CLASS 2022 - Júlio Cezar de Oliveira (Hitachi Energy) - Cibersegurança na era das subestações de energia digitais: aplicação do conceito de defesa em profundidade
Similar a CLASS 2022 - Júlio Cezar de Oliveira (Hitachi Energy) - Cibersegurança na era das subestações de energia digitais: aplicação do conceito de defesa em profundidade
Similar a CLASS 2022 - Júlio Cezar de Oliveira (Hitachi Energy) - Cibersegurança na era das subestações de energia digitais: aplicação do conceito de defesa em profundidade (20)
ATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docx
CLASS 2022 - Júlio Cezar de Oliveira (Hitachi Energy) - Cibersegurança na era das subestações de energia digitais: aplicação do conceito de defesa em profundidade
1. CIBERSEGURANÇA NA ERA DAS
SUBESTAÇÕES DIGITAIS: APLICAÇÃO DO
CONCEITO DE DEFESA EM
PROFUNDIDADE
Julio Oliveira
Gerente de Tecnologia – Grid Automation
2. ANTES, UMA PROVOCAÇÃO: STATUS QUO EM FUNCIONAMENTO
As arquiteturas de automações em subestações de energia elétrica: Ontem e hoje
• Técnicas de comunicação proprietárias
• Interfaces seriais dominantes
• Uso de gateways e RTUs
• Aumento drástico do uso da Ethernet como técnica de enlace
• Integração entre equipamentos na sala de controle
• Uso de protocolos abertos e normatizados
Disrupção
!!!
Em ambos os casos, estes sistemas são total ou parcialmente isolados de quaisquer outros processos da empresa
3. ANTES, UMA PROVOCAÇÃO: RISCOS
• Os riscos:
Avaliações e governança são necessárias para uma tomada de decisão correta
As empresas podem entender, de acordo com suas
avaliações, que não há necessidade de mudanças na
operação e que os riscos, mesmo que concretizados, não
apresentam uma ameaça para o negócio ou a
probabilidade deles se materializarem é baixa ou nula.
São aceitos
Neste caso, medidas de proteção em níveis técnicos e
organizacionais são tomadas para reduzir o impacto do
dano (se o risco se confirmar) ou para reduzir a
probabilidade de que ele se manifeste. Há investimentos
decorrentes desta ação.
São mitigados
Na organização, um determinado risco pode se apresentar
como uma ameaça que afete a continuidade do negócio
de tal forma que ações para removê-lo se façam
necessárias - e viáveis no ponto de vista econômico.
São eliminados
4. ANTES, UMA PROVOCAÇÃO: MOTIVAÇÕES DE MUDANÇA
Cibersegurança? Governança de segurança da informação em OT? Por que?
Há algumas vertentes catalisadoras de
mudanças em sistemas de automação de
energia elétrica ...
Sistema legados e obsoletos
Custos de manutenção associados
Transição da força de trabalho/know-how
Roadblocks de integração ente sistemas
Limitação de supervisão/telemetria
Depreciação do ativo/vantagens em modernizar
... e a digitalização, na jornada de
descentralização e descarbonização traz
benefícios concretos na era da indústria 4.0.
Com toda a inteligência agregada com a digitalização na era do Grid 4.0 e sendo energia elétrica uma
infraestrutura de missão crítica, não faz todo sentido proteger dados/informações destes sistemas modernos?
6. AGENDA
1. A norma IEC 61850: Um game changer
2. Os conceitos do ecossistema de uma subestação digital
3. O projeto de P&D da SE Isa-CTEEP Jaguariúna 4.0
4. Aplicação prática dos conceitos de defesa em profundidade
5. Considerações finais
Cibersegurança na era das subestações digitais: Defesa em produndidade
7. 1. A norma IEC 61850: Um game changer
A partir daqui, as coisas jamais seriam as mesmas ...
8. A NORMA IEC 61850: UM GAME CHANGER
A norma IEC 61850 teve a maior
parte dos seus capítulos publicados
em 2005, e alguns deles estão
evoluindo rapidamente (já na
edição 2.1) e outros estão surgindo a
cada ano.
O início de sua aplicação selou o
uso massivo da técnica de enlace
Ethernet nas subestações de
energia, tanto no envio dos dados
ao centros de controle como nas
redes de OT.
Uma nova forma de criar, desenvolver, testar e implementar sistemas de automação
Fonte: PacWorld Magazine, Setembro 2020
9. A NORMA IEC 61850: UM GAME CHANGER
Uma série de novos recursos, sem precedentes neste
tipo de aplicação foram introduzidos:
• Uso de metadados para o fluxo de comunicação
• Arquivos XML/SCL para a a descrição do fluxo de
comunicação da arquitetura, funcionalidades & configurações
disponíveis nos IEDs, bem como para realizar a integração dos
equipamentos pela rede Ethernet
• Comunicação em tempo real e cooperativa entre os IEDs
• Comunicação em tempo real com o pátio da subestação na
digitalização das grandezas elétricas em sua origem (seja
com equipamentos primários inteligentes ou por meio das
merging units)
• Estabelecimento de técnicas de redundância poderosas e
robustas para a redes Ethernet industriais (IEC 62439-3)
• Estabelecimento de uma técnica de sincronismo para os IEDs
e para as redes Ethernet com um perfil específico da técnica
PTP – Precision time protocol (IEC 61850-9-3)
• Protocolos interoperáveis. Modelos de dados interoperáveis.
Fim das técnicas proprietárias para comunicação
• Modelo de dados hierárquico moldado com o método UML
Mas o que mudou, de fato?
Integração sistêmica por meio de arquivos XML
Modelo hierárquico
- Device
- Função
- Objeto
- Atributo
- Valor
Metadados
Como proteger esta infraestrutura???
10. 2. Os conceitos do ecossistema de uma
subestação digital
Para um sistema de proteção e controle, uma
verdadeira disrupção na forma de construir as
aplicações
11. OS CONCEITOS DO ECOSSISTEMA DE UMA SUBESTAÇÃO DIGITAL
Uma visão holística, além do process bus
IEC 62243 e Purdue Model ... Visões semelhantes
12. 3. O projeto de P&D da SE Isa-CTEEP
Jaguariúna 4.0
Inovação, geração de conhecimento e ...
Cybersecurity!!!!
13. O PROJETO DE P&D DA SUBESTAÇÃO ISA-CTEEP JAGUARIÚNA 4.0
Disrupção, open Innovation e foco em cibersegurança
Sudeste brasileiro, Isa CTEEP headquarters
Maior empresa privada de transmissão de
energia elétrica do setor elétrico brasileiro
presente em 17 estados com mais de
19.000 km de linhas e 140 subestações. A
Isa é uma empresa colombiana, também
presente no Chile e no Peru.
Disrupção
Digitalização do pátio
Real time Ethernet
Sicronização de tempo em
microssegundos
Quatro cadeias de proteção e
controle
Industrial WiFi
Redundância zero switchover
time
Conceito de proteção
centralizada
Corrente, tensão e sinais
binários entre subestações
Automatismo de recomposição
automática
Geração de conhecimento
Documentação acadêmica
Material de treinamento
Artigos para periódicos
especializados
Artigos para congressos
Novos procedimentos de testes
para automação de subestação
Documentação orientadfa aos
arquivos IEC 61850 SCL
Cybersecurity
Redução da superfície de
ataque
Defesa em profundidade
Defesa em diversidade
IEC 62443/62351
Pentesting
Open Innovation
IoT para monitoramento do banco
de baterias
Integração com o sistema SACADA
Conectividade via Industrial WiFi
Testes integrados
14. O PROJETO DE P&D DA SUBESTAÇÃO ISA-CTEEP JAGUARIÚNA 4.0
Perímetro do station bus
Uma rede de alto grau de conectividade, alto grau de integração e ... de missão crítica:
15. O PROJETO DE P&D DA SUBESTAÇÃO ISA-CTEEP JAGUARIÚNA 4.0
Perímetro do process bus
A rede mais crítica da subestação, com um próposito único:
16. 4. Aplicação prática dos conceitos de
defesa em profundidade
IEC 61850, IEC 62351, IEC 62443 e um novo mundo
17. APLICAÇÃO PRÁTICA DOS CONCEITOS DE DEFESA EM PROFUNDIDADE
Uma subestação digital secure by design
Station
bus
Process
bus
VLAN X VLAN Y
Redução da superfície de ataque
Stationbus
Process bus
• Segregação das redes do
station e process bus
• VLANs & diferentes
domínios de broadcast
• Divisão da rede por nível
de tensão
1
Segregação de zonas/perímetros
Station
bus
2
Antimalware, antivírus e white list
• Endpoint protection
• Application control
3
Defesa em diversidade
AFF665
Fortigate 60F
4
• Duas tecnologias de firewalls juntas:
- Statefull
- Next generation
CAM and triple A
SDM600, virtualized
• CAM
- Para os IEDs
- Para o MSCADA
• Auditoria
• Autenticação
• Autorização
5
Contingency and availability
Patching a partir
da DMZ
Redundância
PRP/HSR
Backup e
recovery
6
Vulnerability check
Nozomi R50 Guardian
• Tracking de ativos
• Monitoramento de riscos
• Detecção de ameaças
• Report e alertas
7
Quantum encryption
FOX615
• Transmissão de SVs e GSEs entre
duas subestações com
criptografia de tempo real
8
Hardening do sistema
• Baseada em:
- 62351
- 62443
9
19. CONSIDERAÇÕES FINAIS
A geração de conhecimento obtida por um projeto de pesquisa com este perfil colabora com
informações que pode melhorar as aplicações futuras de Grid 4.0/subestações digitais além de
capacitar futuros profissionais
A infraestrutura de missão crítica para OT demanda de cuidados especiais. Os benefícios da
digitalização são evidentes considerando aplicações devidamente planejadas, porém as
vulnerabilidades crescem proporcionalmente ao aumento do nível de integrações agora possíveis.
Os sistemas de energia elétrica, em âmbito geral, estão se tornando mais inteligentes, mais
conectados e com as aplicações mais integradas. A segurança da informação não pode ser
negligenciada – e é importante ressaltar que não há uma solução única para resolver este tema.
Parcerias, normas e aplicações 4.0: Sinergias