Nästan varje dag, nyhetsrubriker meddelar ytterligare ett säkerhetsbrott och stöld av kreditkortsnummer och annan personlig information. Även om ditt kreditkort stulits kan vara irriterande och oroande, en betydligt viktigare, ännu mindre erkänd, oro är säkerheten för fysisk infrastruktur, inklusive energisystem.

"Med en kreditkortsstöld, du kanske måste betala $ 50 och få ett nytt kreditkort, säger Stuart Madnick, John Norris Maguire -professor i informationsteknologi vid Sloan School of Management, professor i ingenjörssystem vid Tekniska högskolan, och grundande chef för Cybersecurity vid MIT Sloan -konsortiet. "Men med infrastrukturattacker, verklig fysisk skada kan uppstå, och återhämtningen kan ta veckor eller månader. "

Några exempel visar hotet. 2008, en påstådd cyberattack sprängde en oljeledning i Turkiet, stänga av den i tre veckor; År 2009, den ondsinnade Stuxnet -maskmask förstörde hundratals iranska centrifuger, att störa landets program för berikning av kärnbränsle. och 2015, en attack föll ner en del av det ukrainska elnätet - i bara sex timmar, men transformatorstationer på nätet måste drivas manuellt i månader.

Enligt Madnick, för motståndare att utföra en framgångsrik attack, de måste ha förmågan, möjligheten, och motivationen. Under de senaste incidenterna, alla tre faktorerna har anpassats, och angripare har förlamat stora fysiska system.

"Den goda nyheten är att åtminstone i USA, det har vi inte riktigt upplevt än "säger Madnick. Men han tror att" det är bara motivation som saknas. "Med tanke på tillräcklig motivation, angripare var som helst i världen kunde, till exempel, få ner några eller alla av landets sammankopplade elnät eller stoppa flödet av naturgas genom landets 2,4 miljoner mil rörledning. Och medan nödanläggningar och bränsletillförsel kan hålla saker igång några dagar, det kommer sannolikt att ta mycket längre tid än så att reparera system som angripare har skadat eller sprängt.

"Det är massiva effekter som skulle påverka vårt dagliga liv, "säger Madnick." Och det är inte på de flesta människors radar. Men bara att hoppas att det inte kommer att hända är inte precis ett säkert sätt att gå om livet. "Han tror bestämt att" det värsta är ännu framöver. "

Utmaningen för industrin

Att säkerställa energisystemens cybersäkerhet är en växande utmaning. Varför? Dagens industriella anläggningar förlitar sig i stor utsträckning på mjukvara för anläggningskontroll, snarare än på traditionella elektromekaniska enheter. I vissa fall, även funktioner som är viktiga för att säkerställa säkerheten är nästan helt implementerade i programvara. I en typisk industriell anläggning, dussintals programmerbara datorsystem distribuerade över hela anläggningen ger lokal kontroll av processer - t.ex. bibehålla vattennivån i en panna vid ett visst börvärde. Dessa enheter interagerar alla med ett övervakningssystem på högre nivå som gör det möjligt för operatörer att styra de lokala systemen och den övergripande anläggningsdriften, antingen på plats eller på distans. I de flesta anläggningar, dessa programmerbara datorsystem kräver ingen autentisering för att inställningarna ska kunna ändras. Med tanke på denna inställning, en cyberattacker som får åtkomst till programvaran i antingen det lokala eller övervakningssystemet kan orsaka skada eller avbrott i tjänsten.

Det traditionella tillvägagångssättet som används för att skydda kritiska styrsystem är att "lufta" dem-det vill säga skilja dem från det offentliga internet så att inkräktare inte kan nå dem. Men i dagens värld med hög anslutning, ett luftgap garanterar inte längre säkerheten. Till exempel, företag anlitar ofta oberoende entreprenörer eller leverantörer för att underhålla och övervaka specialutrustning i sina anläggningar. För att utföra dessa uppgifter, entreprenören eller leverantören behöver tillgång till driftdata i realtid-information som vanligtvis överförs över internet. Dessutom, legitima affärsbehov, t.ex. överföring av filer och uppdatering av programvara, kräver användning av USB -minnen, som oavsiktligt kan äventyra luftgapets integritet, lämnar en anläggning sårbar för cyberattack.

Letar efter sårbarheter

Företag arbetar aktivt för att skärpa sin säkerhet - men vanligtvis först efter att en incident har inträffat. "Så vi tenderar att titta genom backspegeln, "säger Madnick. Han betonar behovet av att identifiera och mildra sårbarheten i ett system innan ett problem uppstår.

Den traditionella metoden för att identifiera cyber-sårbarheter är att skapa en inventering av alla komponenter, undersöka var och en för att identifiera eventuella sårbarheter, mildra dessa sårbarheter, och aggregera sedan resultaten för att säkra det övergripande systemet. Men den metoden bygger på två viktiga förenklande antaganden, säger Shaharyar Khan, en stipendiat i MIT System Design and Management -programmet. Det förutsätter att händelser alltid körs i en enda, linjär riktning, så en händelse orsakar en annan händelse, som orsakar en annan händelse, och så vidare, utan återkopplingsslingor eller interaktioner för att komplicera sekvensen. Och det förutsätter att det är tillräckligt att förstå varje komponents beteende isolerat för att förutsäga beteendet hos det övergripande systemet.

Men dessa antaganden håller inte för komplexa system - och moderna styrsystem i energianläggningar är extremt komplexa, mjukvarukrävande, och består av mycket kopplade komponenter som interagerar på många sätt. Som ett resultat, säger Khan, "det övergripande systemet uppvisar beteenden som de enskilda komponenterna inte gör" - en egenskap som i systemteorin kallas uppkomst. "Vi anser att säkerhet och säkerhet är framväxande egenskaper hos system, "säger Khan. Utmaningen är därför att kontrollera systemets framträdande beteende genom att definiera nya begränsningar, en uppgift som kräver förståelse för hur alla samverkande faktorer på jobbet - från människor till utrustning till externa regler och mer - i slutändan påverkar systemsäkerheten.

För att utveckla ett analysverktyg för den utmaningen, Madnick, Khan, och James L. Kirtley Jr., professor i elektroteknik, vände sig först till en metod som kallas Systemteoretisk olycksmodell och process, som utvecklades för mer än 15 år sedan av MIT -professor Nancy Leveson för flyg- och astronautik. Med det arbetet som grund, de utvecklade "cybersäkerhet, "en analytisk metod som är speciellt anpassad för cybersäkerhetsanalys av komplexa industriella styrsystem.

För att tillämpa cybersäkerhetsproceduren på en anläggning, en analytiker börjar med att svara på följande frågor:

• Vad är huvudsyftet med systemet som analyseras; det är, vad behöver du skydda? Att svara på den frågan kan låta enkelt, men Madnick noterar, "Förvånande, när vi frågar företag vad deras "kronjuveler" är, de har ofta svårt att identifiera dem. "
• Med tanke på det huvudsakliga syftet, vad är det värsta som kan hända med systemet? Att definiera huvudsyftet och de värsta möjliga förlusterna är nyckeln till att förstå analysens mål och den bästa fördelningen av resurser för att minska.
• Vilka är de viktigaste riskerna som kan leda till den förlusten? Som ett enkelt exempel, att ha våta trappor i en anläggning är en fara; att någon faller ner för trappan och bryter en fotled är en förlust.
• Vem eller vad styr den faran? I exemplet ovan, det första steget är att bestämma vem eller vad som styr trappans tillstånd. Nästa steg är att fråga, Vem eller vad styr den handkontrollen? Och då, Vem eller vad styr den handkontrollen? Att besvara den frågan rekursivt och kartlägga återkopplingsslingorna bland de olika kontrollerna ger en hierarkisk kontrollstruktur som ansvarar för att bibehålla trappans tillstånd i ett acceptabelt skick.

Med tanke på hela kontrollstrukturen, nästa steg är att fråga:Vilka kontrollåtgärder kan vidtas av en controller som skulle vara osäker med tanke på systemets tillstånd? Till exempel, om en angripare skadar feedback från en nyckelsensor, en kontroller känner inte till systemets faktiska tillstånd och kan därför vidta en felaktig åtgärd, eller kan vidta rätt åtgärder men vid fel tidpunkt eller i fel ordning - vilket kan leda till skada.

Baserat på den nu djupare förståelsen av systemet, analytikern hypoteser sedan en rad förlustscenarier som härrör från osäkra kontrollåtgärder och undersöker hur de olika kontrollerna kan interagera för att utfärda ett osäkert kommando. "På varje nivå i analysen, vi försöker identifiera begränsningar för processen som styrs, om det kränks, skulle leda till att systemet går över i ett osäkert tillstånd, "säger Khan. Till exempel, en begränsning kan diktera att ångtrycket inuti en panna inte får överstiga en viss övre gräns för att förhindra att pannan spricker på grund av övertryck.

"Genom att ständigt förfina dessa begränsningar när vi går vidare i analysen, vi kan definiera nya krav som garanterar säkerheten för det övergripande systemet, "säger han." Sedan kan vi identifiera praktiska steg för att se till att dessa begränsningar följs genom systemdesign, processer och procedurer, eller sociala kontroller som företagskultur, tillsynskrav, eller försäkringsincitament. "

Fallstudier

För att demonstrera möjligheterna för cybersäkerhetsanalys, Khan valde en 20 megawatt, gasturbinkraftverk-en liten anläggning som har alla element i ett fullskaligt kraftverk på nätet. I en analys, han undersökte kontrollsystemet för gasturbinen, med särskilt fokus på hur mjukvaran som styr bränsleventilen kan ändras för att orsaka förluster på systemnivå.

Genom att utföra cybersäkerhetsanalysen gav vi flera turbinrelaterade förlustscenarier som involverade bränder eller explosioner, katastrofalt utrustningsfel, och slutligen oförmågan att generera kraft.

Till exempel, i ett scenario, angriparen inaktiverar turbinens digitala skyddssystem och ändrar logiken i programvaran som styr bränslekontrollventilen för att hålla ventilen öppen när den ska stängas, stoppa bränsle från att strömma in i turbinen. Om turbinen plötsligt kopplas bort från nätet, det kommer att börja snurra snabbare än dess designgräns och kommer att bryta isär, skada närliggande utrustning och skada arbetare i området.

Cybersäkerhetsanalysen avslöjade källan till den sårbarheten:En uppdaterad version av styrsystemet hade eliminerat en mekanisk bultenhet som säkerställde turbinens "överhastighet" -skydd. Istället, överhastighetsskydd implementerades helt i programvara.

Den förändringen var vettig ur ett affärsperspektiv. En mekanisk enhet kräver regelbundet underhåll och testning, och dessa tester utsätter turbinen för så extrema påfrestningar att den ibland misslyckas. Dock, med tanke på vikten av cybersäkerhet, det kan vara klokt att ta tillbaka den mekaniska bulten som en fristående säkerhetsanordning-eller åtminstone betrakta fristående elektroniska överhastighetsskyddssystem som en sista försvarslinje.

En annan fallstudie fokuserade på system som används för att leverera kylt vatten och luftkonditionering till de byggnader som serveras. Ännu en gång, cybersäkerhetsanalysen avslöjade flera förlustscenarier; I detta fall, de flesta hade en orsak gemensamt:användningen av frekvensomriktare (VFD) för att justera hastigheten på motorer som driver vattenpumpar och kompressorer.

Som alla motorer, motorn som driver kylaggregatets kompressor har vissa kritiska hastigheter vid vilka mekanisk resonans uppstår, orsakar överdriven vibration. VFD:er är vanligtvis programmerade att hoppa över dessa kritiska hastigheter under motorstart. Men vissa VFD:er är programmerbara över nätverket. Således, en angripare kan fråga en VFD för den kritiska hastigheten för den anslutna motorn och sedan beordra den att köra motorn med den farliga hastigheten, skada den permanent.

"Detta är en enkel typ av attack; det kräver inte mycket sofistikering, "säger Khan." Men det kan lanseras och kan orsaka katastrofala skador. "Han citerar tidigare arbete utfört av Matthew Angle '07, MEng '11, Ph.D. '16, i samarbete med Madnick och Kirtley. Som en del av en studie från 2017 av cyberattacker mot industriella styrsystem, Angle byggde ett laboratorietestmotorsats utrustat med en komplett VFD med datorkod som forskarna känner till. Genom att helt enkelt ändra några viktiga kodrader, de fick kondensatorer i VFD att explodera, skicka rök ut på gården bakom deras MIT lab. I en industriell miljö med fullstora VFD, en liknande cyberattack kan orsaka betydande strukturella skador och eventuellt skada personal.

Med tanke på sådana möjligheter, forskargruppen rekommenderar att företag noga överväger "funktionaliteten" för utrustningen i sitt system. Många gånger, anläggningspersonal är inte ens medvetna om de möjligheter som deras utrustning erbjuder. Till exempel, de kanske inte inser att en VFD som driver en motor i deras anläggning kan få den att fungera i omvänd riktning genom en liten ändring av datorkoden som styr den-en tydlig cyber-sårbarhet. Att ta bort den sårbarheten kräver att man använder en VFD med mindre funktionalitet. "Bra teknik för att ta bort sådana sårbarheter kan ibland felaktigt karakteriseras som ett bakåtgående steg, men det kan vara nödvändigt att förbättra anläggningens säkerhetsställning, "säger Khan. En fullständig cybersäkerhetsanalys av ett system kommer inte bara att belysa sådana frågor, men också vägleda den strategiska placeringen av analoga sensorer och andra redundanta återkopplingsslingor som kommer att öka motståndskraften i systemdriften.

Att ta itu med utmaningen

Under hela sin cybersäkerhetsforskning, Khan, Madnick, och deras kollegor har funnit att sårbarheter ofta kan spåras till mänskligt beteende, liksom ledningsbeslut. I ett fall, ett företag hade inkluderat standardlösenordet för sin utrustning i bruksanvisningen, offentligt tillgänglig på internet. Andra fall involverade operatörer som ansluter USB -enheter och personliga bärbara datorer direkt till anläggningsnätverket, därigenom bryter luftgapet och till och med introducerar skadlig kod i anläggningskontrollsystemet.

I ett fall, en övernattningsarbetare laddade ner filmer till en växtdator med ett USB -minne. Men ofta vidtogs sådana åtgärder som ett led i desperata försök att få igång en för närvarande avstängd anläggning. "I det stora prioriteringsschemat, Jag förstår att fokus på att få anläggningen igång igen är en del av kulturen, "säger Madnick." Tyvärr, de saker människor gör för att hålla sin anläggning igång utsätter växten ibland en ännu större risk. "

Att möjliggöra en ny kultur och tankesätt kräver ett seriöst engagemang för cybersäkerhet i ledningskedjan. Begränsningsstrategier kommer sannolikt att kräva en ombyggnad av styrsystemet, köpa ny utrustning, eller göra ändringar i processer och procedurer som kan medföra extra kostnader. Med tanke på vad som står på spel, ledningen måste inte bara godkänna sådana investeringar, men också ingjuta en känsla av brådska i deras organisationer att identifiera sårbarheter och eliminera eller mildra dem.

Baserat på deras studier, forskarna drar slutsatsen att det är omöjligt att garantera att ett industriellt kontrollsystem aldrig kommer att bryta sitt nätverksskydd. "Därför, systemet måste vara utformat så att det är motståndskraftigt mot effekterna av en attack, "säger Khan." Cybersäkerhetsanalys är en kraftfull metod eftersom den genererar en hel uppsättning krav - inte bara tekniska utan också organisatoriska, logistisk, och procedurmässigt - som kan förbättra motståndskraften hos alla komplexa energisystem mot en cyberattack. "

Denna artikel publiceras på nytt med tillstånd av MIT News (web.mit.edu/newsoffice/), en populär webbplats som täcker nyheter om MIT -forskning, innovation och undervisning.