• Home
  • Química
  • Astronomía
  • Energía
  • Naturaleza
  • Biología
  • Física
  • Electrónica
  • Protegiendo nuestra infraestructura energética de ciberataques

    cantar su metodología "Cybersafety", Profesor Stuart Madnick (izquierda), estudiante graduado Shaharyar Khan (derecha), y el profesor James Kirtley Jr. (no en la foto) identificaron varias vulnerabilidades cibernéticas en una pequeña planta de energía, incluido un sistema que presenta un riesgo porque se basa en software en lugar de dispositivos de seguridad mecánicos para evitar que las turbinas giren fuera de control. Crédito:Stuart Darsch

    Casi todos los días, Los titulares de las noticias anuncian otra infracción de seguridad y el robo de números de tarjetas de crédito y otra información personal. Si bien el robo de la tarjeta de crédito puede ser molesto e inquietante, mucho más significativo, aún menos reconocido, La preocupación es la seguridad de la infraestructura física, incluidos los sistemas de energía.

    "Con un robo de tarjeta de crédito, es posible que deba pagar $ 50 y obtener una nueva tarjeta de crédito, "dice Stuart Madnick, el profesor John Norris Maguire de tecnologías de la información en la Sloan School of Management, profesor de sistemas de ingeniería en la Facultad de Ingeniería, y director fundador de Cybersecurity en el consorcio MIT Sloan. "Pero con los ataques a la infraestructura, puede ocurrir un daño físico real, y la recuperación puede llevar semanas o meses ".

    Algunos ejemplos demuestran la amenaza. En 2008, un supuesto ciberataque hizo estallar un oleoducto en Turquía, apagarlo durante tres semanas; en 2009, el gusano informático malicioso Stuxnet destruyó cientos de centrifugadoras iraníes, interrumpir el programa de enriquecimiento de combustible nuclear de ese país; y en 2015, un ataque derribó una sección de la red eléctrica de Ucrania, durante solo seis horas, pero las subestaciones de la red tuvieron que funcionar manualmente durante meses.

    Según Madnick, para que los adversarios monten un ataque exitoso, deben tener la capacidad, la oportunidad, y la motivación. En incidentes recientes, los tres factores se han alineado, y los atacantes han paralizado los principales sistemas físicos.

    "La buena noticia es que, al menos en los Estados Unidos, realmente no hemos experimentado eso todavía, "dice Madnick. Pero él cree que" lo único que falta es motivación ". Dada la motivación suficiente, los atacantes en cualquier parte del mundo podrían, por ejemplo, derribar parte o la totalidad de la red eléctrica interconectada del país o detener el flujo de gas natural a través de las 2.4 millones de millas de gasoductos del país. Y aunque las instalaciones de emergencia y los suministros de combustible pueden mantener las cosas funcionando durante unos días, Es probable que lleve mucho más tiempo reparar los sistemas que los atacantes han dañado o explotado.

    "Esos son impactos masivos que afectarían nuestra vida diaria, "dice Madnick." Y no está en el radar de la mayoría de la gente. Pero esperar que no suceda no es exactamente una forma segura de vivir la vida ". Cree firmemente que" lo peor está por venir ".

    El desafío para la industria

    Garantizar la ciberseguridad de los sistemas energéticos es un desafío cada vez mayor. ¿Por qué? Las instalaciones industriales de hoy dependen en gran medida del software para el control de la planta, en lugar de dispositivos electromecánicos tradicionales. En algunos casos, incluso las funciones críticas para garantizar la seguridad se implementan casi por completo en el software. En una instalación industrial típica, docenas de sistemas informáticos programables distribuidos por toda la planta proporcionan control local de los procesos, por ejemplo, mantener el nivel del agua en una caldera en un determinado punto de ajuste. Todos esos dispositivos interactúan con un sistema de "supervisión" de nivel superior que permite a los operadores controlar los sistemas locales y el funcionamiento general de la planta. ya sea en el sitio o de forma remota. En la mayoría de las instalaciones, Estos sistemas informáticos programables no requieren autenticación para modificar la configuración. Dada esta configuración, un atacante cibernético que obtiene acceso al software en el sistema local o de supervisión puede causar daños o interrupción del servicio.

    El enfoque tradicional utilizado para proteger los sistemas de control críticos es "hacerles un espacio de aire", es decir, sepárelos de la Internet pública para que los intrusos no puedan acceder a ellos. Pero en el mundo actual de alta conectividad, un espacio de aire ya no garantiza la seguridad. Por ejemplo, las empresas a menudo contratan contratistas o proveedores independientes para mantener y monitorear equipos especializados en sus instalaciones. Para realizar esas tareas, el contratista o proveedor necesita acceso a datos operativos en tiempo real, información que generalmente se transmite a través de Internet. Además, necesidades comerciales legítimas, como transferir archivos y actualizar software, requieren el uso de memorias USB, que puede poner en peligro inadvertidamente la integridad del espacio de aire, dejando una planta vulnerable al ciberataque.

    Buscando vulnerabilidades

    Las empresas trabajan activamente para reforzar su seguridad, pero normalmente solo después de que ha ocurrido algún incidente. "Por eso, tendemos a mirar por el espejo retrovisor, "dice Madnick. Él enfatiza la necesidad de identificar y mitigar las vulnerabilidades de un sistema antes de que surja un problema.

    El método tradicional de identificar las vulnerabilidades cibernéticas es crear un inventario de todos los componentes, examinar cada uno para identificar cualquier vulnerabilidad, mitigar esas vulnerabilidades, y luego agregue los resultados para asegurar el sistema en general. Pero ese enfoque se basa en dos supuestos simplificadores clave, dice Shaharyar Khan, miembro del programa MIT System Design and Management. Asume que los eventos siempre se ejecutan en un solo dirección lineal, por lo que un evento causa otro evento, que causa otro evento, etcétera, sin ciclos de retroalimentación o interacciones que compliquen la secuencia. Y asume que comprender el comportamiento de cada componente de forma aislada es suficiente para predecir el comportamiento del sistema en general.

    Pero esas suposiciones no son válidas para sistemas complejos, y los sistemas de control modernos en las instalaciones de energía son extremadamente complejos, intensivo en software, y está formado por componentes altamente acoplados que interactúan de muchas formas. Como resultado, dice Khan, "el sistema en general exhibe comportamientos que los componentes individuales no tienen", una propiedad conocida en la teoría de sistemas como emergencia. "Consideramos que la seguridad y la protección son propiedades emergentes de los sistemas, ", dice Khan. Por lo tanto, el desafío es controlar el comportamiento emergente del sistema mediante la definición de nuevas restricciones, una tarea que requiere comprender cómo todos los factores que interactúan en el trabajo, desde las personas hasta los equipos, las regulaciones externas y más, finalmente impactan la seguridad del sistema.

    Desarrollar una herramienta analítica a la altura de ese desafío, Madnick, Kan, y James L. Kirtley Jr., un profesor de ingeniería eléctrica, primero recurrió a una metodología llamada Modelo y proceso de accidentes teóricos de sistemas, que fue desarrollado hace más de 15 años por la profesora de aeronáutica y astronáutica del MIT, Nancy Leveson. Con ese trabajo como base, desarrollaron "Cybersafety, "un método analítico diseñado específicamente para el análisis de ciberseguridad de sistemas de control industrial complejos.

    Para aplicar el procedimiento de Cybersafety a una instalación, un analista comienza respondiendo las siguientes preguntas:

    • ¿Cuál es el propósito principal del sistema que se analiza? es decir, ¿Qué necesitas proteger? Responder esa pregunta puede parecer sencillo, pero Madnick señala, "Asombrosamente, cuando preguntamos a las empresas cuáles son sus 'joyas de la corona', a menudo tienen problemas para identificarlos ".
    • Dado ese propósito principal, ¿Qué es lo peor que le puede pasar al sistema? Definir el propósito principal y las peores pérdidas posibles es clave para comprender el objetivo del análisis y la mejor asignación de recursos para la mitigación.
    • ¿Cuáles son los peligros clave que podrían provocar esa pérdida? Como un simple ejemplo, tener escaleras mojadas en una instalación es un peligro; que alguien se caiga por las escaleras y se rompa un tobillo es una pérdida.
    • ¿Quién o qué controla ese peligro? En el ejemplo anterior, el primer paso es determinar quién o qué controla el estado de las escaleras. El siguiente paso es preguntar, ¿Quién o qué controla ese controlador? Y luego, ¿Quién o qué controla ese controlador? Responder esa pregunta de forma recursiva y mapear los circuitos de retroalimentación entre los diversos controladores produce una estructura de control jerárquica responsable de mantener el estado de las escaleras en una condición aceptable.

    Dada la estructura de control total, el siguiente paso es preguntar:¿Qué acciones de control podría tomar un controlador que no serían seguras dado el estado del sistema? Por ejemplo, si un atacante corrompe los comentarios de un sensor clave, un controlador no conocerá el estado real del sistema y, por lo tanto, puede tomar una acción incorrecta, o puede tomar las acciones correctas pero en el momento incorrecto o en el orden incorrecto, cualquiera de las cuales podría provocar daños.

    Descripción general del análisis de seguridad cibernética:esta figura resume los pasos que toma un analista para realizar un análisis de seguridad cibernética. Crédito:Instituto de Tecnología de Massachusetts

    Basado en la comprensión ahora más profunda del sistema, A continuación, el analista formula la hipótesis de una serie de escenarios de pérdida derivados de acciones de control inseguras y examina cómo los distintos controladores podrían interactuar para emitir un comando inseguro. "En cada nivel del análisis, tratamos de identificar las limitaciones en el proceso que se controla que, si es violado, daría como resultado que el sistema pasara a un estado inseguro, "dice Khan. Por ejemplo, una restricción podría dictar que la presión del vapor dentro de una caldera no debe exceder un cierto límite superior para evitar que la caldera explote debido a la sobrepresión.

    "Al refinar continuamente esas restricciones a medida que avanzamos en el análisis, somos capaces de definir nuevos requisitos que garantizarán la seguridad y protección del sistema en general, ", dice." Entonces podemos identificar pasos prácticos para hacer cumplir esas restricciones a través del diseño del sistema, procesos y procedimientos, o controles sociales como la cultura de la empresa, los requisitos reglamentarios, o incentivos de seguros ".

    Estudios de caso

    Para demostrar las capacidades del análisis de seguridad cibernética, Khan seleccionó una de 20 megavatios, Planta de energía de turbina de gas:una pequeña instalación que tiene todos los elementos de una planta de energía a gran escala en la red. En un análisis, examinó el sistema de control de la turbina de gas, centrándose en particular en cómo el software que controla la válvula de control de combustible podría modificarse para causar pérdidas a nivel del sistema.

    La realización del análisis de seguridad cibernética arrojó varios escenarios de pérdidas relacionados con las turbinas que implican incendios o explosiones, falla catastrófica del equipo, y, en última instancia, la incapacidad de generar energía.

    Por ejemplo, en un escenario, el atacante desactiva el sistema de protección digital de la turbina y altera la lógica en el software que controla la válvula de control de combustible para mantener la válvula abierta cuando debería estar cerrada, evitar que el combustible fluya hacia la turbina. Si la turbina se desconecta repentinamente de la red, comenzará a girar más rápido que su límite de diseño y se romperá, dañando equipos cercanos y dañando a los trabajadores en el área.

    El análisis de Cybersafety descubrió la fuente de esa vulnerabilidad:una versión actualizada del sistema de control había eliminado un conjunto de perno mecánico de respaldo que aseguraba la protección de la turbina contra "exceso de velocidad". En lugar de, La protección contra exceso de velocidad se implementó completamente en software.

    Ese cambio tenía sentido desde una perspectiva empresarial. Un dispositivo mecánico requiere mantenimiento y pruebas regulares, y esas pruebas someten a la turbina a tensiones tan extremas que a veces falla. Sin embargo, dada la importancia de la ciberseguridad, Sería prudente recuperar el cerrojo mecánico como un dispositivo de seguridad independiente, o al menos considerar los esquemas electrónicos independientes de protección contra exceso de velocidad como una línea de defensa final.

    Otro estudio de caso se centró en los sistemas utilizados para suministrar agua fría y aire acondicionado a los edificios a los que se presta servicio. Una vez más, el análisis de ciberseguridad reveló múltiples escenarios de pérdidas; en este caso, la mayoría tenía una causa en común:el uso de variadores de frecuencia (VFD) para ajustar la velocidad de los motores que impulsan las bombas de agua y los compresores.

    Como todos los motores, el motor que acciona el compresor de la enfriadora tiene ciertas velocidades críticas a las que se produce la resonancia mecánica, causando vibración excesiva. Los VFD generalmente están programados para omitir esas velocidades críticas durante el arranque del motor. Pero algunos VFD se pueden programar a través de la red. Por lo tanto, un atacante puede consultar un VFD por la velocidad crítica del motor adjunto y luego ordenarle que conduzca el motor a esa velocidad peligrosa, dañándolo permanentemente.

    "Este es un tipo de ataque simple; no requiere mucha sofisticación, ", dice Khan." Pero podría ser lanzado y podría causar daños catastróficos ". Cita un trabajo anterior realizado por Matthew Angle '07, MEng '11, Doctor. 'dieciséis, en colaboración con Madnick y Kirtley. Como parte de un estudio de 2017 sobre ciberataques a sistemas de control industrial, Angle construyó un kit de prueba de motores a escala de laboratorio equipado con un VFD completo con un código de computadora familiar para los investigadores. Simplemente alterando algunas líneas clave de código, hicieron explotar los condensadores del VFD, enviando humo al patio detrás de su laboratorio del MIT. En un entorno industrial con VFD de tamaño completo, un ciberataque similar podría causar daños estructurales significativos y potencialmente dañar al personal.

    Dadas tales posibilidades, el equipo de investigación recomienda que las empresas consideren cuidadosamente la "funcionalidad" del equipo en su sistema. Muchas veces, el personal de la planta ni siquiera es consciente de las capacidades que ofrece su equipo. Por ejemplo, Es posible que no se den cuenta de que se puede hacer que un VFD que acciona un motor en su planta opere en dirección inversa mediante un pequeño cambio en el código de computadora que lo controla, una clara vulnerabilidad cibernética. Eliminar esa vulnerabilidad requeriría el uso de un VFD con menos funcionalidad. "Una buena ingeniería para eliminar estas vulnerabilidades a veces se puede caracterizar erróneamente como un retroceso, pero puede ser necesario mejorar la postura de seguridad de una planta, ", dice Khan. Un análisis completo de ciberseguridad de un sistema no solo destacará estos problemas, sino que también guían la ubicación estratégica de sensores analógicos y otros circuitos de retroalimentación redundantes que aumentarán la capacidad de recuperación del funcionamiento del sistema.

    Abordar el desafío

    A lo largo de su investigación sobre ciberseguridad, Kan, Madnick, y sus colegas han descubierto que las vulnerabilidades a menudo se pueden atribuir al comportamiento humano, así como decisiones de gestión. En un caso, una empresa había incluido el código de acceso predeterminado para su equipo en el manual del operador, disponible públicamente en Internet. Otros casos involucraron a operadores que conectaban unidades USB y computadoras portátiles personales directamente a la red de la planta, rompiendo así el espacio de aire e incluso introduciendo malware en el sistema de control de la planta.

    En un caso, un trabajador de la noche a la mañana descargó películas en una computadora de la planta usando una memoria USB. Pero a menudo tales acciones se tomaron como parte de intentos desesperados por volver a poner en funcionamiento una planta actualmente cerrada. "En el gran esquema de prioridades, Entiendo que centrarse en hacer que la planta vuelva a funcionar es parte de la cultura, "dice Madnick." Desafortunadamente, las cosas que la gente hace para mantener su planta en funcionamiento a veces la pone en un riesgo aún mayor ".

    Permitir una nueva cultura y mentalidad requiere un compromiso serio con la ciberseguridad en la cadena de gestión. Es probable que las estrategias de mitigación requieran una reingeniería del sistema de control, comprar equipo nuevo, o realizar cambios en los procesos y procedimientos que puedan generar costos adicionales. Dado lo que está en juego La gerencia no solo debe aprobar tales inversiones, pero también inculcan un sentido de urgencia en sus organizaciones para identificar vulnerabilidades y eliminarlas o mitigarlas.

    Basado en sus estudios, los investigadores concluyen que es imposible garantizar que un sistema de control industrial nunca verá vulneradas sus defensas de red. "Por lo tanto, el sistema debe estar diseñado para que sea resistente a los efectos de un ataque, "dice Khan." El análisis de ciberseguridad es un método poderoso porque genera un conjunto completo de requisitos, no solo técnicos sino también organizacionales, logístico y procedimental, que puede mejorar la resistencia de cualquier sistema energético complejo frente a un ciberataque ".

    Esta historia se vuelve a publicar por cortesía de MIT News (web.mit.edu/newsoffice/), un sitio popular que cubre noticias sobre la investigación del MIT, innovación y docencia.




    © Ciencia https://es.scienceaq.com