December 23-án lesz 5 éve a történelem első olyan kibertámadásának, amely kiterjedt és hosszas villamosenergia-ellátási zavart idézett elő. A történteket azóta számos publikáció is taglalta. Mégsem haszontalan az immár 2 éve, az NKE Kiberbiztonsági Kutatóintézet és a Magyar Elektrotechnikai Egyesület mentorálása mellett, mintegy 50 tag részvételével tevékenykedő SeConSys együttműködés komplex, több szakterületet is összefogó megközelítésével is szemlélni.
2015. december 23-án délután kibertámadás ért hat ukrán szervezetet. A támadók három – közte kritikus infrastruktúrához tartozó – társasághoz bár behatoltak, de a támadás nem járt publikus következményekkel. Ugyanakkor három regionális áramszolgáltató rendszerei esetében a támadás jelentős fogyasztói ellátatlanságokat okozott. Az elérhető adatok szerint az üzemirányítók összességében legalább 57 db 110 és 35 kV-os alállomás esetében vesztették el a távfelügyelet lehetőségét. A 15:30-16:10 közötti időszakban a három üzemirányító központból kezelői beavatkozás nélkül (!) megszakító kikapcsolási parancsok kerültek kiadásra. Ezek nyomán mintegy 225.000 fogyasztó vált ellátatlanná.
Mivel a támadás következtében egyes call-centerek is elérhetetlenné váltak, így a fogyasztók sem tudtak kapcsolatba lépni az érintett szolgáltatókkal. A villamosenergia-szolgáltatás mintegy 3-6 órányi időtartamú és mintegy 130 MW-nyi teljesítményt érintő fogyasztói ellátatlanság után csak az alállomásokra kiküldött üzemeltető személyzet helyszíni, kézi kapcsolásaival volt visszaállítható. Az áramszolgáltatás helyi idő szerint 18:56-ra állt helyre.
Miközben a támadást követően jellemzően a kiberbiztonsági tanulságok kerültek feltárásra, a SeConSys gyakorlata szerinti komplex megközelítés alkalmazásával indokolt immár a villamos oldaliakra is figyelmet fordítani. Néhány tanulság:
- Az üzemirányítók a rendkívüli helyzethez képest elismerésre méltó gyorsasággal és szakértelemmel kezelték a helyzetet: mozgósították a területi szakszemélyzetet, akik aztán hagyományos vezényléssel, az alállomási helyszíneken manuálisan végeztek kapcsolásokat, így állítva helyre az energiaszolgáltatást. A gyors reagálás ellenére a fogyasztók 3-6 óráig ellátatlanok voltak. A támadás egyrészt alátámasztotta az uralkodóvá váló távkezelés mellett is a helyi kezelési lehetőség fenntartásának, de főleg a helyi kezelést bármikor gyakorlottan, megfelelő létszámban, kellő mobilitással, kapcsolási jogosultsággal és helyismerettel átvenni képes helyszíni kezelőszemélyzet nélkülözhetetlenségét.
- A támadásnak messze a konkrét eseten túlmutató tanulsága, hogy a távkezelés általános elterjedése közben a hálózatüzemeltetési, kezelési eljárásokat ismerő villamos szakemberek kiöregednek, helyükbe egyre nagyobb számban ilyen ismeretekkel és gyakorlattal nem rendelkező munkatársak lépnek. Esetükben kiemelten fontos a manuális kezelés oktatása és rendszeres gyakoroltatása.
- A fogyasztói leágazások kikapcsolásához képest mellékszálnak tűnik – holott lehetséges következményeit tekintve kulcsfontosságú volt – a szünetmentes tápellátó berendezések (UPS-ek) támadása, távfelügyeleti interfészeiken keresztül. A támadás fontos tanulsága, hogy komolyan kell venni az ilyen távoli elérési felületek kiberbiztonsági kockázataira vonatkozó permanens szakértői figyelmeztetéseket. Bár az UPS-ek támadása fontos rendszerek működését zavarta meg, de a következmények még súlyosabbak is lehettek volna. A kritikus rendszerek kivétel nélkül UPS alátámasztásúak. Egy az ezekre irányuló masszív kibertámadás akár a megszakítókra vonatkozó kapcsolási jog megszerzése nélkül is – de e joggal együtt különösen! – képes az energiaszolgáltatás folyamatosságának súlyos megzavarására.
- A 2015. évi ukrajnai eset további tanulsága a robusztus, egyszerre több rendszert is érintő behatoláson is túl, hogy a támadás a távközlési rendszert is érintheti. A konkrét támadás két áramszolgáltatónál a call center működését is blokkolta. Villamos szempontból sokkal súlyosabb, hogy legalább egy áramszolgáltatónál a belső telefonhálózat szerverét tápláló UPS-t érte támadás, megzavarva a belső, üzemi célú távközlést. Ez azért különösen súlyos támadási mozzanat, mert a SCADA üzemképtelensége után az üzemirányító az üzemhelyreállítás egy újabb eszközét, az alállomásokra kiküldött kezelőszemélyzettel való telefonos kapcsolattartás lehetőségét veszíthette el. A digitális rendszerek sérülékenysége tükrében indokolt olyan meghaladottnak vélt eszközök szerepének újraértékelése, mint az URH rádiótelefon, amely a digitális távközlés – tartós és kiterjedt áramszünet esetén beleértve akár a mobil távközlést is – esetleges üzemképtelenné tétele/válása esetén a villamosenergiaszolgáltatás helyreállításának távközlési „végső menedéke” lehet.
- A big data korszakában a hálózati társaságoknak az alapoktól újra kell gondolniuk a villamos és informatikai hálózataikkal, működésükkel, munkavállalóikkal stb. kapcsolatosan az interneten, de akár nyomtatásban elérhető adatok körét. Még napjainkban, 5 évvel az ukrajnai kibertámadás után is a támadó a nyílt forrású adatokra irányuló felderítés (az OSINT) révén kényelmesen és törvényesen juthat egy potenciális támadást megalapozó műszaki (pl. topológia), szervezeti, személyi, beszállítói stb. adatokhoz, melyek célirányos elemzése segítheti a támadót a támadási vektor meghatározásában.
A villamosenergia-rendszer zavartalan üzeméért felelős szakemberek számára elgondolkodtató lehet a következő megállapítás: „A hackerek jóval nagyobb kárt tudtak volna okozni, ha a támadás során az alállomási berendezéseket fizikailag is károsították volna, ezzel jóval nehezebbé téve az áramszünet utáni helyreállítást.” A 2007. évi híres Aurora generátor teszt, majd később a Stuxnet támadás óta nem kérdés, hogy kibertámadással fizikai rombolást is lehet okozni. Ennek tükrében elgondolkodtató azzal szembesülni, hogy az ukrajnai kibertámadás súlyossága nem elsősorban a támadó lehetőségeinek, hanem szándékainak volt függvénye.
Villamosenergetikai szempontból a támadás egyik legnagyobb tanulsága, hogy a villamosenergia-rendszert érő kibertámadás nem csak kiberbiztonsági ügy, hanem kiberbiztonsági és villamosenergetikai ügy! Egy-egy ilyen eset után a kiberbiztonsági mellett a villamosenergetikai szakmának is minden részletre kiterjedően meg kell csinálnia a maga „házi feladatát”, hogy nagyobb eséllyel legyen megelőzhető a következő kibertámadás miatti kiterjedt és elhúzódó áramszünet. Nem az a kérdés ugyanis, hogy lesz-e következő kibertámadás. Az a kérdés, hogy mikor, hol és milyen terjedelmű lesz…
Források:
https://www.eiseverywhere.com/file_uploads/aed4bc20e84d2839b83c18bcba7e2876_Owens1.pdf
https://ics.sans.org/media/E-ISAC_SANS_Ukraine_DUC_5.pdf
https://cys-centrum.com/ru/news/black_energy_2_3
https://www.welivesecurity.com/2016/01/20/new-wave-attacks-ukrainian-power-industry/
https://www.youtube.com/watch?v=8ThgK1WXUgk
Jake Styczynski, Nate Beach-Westmoreland (2019): When the Lights Went Out. Comprehensive Review of the 2015 Attacks on Ukrainian Critical Infrastructure. Booz Allen Hamilton Inc.
https://icscybersec.blog.hu/2019/03/09/rendszerhiba-vagy-kibertamadas
https://icscybersec.blog.hu/2019/12/21/ics_rendszereket_tamado_csoportok_viii
https://www.reuters.com/article/us-ukraine-crisis-malware/ukraine-utility-cyber-attack-wider-than-reported-experts-idUSKBN0UI23S20160104
https://www.sans.org/blog/confirmation-of-a-coordinated-attack-on-the-ukrainian-power-grid/
https://icscybersec.blog.hu/2016/05/21/manualis_vezerles_mint_alternativ_megoldas_ics_rendszerek_elleni_tamadasok_eseten
https://www.wired.com/2016/03/inside-cunning-unprecedented-hack-ukraines-power-grid/
https://cdn.selinc.com/assets/Literature/Publications/Technical%20Papers/6452_MythReality_MZ_20110217_Web3.pdf?v=20191007-203642
Nyitókép: Pok Rie/Pexels