäänrakennetaan" järjestelmään. Smart Gridin tietoturvallisessa toteutuksessa päästään pitkälle olemassa olevia työkaluja ja oppeja hyödyntämällä. Sen kehityksessä tarvitaan tietoturva-ammattilaisia, jotka ymmärtävät kattavasti monia aloja: tietotekniikkaa, ohjelmistoja, tietoliikennetekniikka, automaatiotekniikka ja sähkötekniikkaa.

Lähteet

Muita lähteitä ja lisätietoa aiheesta kiinnostuneille

SivuTiedotLaajennettu edit

Vaativuus Jatko
Valmius Valmis
Tyyppi Ydin
Luokitus Muu
Mitä Useita
Miltä Useita
Missä Useita
Kuka Tite-maallikko
Milloin Muu
Miksi Muu
Topic attachments
I Attachment Action Size Date Who Comment
NIST_SG_framework_domains.pngpng NIST_SG_framework_domains.png manage 130.1 K 24 Nov 2012 - 21:05 RistoEerola NIST Smart Grid interoperability different domains
smart_meter_by_share_alike_CC_2996254784_9237c8028d_m.jpgjpg smart_meter_by_share_alike_CC_2996254784_9237c8028d_m.jpg manage 15.6 K 24 Nov 2012 - 23:40 RistoEerola Smart meter flickr traftery
Print version |  PDF  | History: r12 < r11 < r10 < r9 | 
Topic revision: r12 - 11 Dec 2012 - 02:27:40 - RistoEerola
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback