• MAGAZIN
  • BLOGTÉR
  • PODCAST
  • TV
  • WEBSHOP
  • FOLYÓIRATOK
  • KIADÓ
  • KERESÉS
Menü
  • MAGAZIN
  • BLOGTÉR
  • PODCAST
  • TV
  • WEBSHOP
  • FOLYÓIRATOK
  • KIADÓ
  • KERESÉS
  • MAGAZIN
  • BLOGTÉR
  • PODCAST
  • TV
  • WEBSHOP
  • FOLYÓIRATOK
  • KIADÓ
  • KERESÉS
Menü
  • MAGAZIN
  • BLOGTÉR
  • PODCAST
  • TV
  • WEBSHOP
  • FOLYÓIRATOK
  • KIADÓ
  • KERESÉS
Manzinger Krisztián

Az új Ukrajna és a magyarság

Érdekünk a jó kétoldalú viszony.

Manzinger Krisztián 2022.05.17.
Navracsics Tibor

Putyin pincsijei?

A mindent felülíró nemzeti érdekek.

Navracsics Tibor 2022.04.25.
Varga Réka

Orosz–ukrán konfliktus 4: a humanitárius következmények

Mit tehetünk az áldozatokért?

Varga Réka 2022.03.18.
Kis Norbert

„Ez már Európa?”

Segítsük a menekülteket. Többet most nem tehetünk.

Kis Norbert 2022.03.10.
Miszlivetz Áron

A bővítéspolitika mint külpolitikai eszköz

Minden döntésnek és szónak komoly súlya lehet.

Miszlivetz Áron 2022.03.07.
CYBERBLOG
Görgey Péter
Görgey Péter
kutató, NKE Kiberbiztonsági Kutatóintézet
Megosztás itt: linkedin
Megosztás itt: twitter
Megosztás itt: facebook
  • 2020.12.14.
Megosztás itt: linkedin
Megosztás itt: twitter
Megosztás itt: facebook
  • 2020.12.14.

5 éve történt: kibertámadás az ukrán villamosenergia-rendszer ellen

December 23-án lesz 5 éve a történelem első olyan kibertámadásának, amely kiterjedt és hosszas villamosenergia-ellátási zavart idézett elő. A történteket azóta számos publikáció is taglalta. Mégsem haszontalan az immár 2 éve, az NKE Kiberbiztonsági Kutatóintézet és a Magyar Elektrotechnikai Egyesület mentorálása mellett, mintegy 50 tag részvételével tevékenykedő SeConSys együttműködés komplex, több szakterületet is összefogó megközelítésével is szemlélni.

2015. december 23-án délután kibertámadás ért hat ukrán szervezetet. A támadók három – közte kritikus infrastruktúrához tartozó – társasághoz bár behatoltak, de a támadás nem járt publikus következményekkel. Ugyanakkor három regionális áramszolgáltató rendszerei esetében a támadás jelentős fogyasztói ellátatlanságokat okozott. Az elérhető adatok szerint az üzemirányítók összességében legalább 57 db 110 és 35 kV-os alállomás esetében vesztették el a távfelügyelet lehetőségét. A 15:30-16:10 közötti időszakban a három üzemirányító központból kezelői beavatkozás nélkül (!) megszakító kikapcsolási parancsok kerültek kiadásra. Ezek nyomán mintegy 225.000 fogyasztó vált ellátatlanná.

Mivel a támadás következtében egyes call-centerek is elérhetetlenné váltak, így a fogyasztók sem tudtak kapcsolatba lépni az érintett szolgáltatókkal. A villamosenergia-szolgáltatás mintegy 3-6 órányi időtartamú és mintegy 130 MW-nyi teljesítményt érintő fogyasztói ellátatlanság után csak az alállomásokra kiküldött üzemeltető személyzet helyszíni, kézi kapcsolásaival volt visszaállítható. Az áramszolgáltatás helyi idő szerint 18:56-ra állt helyre.

Miközben a támadást követően jellemzően a kiberbiztonsági tanulságok kerültek feltárásra, a SeConSys gyakorlata szerinti komplex megközelítés alkalmazásával indokolt immár a villamos oldaliakra is figyelmet fordítani. Néhány tanulság:

  1. Az üzemirányítók a rendkívüli helyzethez képest elismerésre méltó gyorsasággal és szakértelemmel kezelték a helyzetet: mozgósították a területi szakszemélyzetet, akik aztán hagyományos vezényléssel, az alállomási helyszíneken manuálisan végeztek kapcsolásokat, így állítva helyre az energiaszolgáltatást. A gyors reagálás ellenére a fogyasztók 3-6 óráig ellátatlanok voltak. A támadás egyrészt alátámasztotta az uralkodóvá váló távkezelés mellett is a helyi kezelési lehetőség fenntartásának, de főleg a helyi kezelést bármikor gyakorlottan, megfelelő létszámban, kellő mobilitással, kapcsolási jogosultsággal és helyismerettel átvenni képes helyszíni kezelőszemélyzet nélkülözhetetlenségét.
  2. A támadásnak messze a konkrét eseten túlmutató tanulsága, hogy a távkezelés általános elterjedése közben a hálózatüzemeltetési, kezelési eljárásokat ismerő villamos szakemberek kiöregednek, helyükbe egyre nagyobb számban ilyen ismeretekkel és gyakorlattal nem rendelkező munkatársak lépnek. Esetükben kiemelten fontos a manuális kezelés oktatása és rendszeres gyakoroltatása.
  3. A fogyasztói leágazások kikapcsolásához képest mellékszálnak tűnik – holott lehetséges következményeit tekintve kulcsfontosságú volt – a szünetmentes tápellátó berendezések (UPS-ek) támadása, távfelügyeleti interfészeiken keresztül. A támadás fontos tanulsága, hogy komolyan kell venni az ilyen távoli elérési felületek kiberbiztonsági kockázataira vonatkozó permanens szakértői figyelmeztetéseket. Bár az UPS-ek támadása fontos rendszerek működését zavarta meg, de a következmények még súlyosabbak is lehettek volna. A kritikus rendszerek kivétel nélkül UPS alátámasztásúak. Egy az ezekre irányuló masszív kibertámadás akár a megszakítókra vonatkozó kapcsolási jog megszerzése nélkül is – de e joggal együtt különösen! – képes az energiaszolgáltatás folyamatosságának súlyos megzavarására.
  4. A 2015. évi ukrajnai eset további tanulsága a robusztus, egyszerre több rendszert is érintő behatoláson is túl, hogy a támadás a távközlési rendszert is érintheti. A konkrét támadás két áramszolgáltatónál a call center működését is blokkolta. Villamos szempontból sokkal súlyosabb, hogy legalább egy áramszolgáltatónál a belső telefonhálózat szerverét tápláló UPS-t érte támadás, megzavarva a belső, üzemi célú távközlést. Ez azért különösen súlyos támadási mozzanat, mert a SCADA üzemképtelensége után az üzemirányító az üzemhelyreállítás egy újabb eszközét, az alállomásokra kiküldött kezelőszemélyzettel való telefonos kapcsolattartás lehetőségét veszíthette el. A digitális rendszerek sérülékenysége tükrében indokolt olyan meghaladottnak vélt eszközök szerepének újraértékelése, mint az URH rádiótelefon, amely a digitális távközlés – tartós és kiterjedt áramszünet esetén beleértve akár a mobil távközlést is – esetleges üzemképtelenné tétele/válása esetén a villamosenergiaszolgáltatás helyreállításának távközlési „végső menedéke” lehet.
  5. A big data korszakában a hálózati társaságoknak az alapoktól újra kell gondolniuk a villamos és informatikai hálózataikkal, működésükkel, munkavállalóikkal stb. kapcsolatosan az interneten, de akár nyomtatásban elérhető adatok körét. Még napjainkban, 5 évvel az ukrajnai kibertámadás után is a támadó a nyílt forrású adatokra irányuló felderítés (az OSINT) révén kényelmesen és törvényesen juthat egy potenciális támadást megalapozó műszaki (pl. topológia), szervezeti, személyi, beszállítói stb. adatokhoz, melyek célirányos elemzése segítheti a támadót a támadási vektor meghatározásában.

A villamosenergia-rendszer zavartalan üzeméért felelős szakemberek számára elgondolkodtató lehet a következő megállapítás: „A hackerek jóval nagyobb kárt tudtak volna okozni, ha a támadás során az alállomási berendezéseket fizikailag is károsították volna, ezzel jóval nehezebbé téve az áramszünet utáni helyreállítást.” A 2007. évi híres Aurora generátor teszt, majd később a Stuxnet támadás óta nem kérdés, hogy kibertámadással fizikai rombolást is lehet okozni. Ennek tükrében elgondolkodtató azzal szembesülni, hogy az ukrajnai kibertámadás súlyossága nem elsősorban a támadó lehetőségeinek, hanem szándékainak volt függvénye.

Villamosenergetikai szempontból a támadás egyik legnagyobb tanulsága, hogy a villamosenergia-rendszert érő kibertámadás nem csak kiberbiztonsági ügy, hanem kiberbiztonsági és villamosenergetikai ügy! Egy-egy ilyen eset után a kiberbiztonsági mellett a villamosenergetikai szakmának is minden részletre kiterjedően meg kell csinálnia a maga „házi feladatát”, hogy nagyobb eséllyel legyen megelőzhető a következő kibertámadás miatti kiterjedt és elhúzódó áramszünet. Nem az a kérdés ugyanis, hogy lesz-e következő kibertámadás. Az a kérdés, hogy mikor, hol és milyen terjedelmű lesz…


Források:
https://www.eiseverywhere.com/file_uploads/aed4bc20e84d2839b83c18bcba7e2876_Owens1.pdf
https://ics.sans.org/media/E-ISAC_SANS_Ukraine_DUC_5.pdf
https://cys-centrum.com/ru/news/black_energy_2_3
https://www.welivesecurity.com/2016/01/20/new-wave-attacks-ukrainian-power-industry/
https://www.youtube.com/watch?v=8ThgK1WXUgk
Jake Styczynski, Nate Beach-Westmoreland (2019): When the Lights Went Out. Comprehensive Review of the 2015 Attacks on Ukrainian Critical Infrastructure. Booz Allen Hamilton Inc.
https://icscybersec.blog.hu/2019/03/09/rendszerhiba-vagy-kibertamadas
https://icscybersec.blog.hu/2019/12/21/ics_rendszereket_tamado_csoportok_viii
https://www.reuters.com/article/us-ukraine-crisis-malware/ukraine-utility-cyber-attack-wider-than-reported-experts-idUSKBN0UI23S20160104
https://www.sans.org/blog/confirmation-of-a-coordinated-attack-on-the-ukrainian-power-grid/
https://icscybersec.blog.hu/2016/05/21/manualis_vezerles_mint_alternativ_megoldas_ics_rendszerek_elleni_tamadasok_eseten
https://www.wired.com/2016/03/inside-cunning-unprecedented-hack-ukraines-power-grid/
https://cdn.selinc.com/assets/Literature/Publications/Technical%20Papers/6452_MythReality_MZ_20110217_Web3.pdf?v=20191007-203642

Nyitókép: Pok Rie/Pexels

Témakörök: áramszünet, kibertámadás, SeConSys, Ukrajna
nke-cimer

LUDOVIKA.hu

KAPCSOLAT

1083 Budapest, Ludovika tér 2.
E-mail:
Kéziratokkal, könyv- és folyóirat-kiadással kapcsolatos ügyek: kiadvanyok@uni-nke.hu
Blogokkal és a magazinnal kapcsolatos ügyek: szerkesztoseg@uni-nke.hu

IMPRESSZUM

Ez a weboldal sütiket használ. Ha Ön ezzel egyetért, kérjük fogadja el az adatkezelési szabályzatunkat. Süti beállításokElfogad
Adatvédemi és süti beállítások

Adatvédelmi áttekintés

This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Necessary
Always Enabled
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Non-necessary
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
SAVE & ACCEPT