Ugrás a tartalomhoz
  • MAGAZIN
  • BLOGTÉR
  • PODCAST
  • TV
  • GYŰJTEMÉNY
  • WEBSHOP
  • FOLYÓIRATOK
  • OPEN ACCESS
Menü
  • MAGAZIN
  • BLOGTÉR
  • PODCAST
  • TV
  • GYŰJTEMÉNY
  • WEBSHOP
  • FOLYÓIRATOK
  • OPEN ACCESS
  • MAGAZIN
  • BLOGTÉR
  • PODCAST
  • TV
  • GYŰJTEMÉNY
  • WEBSHOP
  • FOLYÓIRATOK
  • OPEN ACCESS
Menü
  • MAGAZIN
  • BLOGTÉR
  • PODCAST
  • TV
  • GYŰJTEMÉNY
  • WEBSHOP
  • FOLYÓIRATOK
  • OPEN ACCESS
Petri Bernadett

Csatlakozási előszoba helyett a nappaliban

Ukrajna tagjelöltként léphetne be az EU közös piacára?

Petri Bernadett 2025.04.30.
Tárnok Balázs

Megkezdődtek a csatlakozási tárgyalások Ukrajnával

A tárgyalások lényegi része kormányközi konferenciákon zajlik majd.

Tárnok Balázs 2024.07.02.
Varga Csilla

Realitássá válik-e Ukrajna és Moldova EU-s csatlakozásának megkezdése?

Az Európai Bizottság szerint teljesítették a szükséges feltételeket.

Varga Csilla 2024.06.12.
Máthé Réka Zsuzsánna

Mennyit fizessünk egy térségért?

Megegyezés az Ukrajnának szánt 50 milliárdos csomag részleteiről.

Máthé Réka Zsuzsánna 2024.02.02.
Varga Csilla

NATO támogatás minden helyzetben?

A háborúk rendkívül kiszámíthatatlanok.

Varga Csilla 2023.12.06.
CYBERBLOG
Görgey Péter
Görgey Péter
kutató, NKE Kiberbiztonsági Kutatóintézet
  • 2020.12.14.
  • 2020.12.14.

5 éve történt: kibertámadás az ukrán villamosenergia-rendszer ellen

December 23-án lesz 5 éve a történelem első olyan kibertámadásának, amely kiterjedt és hosszas villamosenergia-ellátási zavart idézett elő. A történteket azóta számos publikáció is taglalta. Mégsem haszontalan az immár 2 éve, az NKE Kiberbiztonsági Kutatóintézet és a Magyar Elektrotechnikai Egyesület mentorálása mellett, mintegy 50 tag részvételével tevékenykedő SeConSys együttműködés komplex, több szakterületet is összefogó megközelítésével is szemlélni.

2015. december 23-án délután kibertámadás ért hat ukrán szervezetet. A támadók három – közte kritikus infrastruktúrához tartozó – társasághoz bár behatoltak, de a támadás nem járt publikus következményekkel. Ugyanakkor három regionális áramszolgáltató rendszerei esetében a támadás jelentős fogyasztói ellátatlanságokat okozott. Az elérhető adatok szerint az üzemirányítók összességében legalább 57 db 110 és 35 kV-os alállomás esetében vesztették el a távfelügyelet lehetőségét. A 15:30-16:10 közötti időszakban a három üzemirányító központból kezelői beavatkozás nélkül (!) megszakító kikapcsolási parancsok kerültek kiadásra. Ezek nyomán mintegy 225.000 fogyasztó vált ellátatlanná.

Mivel a támadás következtében egyes call-centerek is elérhetetlenné váltak, így a fogyasztók sem tudtak kapcsolatba lépni az érintett szolgáltatókkal. A villamosenergia-szolgáltatás mintegy 3-6 órányi időtartamú és mintegy 130 MW-nyi teljesítményt érintő fogyasztói ellátatlanság után csak az alállomásokra kiküldött üzemeltető személyzet helyszíni, kézi kapcsolásaival volt visszaállítható. Az áramszolgáltatás helyi idő szerint 18:56-ra állt helyre.

Miközben a támadást követően jellemzően a kiberbiztonsági tanulságok kerültek feltárásra, a SeConSys gyakorlata szerinti komplex megközelítés alkalmazásával indokolt immár a villamos oldaliakra is figyelmet fordítani. Néhány tanulság:

  1. Az üzemirányítók a rendkívüli helyzethez képest elismerésre méltó gyorsasággal és szakértelemmel kezelték a helyzetet: mozgósították a területi szakszemélyzetet, akik aztán hagyományos vezényléssel, az alállomási helyszíneken manuálisan végeztek kapcsolásokat, így állítva helyre az energiaszolgáltatást. A gyors reagálás ellenére a fogyasztók 3-6 óráig ellátatlanok voltak. A támadás egyrészt alátámasztotta az uralkodóvá váló távkezelés mellett is a helyi kezelési lehetőség fenntartásának, de főleg a helyi kezelést bármikor gyakorlottan, megfelelő létszámban, kellő mobilitással, kapcsolási jogosultsággal és helyismerettel átvenni képes helyszíni kezelőszemélyzet nélkülözhetetlenségét.
  2. A támadásnak messze a konkrét eseten túlmutató tanulsága, hogy a távkezelés általános elterjedése közben a hálózatüzemeltetési, kezelési eljárásokat ismerő villamos szakemberek kiöregednek, helyükbe egyre nagyobb számban ilyen ismeretekkel és gyakorlattal nem rendelkező munkatársak lépnek. Esetükben kiemelten fontos a manuális kezelés oktatása és rendszeres gyakoroltatása.
  3. A fogyasztói leágazások kikapcsolásához képest mellékszálnak tűnik – holott lehetséges következményeit tekintve kulcsfontosságú volt – a szünetmentes tápellátó berendezések (UPS-ek) támadása, távfelügyeleti interfészeiken keresztül. A támadás fontos tanulsága, hogy komolyan kell venni az ilyen távoli elérési felületek kiberbiztonsági kockázataira vonatkozó permanens szakértői figyelmeztetéseket. Bár az UPS-ek támadása fontos rendszerek működését zavarta meg, de a következmények még súlyosabbak is lehettek volna. A kritikus rendszerek kivétel nélkül UPS alátámasztásúak. Egy az ezekre irányuló masszív kibertámadás akár a megszakítókra vonatkozó kapcsolási jog megszerzése nélkül is – de e joggal együtt különösen! – képes az energiaszolgáltatás folyamatosságának súlyos megzavarására.
  4. A 2015. évi ukrajnai eset további tanulsága a robusztus, egyszerre több rendszert is érintő behatoláson is túl, hogy a támadás a távközlési rendszert is érintheti. A konkrét támadás két áramszolgáltatónál a call center működését is blokkolta. Villamos szempontból sokkal súlyosabb, hogy legalább egy áramszolgáltatónál a belső telefonhálózat szerverét tápláló UPS-t érte támadás, megzavarva a belső, üzemi célú távközlést. Ez azért különösen súlyos támadási mozzanat, mert a SCADA üzemképtelensége után az üzemirányító az üzemhelyreállítás egy újabb eszközét, az alállomásokra kiküldött kezelőszemélyzettel való telefonos kapcsolattartás lehetőségét veszíthette el. A digitális rendszerek sérülékenysége tükrében indokolt olyan meghaladottnak vélt eszközök szerepének újraértékelése, mint az URH rádiótelefon, amely a digitális távközlés – tartós és kiterjedt áramszünet esetén beleértve akár a mobil távközlést is – esetleges üzemképtelenné tétele/válása esetén a villamosenergiaszolgáltatás helyreállításának távközlési „végső menedéke” lehet.
  5. A big data korszakában a hálózati társaságoknak az alapoktól újra kell gondolniuk a villamos és informatikai hálózataikkal, működésükkel, munkavállalóikkal stb. kapcsolatosan az interneten, de akár nyomtatásban elérhető adatok körét. Még napjainkban, 5 évvel az ukrajnai kibertámadás után is a támadó a nyílt forrású adatokra irányuló felderítés (az OSINT) révén kényelmesen és törvényesen juthat egy potenciális támadást megalapozó műszaki (pl. topológia), szervezeti, személyi, beszállítói stb. adatokhoz, melyek célirányos elemzése segítheti a támadót a támadási vektor meghatározásában.

A villamosenergia-rendszer zavartalan üzeméért felelős szakemberek számára elgondolkodtató lehet a következő megállapítás: „A hackerek jóval nagyobb kárt tudtak volna okozni, ha a támadás során az alállomási berendezéseket fizikailag is károsították volna, ezzel jóval nehezebbé téve az áramszünet utáni helyreállítást.” A 2007. évi híres Aurora generátor teszt, majd később a Stuxnet támadás óta nem kérdés, hogy kibertámadással fizikai rombolást is lehet okozni. Ennek tükrében elgondolkodtató azzal szembesülni, hogy az ukrajnai kibertámadás súlyossága nem elsősorban a támadó lehetőségeinek, hanem szándékainak volt függvénye.

Villamosenergetikai szempontból a támadás egyik legnagyobb tanulsága, hogy a villamosenergia-rendszert érő kibertámadás nem csak kiberbiztonsági ügy, hanem kiberbiztonsági és villamosenergetikai ügy! Egy-egy ilyen eset után a kiberbiztonsági mellett a villamosenergetikai szakmának is minden részletre kiterjedően meg kell csinálnia a maga „házi feladatát”, hogy nagyobb eséllyel legyen megelőzhető a következő kibertámadás miatti kiterjedt és elhúzódó áramszünet. Nem az a kérdés ugyanis, hogy lesz-e következő kibertámadás. Az a kérdés, hogy mikor, hol és milyen terjedelmű lesz…


Források:
https://www.eiseverywhere.com/file_uploads/aed4bc20e84d2839b83c18bcba7e2876_Owens1.pdf
https://ics.sans.org/media/E-ISAC_SANS_Ukraine_DUC_5.pdf
https://cys-centrum.com/ru/news/black_energy_2_3
https://www.welivesecurity.com/2016/01/20/new-wave-attacks-ukrainian-power-industry/
https://www.youtube.com/watch?v=8ThgK1WXUgk
Jake Styczynski, Nate Beach-Westmoreland (2019): When the Lights Went Out. Comprehensive Review of the 2015 Attacks on Ukrainian Critical Infrastructure. Booz Allen Hamilton Inc.
https://icscybersec.blog.hu/2019/03/09/rendszerhiba-vagy-kibertamadas
https://icscybersec.blog.hu/2019/12/21/ics_rendszereket_tamado_csoportok_viii
https://www.reuters.com/article/us-ukraine-crisis-malware/ukraine-utility-cyber-attack-wider-than-reported-experts-idUSKBN0UI23S20160104
https://www.sans.org/blog/confirmation-of-a-coordinated-attack-on-the-ukrainian-power-grid/
https://icscybersec.blog.hu/2016/05/21/manualis_vezerles_mint_alternativ_megoldas_ics_rendszerek_elleni_tamadasok_eseten
https://www.wired.com/2016/03/inside-cunning-unprecedented-hack-ukraines-power-grid/
https://cdn.selinc.com/assets/Literature/Publications/Technical%20Papers/6452_MythReality_MZ_20110217_Web3.pdf?v=20191007-203642

Nyitókép: Pok Rie/Pexels

Témakörök: áramszünet, kibertámadás, SeConSys, Ukrajna
nke-cimer

LUDOVIKA.hu

KAPCSOLAT

1083 Budapest, Ludovika tér 2.
E-mail:
Kéziratokkal, könyv- és folyóirat-kiadással kapcsolatos ügyek: kiadvanyok@uni-nke.hu
Blogokkal és a magazinnal kapcsolatos ügyek: szerkesztoseg@uni-nke.hu

IMPRESSZUM

Ez a weboldal sütiket használ. Ha Ön ezzel egyetért, kérjük fogadja el az adatkezelési szabályzatunkat. Süti beállításokElfogad
Adatvédemi és süti beállítások

Adatvédelmi áttekintés

This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Necessary
Always Enabled
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Non-necessary
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
SAVE & ACCEPT