Sistemas de gerenciamento de energia (EMS) são cruciais para a operação e teleassistência de subestações. Com o advento de soluções utilizando redes Ethernet/IP em ampla escala nos sistemas do setor elétrico, é vital que se utilize sistemas e arquiteturas seguras de modo a prevenir que tais sistemas sejam acessados pela rede corporativa ou pelo universo externo a empresa, ficando sujeitos a ataques cibernéticos. Além disso, os protocolos de comunicação entre os Centros e as Subestações, em geral, foram desenvolvidos sem preocupações de cibersegurança. Soma-se a isso, o fato de que as políticas de segurança da área de Tecnologia da
Informação nem sempre consideram as características dos sistemas utilizados no setor elétrico. Ameaças reais, como por exemplo o caso de um ciberataque que desligou companhias de energia da Ucrânia, motivaram um esforço grande de agencias governamentais em muitos países para proteger os sistemas de infraestrutura crítica (ICS). Desta forma, identificou-se a necessidade de rever o plano e as políticas de segurança dos sistemas supervisórios nos centros de controle da transmissão da CEEE-GT.
2. • Introdução e Motivação;
Amplo uso de redes Ethernet tanto para supervisão, parametrização como
teleassistencia de instalações
Aumento da quantidade de Subestações Teleassisitidas dos Centros de Controle
Ataques Recentes a Diversas Empresas de Infraestrutura Crítica
Exemplo mais recente a ONWASA: Ataque de Ramsomware em 4 de Outubro de
2018 na empresa de água e sanemanto da Carolina do Norte que obrigou
operação Manual em suas plantas e instalações .
02/17
3. • Objetivos
Avaliar a situação atual dos Centros de Controle do ponto de vista de segurança
cibernética
Revisar os planos de segurança dos sistemas supervisórios nos centros de controle
da transmissão da CEEE-GT iniciados em 2015
Propor uma arquitetura de segurança para os Centros de Controle
Avaliar ferramentas e tecnologias auxiliares
03/17
4. • Guia de Implantação
Necessidade de um Guia que auxiliasse na implantação e avaliação da
cibersegurança na empresa.
Diversas normas e frameworks disponíveis no mercado tais como a ISO
27001, IEC 62443 (Ou ISA99), NERC-CIP, NIST-DOE e etc.
Todos possuem objetivos similares, uma vez que visam o gerenciamento e
mitigação de riscos com uma melhora continua da cibersegurança de
uma organização.
Escolha do NIST DOE por possuir sua documentação divulgada de maneira
aberta (sem custos adicionais) e ser possível criar ou obter uma ferramenta
de avaliação.
04/17
5. • Ferramenta de Avaliação
Para traçar o perfil de segurança dos centros de operação foi utilizado
como ferramenta o Modelo de maturidade ES-C2M2 (Electricity Subsector
Cybersecurity Capability Maturity Model) o qual possui mapeamento para
o Framework do NIST DOE
Com base na avaliação através dessa ferramenta, se pode identificar
lacunas (gaps) no programa de cibersegurança atual da empresa.
Avaliar potenciais impactos que estas lacunas podem causar.
Definir objetivos
05/17
6. • Niveis de Maturidade (MIL – Maturity Indicator Levels)
▪ Avaliação do nível de maturidade dos
centros de controle da CEEE-GT.
▪ 312 questões distribuídas em 10 domínios.
▪ Respostas servem de base para o Indicador de
maturidade para cada Domínio
▪ Quanto maior o MIL, melhor.
08/17
7. • Os 10 Dominios
✓ Gestão de Mudanças, configurações e Ativos
✓ Gestão do Programa de Cibersegurança
✓ Gestão da Cadeia de Fornecedores e das Dependências Externas
✓ Gestão de Identidades e de Acessos
✓ Resposta a Eventos e Incidentes e Continuidade de Operações
✓ Compartilhamento de Comunicações e Informações
✓ Gestão de Riscos
✓ Consciência Situacional
✓ Gestão de Ameaças e Vulnerabilidades
✓ Gerenciamento da Força de Trabalho
07/17
8. • Perfil no Início de 2018 dos Centros de Operação da CEEE-GT
09/17
9. • Perfil Alvo
Para que se tenha um nível aceitável de segurança em todos os domínios, o foco
do trabalho foi em atingir ao menos o Nível 1 (MIL1) em todos os Domínios.
Os requisitos para o MIL2 e MIL3 foram definidos como sendo foco de uma
revisão futura do perfil alvo de segurança da empresa.
10/17
10. Planos de Segurança (Atividades)
Mapeadas cerca de 30 atividades para se chegar no MIL1. Principais Exemplos:
• Inventário de ativos (hardware e software)
• Análise de vulnerabilidades dos sistemas
• Análise de riscos, indicando os mesmos na arquitetura de rede atual.
• Listar riscos aceitos, mitigados e transferidos.
• Gestão de Usuários e Senhas da Rede Operativa
• Análise Periódica de Logs
• Atividades de Treinamento e Conscientização
• Plano de Continuidade
• Estratégia para isolar a Rede Operativa da Rede de TI
11/17
11. • Arquitetura dos Centros
Necessidade de definição de uma arquitetura “segura” para ter como padrão
Considerar Sistemas Legados
Redundância de Centros e de tecnologias de telecomunicação (ETH e PDH/SDH)
Considera comunicação com agentes externos (ONS, SEs, Distribuidoras,
Acessantes, ...)
Considera disponibilização de informações também na rede corporativa
Considera acessos de parametrização remota a instalações
13/17
14. • Ferramentas Auxiliares – Open Source
Visam auxiliar na Implantação de práticas de segurança:
NAGIOS - Aumentar a visibilidade da rede de supervisão e controle
HTTPS em serviços Web (IHMs) – Trafego entre Data Centers e Sala de Operação
protegido.
OpenVas e NMAP – Scan e Análise de Vulnerabilidades
SNORT - Sistema de Detecção de Intrusão (IDS) para análise de trafego
Syslog Server – Para análise de logs
Iptables – Em Servidores Linux e SAGE para desabilitar portas e liberar apenas
tráfegos realmente necessários
15/17
15. • Conclusões
Os centros ainda possuem diversas lacunas de segurança, porém agora há uma
maior visibilidade dos principais problemas e atividades a serem executadas
Nem todos os domínios do Framework do NIST DOE parecem se aplicar a
realidade e ao modelo do setor elétrico brasileiro. Itens do MIL2 e MIL3 que
poderiam ter mais importância do que do MIL1, ou falta de MIL1
Falta de documentações em Português para ampla divulgação e treinamentos.
Diversas ferramentas/tecnologias que auxiliam a implementar praticas
Melhora continua dos procedimentos relacionas à Segurança cibernética
16/17
16. Segurança Cibernética nos Sistemas dos Centros de Operação da CEEE-GT
Muito Obrigado!
Autores
Fernando Eduardo Covatti
Vitor Donaduzzi
Contato
fernando.covatti@ceee.com.br
vitord@ceee.com.br