Bijna elke dag, nieuwskoppen kondigen een nieuwe inbreuk op de beveiliging en de diefstal van creditcardnummers en andere persoonlijke informatie aan. Hoewel een gestolen creditcard vervelend en verontrustend kan zijn, een veel belangrijker, maar minder erkend, zorg is de veiligheid van de fysieke infrastructuur, inclusief energiesystemen.

"Bij een creditcarddiefstal, je moet misschien $ 50 betalen en een nieuwe creditcard krijgen, " zegt Stuart Madnick, de John Norris Maguire hoogleraar informatietechnologie aan de Sloan School of Management, een professor in technische systemen aan de School of Engineering, en stichtend directeur van het Cybersecurity bij MIT Sloan-consortium. "Maar met infrastructuuraanvallen, echte fysieke schade kan optreden, en herstel kan weken of maanden duren."

Enkele voorbeelden tonen de dreiging aan. In 2008, een vermeende cyberaanval heeft een oliepijpleiding in Turkije opgeblazen, het afsluiten voor drie weken; in 2009, de kwaadaardige Stuxnet-computerworm vernietigde honderden Iraanse centrifuges, het verstoren van het nucleaire brandstofverrijkingsprogramma van dat land; en anno 2015, een aanval bracht een deel van het Oekraïense elektriciteitsnet naar beneden - slechts zes uur lang, maar onderstations op het net moesten maandenlang handmatig worden bediend.

Volgens Madnick, voor tegenstanders om een ​​succesvolle aanval op te zetten, ze moeten het vermogen hebben, de kans, en de motivatie. Bij recente incidenten alle drie de factoren zijn op elkaar afgestemd, en aanvallers hebben grote fysieke systemen verlamd.

"Het goede nieuws is dat, althans in de Verenigde Staten, dat hebben we nog niet echt meegemaakt, ", zegt Madnick. Maar hij gelooft dat "het alleen de motivatie is die ontbreekt." Bij voldoende motivatie, aanvallers overal ter wereld kunnen, bijvoorbeeld, het geheel of gedeeltelijk van het onderling verbonden elektriciteitsnet van het land platleggen of de stroom van aardgas door de 2,4 miljoen mijl lange pijpleiding van het land stoppen. En hoewel noodvoorzieningen en brandstofvoorraden de boel een paar dagen kunnen laten draaien, het zal waarschijnlijk veel langer duren om systemen te repareren die aanvallers hebben beschadigd of opgeblazen.

"Dat zijn enorme gevolgen die ons dagelijks leven zouden beïnvloeden, ' zegt Madnick. 'En het staat niet op de radar van de meeste mensen. Maar hopen dat het niet zal gebeuren, is niet bepaald een veilige manier om door het leven te gaan." Hij is er vast van overtuigd dat "het ergste nog moet komen".

De uitdaging voor de industrie

Het waarborgen van de cyberbeveiliging van energiesystemen is een groeiende uitdaging. Waarom? De industriële faciliteiten van vandaag zijn in hoge mate afhankelijk van software voor fabrieksbesturing, in plaats van op traditionele elektromechanische apparaten. In sommige gevallen, zelfs functies die cruciaal zijn voor het waarborgen van de veiligheid zijn bijna volledig in software geïmplementeerd. In een typische industriële faciliteit, tientallen programmeerbare computersystemen verspreid over de fabriek bieden lokale controle over processen, bijvoorbeeld het waterpeil in een ketel op een bepaald setpoint houden. Die apparaten werken allemaal samen met een "toezicht"-systeem op een hoger niveau dat operators in staat stelt de lokale systemen en de algehele werking van de fabriek te controleren, op locatie of op afstand. In de meeste faciliteiten deze programmeerbare computersystemen vereisen geen authenticatie om instellingen te wijzigen. Gezien deze opstelling, een cyberaanvaller die toegang krijgt tot de software in het lokale of het toezichthoudende systeem, kan schade of verstoring van de dienstverlening veroorzaken.

De traditionele benadering die wordt gebruikt om kritieke controlesystemen te beschermen, is om ze te "luchtspleet" - dat wil zeggen:scheid ze van het openbare internet, zodat indringers ze niet kunnen bereiken. Maar in de huidige wereld van hoge connectiviteit, een luchtspleet garandeert niet langer veiligheid. Bijvoorbeeld, bedrijven huren vaak onafhankelijke contractanten of verkopers in om gespecialiseerde apparatuur in hun faciliteiten te onderhouden en te controleren. Om die taken uit te voeren, de aannemer of leverancier heeft toegang nodig tot realtime operationele gegevens, informatie die over het algemeen via internet wordt verzonden. In aanvulling, legitieme zakelijke behoeften, zoals het overzetten van bestanden en het updaten van software, vereist het gebruik van USB-sticks, die onbedoeld de integriteit van de luchtspleet in gevaar kunnen brengen, waardoor een plant kwetsbaar wordt voor cyberaanvallen.

Op zoek naar kwetsbaarheden

Bedrijven werken actief aan het aanscherpen van hun beveiliging, maar meestal pas nadat er een incident heeft plaatsgevonden. "Dus we hebben de neiging om door de achteruitkijkspiegel te kijken, ", zegt Madnick. Hij benadrukt de noodzaak om de kwetsbaarheden van een systeem te identificeren en te verminderen voordat zich een probleem voordoet.

De traditionele methode om cyberkwetsbaarheden te identificeren, is door een inventaris op te maken van alle componenten, elk van hen onderzoeken om eventuele kwetsbaarheden te identificeren, deze kwetsbaarheden te verminderen, en aggregeer vervolgens de resultaten om het algehele systeem te beveiligen. Maar die benadering is gebaseerd op twee belangrijke vereenvoudigende aannames, zegt Shaharyar Khan, een fellow van het MIT System Design and Management-programma. Het gaat ervan uit dat gebeurtenissen altijd in een enkele, lineaire richting, dus de ene gebeurtenis veroorzaakt een andere gebeurtenis, die een andere gebeurtenis veroorzaakt, enzovoort, zonder feedbackloops of interacties om de sequentie te compliceren. En het gaat ervan uit dat het begrijpen van het gedrag van elk afzonderlijk onderdeel voldoende is om het gedrag van het totale systeem te voorspellen.

Maar die veronderstellingen gelden niet voor complexe systemen - en moderne regelsystemen in energiefaciliteiten zijn extreem complex, software-intensief, en samengesteld uit sterk gekoppelde componenten die op vele manieren op elkaar inwerken. Als resultaat, zegt Khan, "het totale systeem vertoont gedrag dat de afzonderlijke componenten niet vertonen" - een eigenschap die in de systeemtheorie bekend staat als emergentie. "We beschouwen veiligheid en beveiliging als opkomende eigenschappen van systemen, ", zegt Khan. De uitdaging is daarom om het optredende gedrag van het systeem te beheersen door nieuwe beperkingen te definiëren, een taak die inzicht vereist in hoe alle op elkaar inwerkende factoren op het werk - van mensen tot apparatuur tot externe regelgeving en meer - uiteindelijk van invloed zijn op de systeemveiligheid.

Om een ​​analysetool te ontwikkelen die deze uitdaging aangaat, Madnick, Khan, en James L. Kirtley Jr., hoogleraar elektrotechniek, wendde zich eerst tot een methodologie genaamd System Theoretic Accident Model and Process, die meer dan 15 jaar geleden werd ontwikkeld door MIT-professor Nancy Leveson van luchtvaart en ruimtevaart. Met dat werk als basis, ontwikkelden ze "Cyberveiligheid, " een analytische methode die specifiek is toegesneden op cybersecurity-analyse van complexe industriële controlesystemen.

Om de Cybersafety-procedure toe te passen op een faciliteit, een analist begint met het beantwoorden van de volgende vragen:

• Wat is het belangrijkste doel van het systeem dat wordt geanalyseerd; dat is, wat moet je beschermen? Het beantwoorden van die vraag klinkt misschien eenvoudig, maar Madnick merkt op, "Verrassend genoeg, als we bedrijven vragen wat hun 'kroonjuwelen' zijn, ze hebben vaak moeite om ze te identificeren."
• Gezien dat hoofddoel, wat is het ergste dat er met het systeem kan gebeuren? Het definiëren van het hoofddoel en de ergst mogelijke verliezen is de sleutel tot het begrijpen van het doel van de analyse en de beste toewijzing van middelen voor mitigatie.
• Wat zijn de belangrijkste gevaren die tot dat verlies kunnen leiden? Als een eenvoudig voorbeeld, natte trappen in een faciliteit is een gevaar; iemand van de trap laten vallen en een enkel breken is een verlies.
• Wie of wat controleert dat gevaar? In het bovenstaande voorbeeld, de eerste stap is om te bepalen wie of wat de staat van de trap controleert. De volgende stap is vragen, Wie of wat controleert die controller? En dan, Wie of wat controleert die controller? Door die vraag recursief te beantwoorden en de feedbackloops tussen de verschillende controllers in kaart te brengen, ontstaat een hiërarchische besturingsstructuur die verantwoordelijk is voor het in een acceptabele staat houden van de staat van de trap.

Gezien de volledige controlestructuur, de volgende stap is de vraag:welke controleacties zouden door een controller kunnen worden ondernomen die onveilig zouden zijn gezien de toestand van het systeem? Bijvoorbeeld, als een aanvaller de feedback van een belangrijke sensor corrumpeert, een controller zal de werkelijke toestand van het systeem niet kennen en kan daarom een ​​onjuiste actie ondernemen, of kan de juiste acties ondernemen, maar op het verkeerde moment of in de verkeerde volgorde - die allemaal tot schade zouden leiden.

Op basis van het nu diepere begrip van het systeem, de analist veronderstelt vervolgens een reeks verliesscenario's die voortkomen uit onveilige controleacties en onderzoekt hoe de verschillende controllers kunnen interageren om een ​​onveilige opdracht te geven. "Op elk niveau van de analyse we proberen de beperkingen van het gecontroleerde proces te identificeren dat, indien geschonden, zou ertoe leiden dat het systeem in een onveilige toestand terechtkomt, " zegt Khan. Bijvoorbeeld, een beperking zou kunnen zijn dat de stoomdruk in een ketel een bepaalde bovengrens niet mag overschrijden om te voorkomen dat de ketel door overdruk barst.

"Door die beperkingen voortdurend te verfijnen terwijl we door de analyse gaan, we zijn in staat om nieuwe vereisten te definiëren die de veiligheid en beveiliging van het totale systeem zullen garanderen, "zegt hij. "Dan kunnen we praktische stappen identificeren voor het afdwingen van naleving van die beperkingen door middel van systeemontwerp, processen en procedures, of sociale controles zoals bedrijfscultuur, wettelijke vereisten, of verzekeringspremies."

Casestudy's

Om de mogelijkheden van cyberveiligheidsanalyse te demonstreren, Khan koos een 20 megawatt, gasturbinecentrale - een kleine faciliteit die alle elementen van een grootschalige elektriciteitscentrale op het net heeft. In een analyse hij onderzocht het besturingssysteem van de gasturbine, met name gericht op hoe de software die de brandstofregelklep bestuurt, kan worden gewijzigd om verliezen op systeemniveau te veroorzaken.

Het uitvoeren van de Cybersafety-analyse leverde verschillende turbinegerelateerde verliesscenario's op met branden of explosies, catastrofale apparatuurstoring, en uiteindelijk het onvermogen om stroom op te wekken.

Bijvoorbeeld, in een scenario, de aanvaller schakelt het digitale beveiligingssysteem van de turbine uit en verandert de logica in de software die de brandstofregelklep bestuurt om de klep open te houden wanneer deze gesloten zou moeten zijn, voorkomen dat brandstof in de turbine stroomt. Als de turbine dan plotseling wordt losgekoppeld van het net, het begint sneller te draaien dan zijn ontwerplimiet en zal uiteenvallen, apparatuur in de buurt beschadigen en werknemers in het gebied schade toebrengen.

De Cybersafety-analyse bracht de bron van die kwetsbaarheid aan het licht:een bijgewerkte versie van het besturingssysteem had een back-up mechanische boutconstructie geëlimineerd die de turbine "over-speed" bescherming verzekerde. In plaats daarvan, bescherming tegen te hoge snelheid werd volledig in software geïmplementeerd.

Die verandering was logisch vanuit een zakelijk perspectief. Een mechanisch apparaat vereist regelmatig onderhoud en testen, en die tests onderwerpen de turbine aan zulke extreme spanningen dat deze soms faalt. Echter, gezien het belang van cyberbeveiliging, het kan verstandig zijn om de mechanische bout terug te brengen als een op zichzelf staand veiligheidsapparaat - of op zijn minst om stand-alone elektronische beveiliging tegen te hoge snelheid te beschouwen als een laatste verdedigingslinie.

Een andere case study was gericht op systemen die worden gebruikt om gekoeld water en airconditioning te leveren aan de gebouwen die worden bediend. Alweer, de Cybersafety-analyse bracht meerdere verliesscenario's aan het licht; in dit geval, de meeste hadden één oorzaak gemeen:het gebruik van frequentieregelaars (VFD's) om de snelheid aan te passen van motoren die waterpompen en compressoren aandrijven.

Zoals alle motoren, de motor die de compressor van de koelmachine aandrijft, heeft bepaalde kritische snelheden waarbij mechanische resonantie optreedt, overmatige trillingen veroorzaken. VFD's zijn meestal geprogrammeerd om die kritische snelheden tijdens het opstarten van de motor over te slaan. Maar sommige VFD's zijn programmeerbaar via het netwerk. Dus, een aanvaller kan een VFD opvragen voor de kritieke snelheid van de aangesloten motor en deze vervolgens opdracht geven de motor met die gevaarlijke snelheid aan te drijven, het permanent beschadigen.

"Dit is een eenvoudig soort aanval; het vereist niet veel verfijning, ", zegt Khan. "Maar het zou kunnen worden gelanceerd en catastrofale schade kunnen veroorzaken." Hij citeert eerder werk uitgevoerd door Matthew Angle '07, MEng '11, doctoraat '16, in samenwerking met Madnick en Kirtley. Als onderdeel van een onderzoek uit 2017 naar cyberaanvallen op industriële controlesystemen, Angle bouwde een motortestkit op laboratoriumschaal, uitgerust met een complete VFD met computercode die de onderzoekers kennen. Door simpelweg een paar belangrijke coderegels te wijzigen, ze zorgden ervoor dat condensatoren in de VFD explodeerden, rook naar de binnenplaats achter hun MIT-lab sturen. In een industriële omgeving met VFD's op ware grootte, een vergelijkbare cyberaanval kan aanzienlijke structurele schade veroorzaken en mogelijk schade toebrengen aan personeel.

Gezien dergelijke mogelijkheden, het onderzoeksteam raadt bedrijven aan om goed na te denken over de "functionaliteit" van de apparatuur in hun systeem. Vele keren, fabriekspersoneel is zich niet eens bewust van de mogelijkheden die hun apparatuur biedt. Bijvoorbeeld, ze realiseren zich misschien niet dat een VFD die een motor in hun fabriek aandrijft, kan worden gemaakt om in omgekeerde richting te werken door een kleine verandering in de computercode die deze bestuurt - een duidelijke cyberkwetsbaarheid. Om die kwetsbaarheid te verwijderen, zou een VFD met minder functionaliteit moeten worden gebruikt. "Goede engineering om dergelijke kwetsbaarheden te verwijderen, kan soms ten onrechte worden gekarakteriseerd als een stap achteruit, maar het kan nodig zijn om de veiligheidshouding van een fabriek te verbeteren, ", zegt Khan. Een volledige cyberveiligheidsanalyse van een systeem zal niet alleen dergelijke problemen aan het licht brengen, maar ook de strategische plaatsing van analoge sensoren en andere redundante feedbackloops begeleiden die de veerkracht van de systeemwerking zullen vergroten.

De uitdaging aangaan

Tijdens hun onderzoek naar cyberbeveiliging Khan, Madnick, en hun collega's hebben ontdekt dat kwetsbaarheden vaak terug te voeren zijn op menselijk gedrag, evenals managementbeslissingen. In een geval, een bedrijf had de standaard toegangscode voor zijn apparatuur in de gebruikershandleiding opgenomen, publiekelijk beschikbaar op internet. Andere gevallen betroffen operators die USB-drives en persoonlijke laptops rechtstreeks op het fabrieksnetwerk aansluiten, waardoor de luchtspleet wordt doorbroken en zelfs malware in het fabriekscontrolesysteem wordt geïntroduceerd.

In een geval, een nachtwerker downloadde films op een plantcomputer met behulp van een USB-stick. Maar vaak werden dergelijke acties ondernomen als onderdeel van wanhopige pogingen om een ​​momenteel gesloten fabriek weer operationeel te krijgen. "In het grote schema van prioriteiten, Ik begrijp dat focussen op het weer aan de gang krijgen van de fabriek onderdeel is van de cultuur, " zegt Madnick. "Helaas, de dingen die mensen doen om hun plant draaiende te houden, brengen de plant soms zelfs nog meer in gevaar."

Het mogelijk maken van een nieuwe cultuur en mentaliteit vereist een serieuze inzet voor cyberbeveiliging in de beheerketen. Mitigatiestrategieën zullen waarschijnlijk een herontwerp van het controlesysteem vereisen, nieuwe apparatuur kopen, of het aanbrengen van wijzigingen in processen en procedures die mogelijk extra kosten met zich meebrengen. Gezien wat er op het spel staat, het management moet dergelijke investeringen niet alleen goedkeuren, maar ook om hun organisaties een gevoel van urgentie te geven om kwetsbaarheden te identificeren en te elimineren of te verminderen.

Op basis van hun studies, de onderzoekers concluderen dat het onmogelijk is om te garanderen dat een industrieel controlesysteem nooit zijn netwerkverdediging zal doorbreken. "Daarom, het systeem moet zo zijn ontworpen dat het bestand is tegen de effecten van een aanval, ", zegt Khan. "Cyberveiligheidsanalyse is een krachtige methode omdat het een hele reeks vereisten genereert - niet alleen technische maar ook organisatorische, logistiek, en procedureel - dat kan de veerkracht van elk complex energiesysteem tegen een cyberaanval verbeteren."

Dit verhaal is opnieuw gepubliceerd met dank aan MIT News (web.mit.edu/newsoffice/), een populaire site met nieuws over MIT-onderzoek, innovatie en onderwijs.