Cyberprzestępstwa w sieci elektroenergetycznej

NR 852 EKONOMICZNE PROBLEMY USàUG NR 117 2015

ANNA PAMUàA Uniwersytet àódzki1

CYBERPRZESTĊPSTWA W SIECI ELEKTROENERGETYCZNEJ

Streszczenie

Jednym z podstawowych zagadnieĔ związanych z zastosowaniem nowych roz-wiązaĔ rynku energii i rozwojem Inteligentnej Sieci Elektroenergetycznej (ISE) jest, oprócz utrzymania stabilnoĞci systemu, zapewnienie odpowiedniego bezpieczeĔstwa jej pracy oraz ochrony danych, zwáaszcza dotyczących odbiorców. W artykule zaprezen-towano zagroĪenia i potencjalne skutki oraz szkody, na jakie mogą zostaü naraĪeni dostawcy i odbiorcy energii.

Sáowa kluczowe: rynek energii, Smart Grid, cyberbezpieczeĔstwo.

Wprowadzenie

CyberbezpieczeĔstwo staje siĊ we wspóáczesnym Ğwiecie doktryną, która stanowi podstawĊ wyznaczającą strategiczne kierunki dziaáaĔ na rzecz bezpieczeĔ-stwa w przestrzeni teleinformatycznej, mających zapewniü bezpieczne funkcjono-wanie paĔstwa, spoáeczeĔstwa, podmiotów gospodarczych oraz obywateli. Zmiana paradygmatu pracy sieci elektroenergetycznej z centralnego na rozproszony, z sze-regiem Ĩródeá zasilających oraz znaczącym udziaáem aktywnych na rynku energii odbiorców i szeregiem rozwiązaĔ ICT wykorzystujących narzĊdzia sztucznej inteli-gencji (Ramchurn i in. 2012), powoduje, iĪ kwestie bezpieczeĔstwa stają siĊ jed-nym z podstawowych elementów decydujących o wdroĪeniu nowych rozwiązaĔ. Celem artykuáu jest przedstawienie zagroĪeĔ, zwáaszcza cyberataków, jakie stają przed odbiorcami i dostawcami energii. Rozwój tzw. Inteligentnej Sieci Elektro-energetycznej oznacza wprowadzenie do systemu nowej infrastruktury w postaci

1

ogromnej liczy urządzeĔ i aplikacji pozwalających na dwukierunkową komunikacjĊ i interakcjĊ odbiorców z innymi podmiotami rynku energii. JednoczeĞnie powoduje to wzrost ryzyka potencjalnych ataków na elementy sieci, których skutki mogą kaskadowo rozprzestrzeniü siĊ na poáączone podsystemy (Khurana i in. 2010). Konsekwencją takich dziaáaĔ mogą byü masowe przerwy w dostawach energii, destrukcja urządzeĔ sieci i sprzĊtu odbiorców, czy teĪ chaos na rynku energii spo-wodowany propagacją báĊdnych sygnaáów (na przykáad o cenie energii). Liczba cyberataków, których celem jest sektor energetyczny, gwaátownie roĞnie (Baker i in. 2010), roĞnie równieĪ liczba ataków skierowanych na coraz powszechniejsze w uĪyciu urządzenia mobilne (Symantec 2013). Poziom bezpieczeĔstwa w sektorze nowej energetyki musi wykraczaü poza klasyczne, stosowane do tej pory w biurach i centrach danych rozwiązania i obejmowaü technologie kontroli sieci, w tym takie technologie, jak: zabezpieczenie systemów typu SCADA i innych systemów czasu rzeczywistego, enkrypcjĊ, ochronĊ danych i transmisjĊ danych przy pomocy tech-nologii niezbĊdnych w zaawansowanej infrastrukturze pomiarowej (Advanced Me-tering Infrastructure – AMI) oraz rozwiązaniach informatycznych opartych na modelu chmury obliczeniowej (Pamuáa 2013). Budowa Inteligentnej Sieci Elektro-energetycznej wymaga stworzenia dodatkowej infrastruktury komunikacyjno- -informatycznej wspomagającej bezpieczeĔstwo operacji na rynku energii, progra-mów zarządzania popytem na energiĊ czy systeprogra-mów automatycznego opomiarowa-nia. BezpieczeĔstwo pracy sieci, niezawodnoĞü dostaw oraz moĪliwoĞü zarządzania jej pracą są podstawowymi czynnikami prowadzenia tego typu dziaáalnoĞci. Jed-nostki dziaáające w sektorze elektroenergetycznym, w tym dystrybutorzy i dostaw-cy energii, to przedsiĊbiorstwa prowadzące okreĞloną politykĊ bezpieczeĔstwa, ale rozwój sieci elektroenergetycznych oraz skala i róĪnorodnoĞü związanych z tym wyzwaĔ dotyczących zapewnienia bezpieczeĔstwa są ogromne (McBridge, McGee 2012). Gáówne zagroĪenia wynikają ze zmiany paradygmatu pracy sieci i są konse-kwencją samych jej zaáoĪeĔ:

– transmisji poprzez sieü znacznej liczby danych wraĪliwych,

– znacznie wiĊkszej, w stosunku do stanu obecnego, liczby urządzeĔ do kon-troli pracy sieci oraz poszerzenia lub teĪ zmiany standardów wykorzysty-wanych dotychczas w komunikacji dla celów kontroli zasilania,

– sáabego systemu zabezpieczeĔ znacznej czĊĞci zainstalowanych urządzeĔ, – zmiany standardów komunikacyjnych dotychczas stosowanych i

przyáą-czania do sieci sprzĊtu gáównie poprzez wykorzystanie standardu IP, – zmiany rynku energii pozwalającej odbiorcom na masowy w nim udziaá. StopieĔ zaleĪnoĞci sieci elektroenergetycznej od rozwiązaĔ ICT nieustanie roĞnie. Zaburzenia w systemie komunikacyjnym przekáadają siĊ na zaburzenia w systemie elektroenergetycznym; podobna sytuacja ma miejsce w przypadku od-wrotnym (Pearson 2011). Na ataki naraĪone są wszystkie elementy infrastruktury,

a szczególnie istotne staje siĊ bezpieczeĔstwo danych gromadzonych i przesyáanych przez systemy inteligentnego opomiarowania (Efthymiou i in. 2010).

Intensywne dziaáania w tym zakresie podejmowane są przez UniĊ Europejską (Pearson 2011). W USA w wytycznych wydanych przez NIST2, dotyczących bez-pieczeĔstwa dla nowej sieci elektroenergetycznej, wyróĪniono 3 gáówne obszary wzmocnienia dziaáaĔ:

– dostĊpnoĞü – zapewnienie terminowego i niezawodnego dostĊpu do danych i korzystanie z informacji istotnych dla zarządzania siecią i rynkiem energii, – integralnoĞü – ochrona przed niepowoáaną modyfikacją lub zniszczeniem

oraz zapewnienie wiarygodnoĞci i autentycznoĞci,

– poufnoĞü – zapewnienie autoryzowanego dostĊpu do informacji, zwáaszcza dotyczących osób prywatnych.

BezpieczeĔstwo infrastruktury dotyczy zarówno sfery transmisji i dystrybucji energii, bĊdącej w gestii dostawców, jak równieĪ obszaru inteligentnego opomia-rowania, który moĪe byü obsáugiwany przez inne podmioty rynku czy infrastruktury domowej gospodarstw domowych oraz urządzeĔ wykorzystywanych przez odbior-ców, obejmując wiĊc wiele aspektów, takich jak (McBridge, McGee 2012):

– zabezpieczenie fizyczne samych przedsiĊbiorstw, zainstalowanego sprzĊtu i sieci elektroenergetycznej,

– bezpieczeĔstwo pracy sieci komputerowej, – bezpieczeĔstwo pracy organizacji,

– bezpieczeĔstwo pracy systemów SCADA,

– bezpieczeĔstwo pracy punktów koĔcowych sieci elektroenergetycznej. Internet jest swego rodzaju paradygmatem dla projektowania infrastruktur o duĪej skali, niemniej jednak tworzenie sieci komunikacji dla potrzeb zarządzania w elektroenergetyce wymaga stworzenia bardzo pewnego, wydajnego i bezpieczne-go systemu sterowania urządzeniami zainstalowanymi w infrastrukturze. Istnieją okreĞlone róĪnice w komunikacji za pomocą sieci Internet a komunikacją w ISE, dotyczące miĊdzy innymi obszarów (Wang i in. 2013):

– czasu transmisji danych (ISE: czas krytyczny 3 ms lub mniej, Internet: 100 ms lub mniej),

– natĊĪenia ruchu (ISE: okresowe, Internet: narastające, potĊgowe),

– metryk wydajnoĞci (ISE: przepustowoĞü, rzetelnoĞü, Internet: opóĨnienie komunikatu),

– modelu komunikacji (ISE: dwukierunkowa, peer-to-peer, Internet: end-to-end), – protokoáów (ISE: wáasne, heterogeniczne, Internet: IPv4 i IPv6).

FunkcjonalnoĞü urządzeĔ i aplikacji ISE nie moĪe byü wdraĪana bez zapew-nienia odpowiedniego poziomu bezpieczeĔstwa. Wszystkie strony biorące udziaá w rynku energii (dystrybutorzy, agregatorzy, dostawcy usáug dodatkowych) muszą

2

zapewniaü poufnoĞü przechowywania i przesyáania danych. Idea ISE oznacza nowe funkcjonalnoĞci i nowe rozwiązania biznesowe, ale jednoczeĞnie stwarza nowe zagroĪenia z punktu widzenia bezpieczeĔstwa, co moĪe prowadziü do konfliktu: nowa funkcjonalnoĞü versus bezpieczeĔstwo. Nowe rozwiązania muszą zapewniaü równowagĊ, tzn. system powinien funkcjonowaü w sposób poprawny, nie pozwala-jąc na naduĪycia i bezprawne wykorzystanie.

1. Cele funkcjonowania sieci elektroenergetycznej a zapewnienie bezpieczeĔstwa NadrzĊdnym celem pracy sieci jest dostarczanie energii odbiorcom w sposób niezawodny. System bezpieczeĔstwa musi byü odpowiedzialny za zapobieganie atakom prowadzonym zarówno przez czynnik ludzki, jak i Ğrodowiskowy, minima-lizując negatywne skutki tych ataków, a tym samym poprawiając niezawodnoĞü dziaáania. Analiza danych w ISE peáni kluczową rolĊ, a zatem zapewnienie inte-gralnoĞci, poprawnoĞci i dokáadnoĞci przesyáanych danych ma znaczenie podsta-wowe. Nowy model pracy sieci zakáada rozproszenie Ĩródeá zasilania, co oznacza masową liczbĊ instalacji odnawialnych Ĩródeá energii. Instalując takie Ĩródáo klient moĪe podjąü decyzjĊ o sprzedaĪy energii. Odbiorca tej energii musi mieü pewnoĞü, Īe páaci za rzeczywiĞcie przesáaną energiĊ (dane muszą byü rzetelne), stąd niezbĊd-ne są odpowiednie mechanizmy kontroli dla integracji danych i urządzeĔ w sieci. Kolejnym celem wdraĪania rozwiązaĔ ISE jest redukcja emisji gazów cieplar-nianych. Jednym ze sposobów redukcji jest ograniczenie zuĪycia energii. Odbiorcy bĊdą otrzymywaü na bieĪąco dane na temat konsumpcji energii, co moĪe zachĊciü ich do zmiany przyzwyczajeĔ w korzystaniu z niej. Zgodnie z zasadami ochrony prywatnoĞci wszystkie dane na temat klienta, jego urządzeĔ, profilu muszą byü zabezpieczone przez zastosowanie odpowiednich narzĊdzi kontroli i szyfrowania.

Innym istotnym typem zagroĪenia dla odbiorcy są przerwy w zasilaniu. Za-groĪenia związane z przerwami zasilania w systemie elektroenergetycznym moĪna podzieliü na kilka kategorii (Flick, Morehouse 2011; Pamuáa 2013):

1. ZagroĪenia związane z pogodą i innymi czynnikami naturalnymi – silne wia-try, opady, oblodzenie to czynniki, które mogą prowadziü do uszkodzeĔ linii doprowadzających energiĊ do budynków mieszkaĔców.

2. ZagroĪenia związane z atakami na zaawansowaną infrastrukturĊ i urządzenia zainstalowane w sieci domowej, które mogą wykorzystaü jako furtki do ataku na inne urządzenia caáej sieci, najczĊĞciej dokonywane poprzez:

– Ğledzenie zachowania i stylu Īycia osoby poprzez szczegóáową analizĊ da-nych o zwyczajach konsumenta, np. na portalach, gdzie klienci mogą mo-nitorowaü swoje zuĪycie energii lub porównywaü je z innymi (udostĊp-nianymi przez dostawców lub na innych portalach);

– ataki hakerskie, których motywacja jest podobna do ataków na inne sys-temy (motywy ambicjonalne, testowanie systemu).

Dla prawidáowej pracy sieci elektroenergetycznej szczególne zagroĪenie sta-nowi kategoria wirusów, które zatrzymują pracĊ systemu lub baz danych, w celu wymuszenia okupu na wáaĞcicielach lub uĪytkownikach (tzw. ataki DoS) (Wang 2013). Przystosowanie tego typu wirusów do przejĊcia kontroli nad urządzeniami, takimi jak inteligentny licznik, moĪe zablokowaü dostĊp uĪytkownika do zasilania energią. Powodem takich dziaáaĔ mogą byü motywy psychologiczne (osobowo-Ğciowe), takie jak: chĊü zemsty, káótnie sąsiedzkie, zazdroĞü itp. A dziaáania te mo-gą prowadziü do wyáączenia lub przejmowania kontroli nad licznikami. Osobnym zagroĪeniem jest terroryzm – atakując sieü elektroenergetyczną terroryĞci mogą mieü wpáyw na bardzo wielu uĪytkowników. ZagroĪenie to dotyczy zarówno fi-zycznego uszkodzenia sieci, jak i systemów zarządzania.

KaĪde z potencjalnych zagroĪeĔ, oprócz braku zasilania, moĪe mieü dla do-stawcy i klienta-uĪytkownika energii negatywny skutek finansowy. Przekáamanie danych z infrastruktury inteligentnego opomiarowania spowoduje wzrost wysokoĞci rachunków klientów, nawet jeĞli moĪe to byü wzrost dla odbiorcy niezauwaĪalny.

2. Dostawcy energii a zapewnienie bezpieczeĔstwa pracy systemu

WiĊkszoĞü dziaáaĔ zapewniających bezpieczeĔstwo leĪy po stronie dostawców energii oraz w odpowiednich rozwiązaniach prawnych. Z punktu widzenia dostaw-cy kluczowym elementem zarządzania bezpieczeĔstwem jest zmniejszenie kosztów związanych z jego zapewnieniem, które oprócz kosztów podstawowych obejmują koszty związane z jego naruszeniem (McBridge, McGee 2012) w tym: koszty oso-bowe, koszty naprawy lub zakupu urządzenia, koszty oprogramowania czy koszty administracyjne. Zarządzanie bezpieczeĔstwem wymaga prowadzenia dziaáaĔ anali-tycznych kalkulujących koszty zabezpieczeĔ wraz z kosztami naruszenia bezpie-czeĔstwa, w oparciu o ocenĊ ryzyka wystąpienia i potencjalnych skutków.

KompleksowoĞü i koszty zapewnienia bezpieczeĔstwa bĊdą rosáy wraz z roz-wojem sieci elektroenergetycznej, zwáaszcza Īe wprowadzane rozwiązania są nowe i mogą mieü wiele „luk”, pozwalających na naruszenie bezpieczeĔstwa. PrzedsiĊ-biorstwa energetyczne, aby zapewniü bezpieczeĔstwo pracy systemu, bĊdą musiaáy prowadziü dziaáania w wielu kierunkach związanych z monitorowaniem zagroĪeĔ prowadzących do utraty ich wiarygodnoĞci biznesowej (McBridge, McGee 2012):

– utrata kontroli nad bieĪącą pracą sieci – bezpieczna, niezawodna i prowa-dzona w czasie rzeczywistym kontrola pracy sieci jest podstawą dziaáania dostawców energii; zagroĪenie stanowią przypadkowe i celowe uszkodze-nia urządzeĔ;

– kradzieĪe energii (tzw. straty nietechniczne) związane z nielegalnym pobo-rem lub wáamaniem i zmianą danych w licznikach lub systemach informa-tycznych prowadzące do báĊdnego naliczania rachunków;

– zmiany danych i odmowa Ğwiadczenia usáug w wyniku dziaáania wirusów; zagroĪenie to jest tym wiĊksze im wiĊksza jest liczba doáączanych do sieci urządzeĔ, np. komputerów i urządzeĔ mobilnych wykorzystywanych do zarządzania wykorzystaniem energii przez odbiorców;

– naruszenia zasad bezpieczeĔstwa danych osobowych odbiorców podczas przesyáu lub w miejscu ich gromadzenia – wystąpienie tego zagroĪenia moĪe powodowaü nie tylko utratĊ wizerunku firmy, ale teĪ sankcje karne; – infiltracja sieci przez strony i osoby nieuprawnione;

– nieuprawniony, nieautoryzowany dostĊp do sieci, danych czy aplikacji. W tabeli 1 zamieszczono gáówne zagroĪenia i potencjalne skutki ataków dla odbiorcy i dostawcy energii.

Tabela 1 ZagroĪenia, cele i rezultaty ataków odbiorców i dostawców energii

ZagroĪenie Cel i typ ataku Skutek

KradzieĪ danych osobowych. Wáamanie do bazy poprzez strony internetowe.

Modyfikacja bazy danych. PrzejĊcie danych osobowych klientów, numerów kont, kart. SprzedaĪ danych.

PrzejĊcie i faászowanie danych o konsumpcji energii. Pozbawienie konsumentów praw.

Zmiana danych profilu odbiorcy w celu ukrycia bądĨ ukazania obec-noĞci w okreĞlonym miejscu i czasie.

Obowiązek dostarczenia na Īyczenie odpowiednich organów paĔstwowych Īądanych danych.

Naruszenie praw wáasnoĞci do infor-macji danych osobowych klientów, umów handlowych, strategii itd.

Zasoby organizacji poprzez pro-gramy, np. przeglądarki interneto-we z brakiem aktualizacji.

PrzejĊcie danych z systemu. Instalacja wrogiego oprogramowania. Ujawnienie danych handlowych i planów.

Publikacja w Internecie metod dostĊpu do urządzeĔ pomiarowych.

Masowe oszustwa zawiązane z przesyáaniem nieprawidáowych danych o zuĪyciu energii.

Urządzenia infrastruktury pomia-rowej.

Instalacja nielegalnych programów pozwalających na przesáanie zaniĪonych danych o zuĪyciu energii.

Masowe zaniĪanie rachunków. Masowe zawyĪanie iloĞci energii oddawanej do sieci.

Straty finansowe dostawcy. ObciąĪanie kosztami innych klientów.

Publikacja metod dostĊpu do urządzeĔ i sensorów sterowania siecią, np. związanych z przekierowaniem energii, wyáączeniem fragmentu sieci czy odtworzeniem po zaniku zasilania.

Urządzenia sieciowe. Dane przesyáane z sensorów urządzeĔ pomiarowych do dostaw-cy w postaci niezaszyfrowanej.

Przesyáanie fikcyjnych danych np. o braku zasilania.

Koszty związane z obsáugą nieistnieją-cych awarii.

ObciąĪanie kosztami innych klientów. PrzejĊcie haseá do urządzeĔ domowych

przez znajomych.

PrzejĊcie haseá do sieci domowej, chĊü uprzykrzenia Īycia, zabawa.

Zmiana haseá. OdciĊcie zasilania. Utrudnienie w zarządzaniu zuĪyciem energii.

Nieuprawniony dostĊp do danych przez zwolnionego pracownika.

Wykorzystanie haseá i znanych metod dostĊpu do systemu w celu manipulacji.

ZamkniĊcie konta. Manipulacja danymi.

PrzejĊcie haseá do kont przez hakerów i osoby obce.

Instalacja oprogramowania skanu-jącego hasáa i konta, e-maile z wirusami.

Manipulacja danymi konta. Zmiana profilu zuĪycia energii.

ħródáo: opracowanie na podstawie (Flick, Morehouse 2011; Pamuáa 2013).

MnogoĞü potencjalnych zagroĪeĔ spowodowaáa, iĪ podejmowane są próby tworzenia taksonomii ataków dla rozwijającej siĊ sieci elektroenergetycznej

áączą-cej wiele heterogenicznych systemów, w duĪej czĊĞci korzystających z technologii agentowych do kontroli dziaáania (Hu i in. 2014).

3. Gromadzenie i przesyáanie danych osobowych

System komunikacji w Inteligentnej Sieci Elektroenergetycznej wymaga gro-madzenia, przetwarzania i przesyáania danych osobowych, w tym tzw. danych wraĪliwych. Z punktu widzenia bezpieczeĔstwa waĪne jest okreĞlenie, które dane, w jakich odstĊpach czasu oraz w jaki sposób bĊdą przesyáane do dostawcy i firm TPA3, a takĪe które z nich bĊdą uznawane jako obowiązkowe, a które dobrowolne i przetwarzane za zgodą uĪytkownika. Odbiorca musi mieü peáną informacjĊ o tym, kto i w jakim celu korzysta z danych o nim.

Wielu konsumentów energii nie zdaje sobie sprawy z tego, jakie dane są zbie-rane i gromadzone w systemie inteligentnego opomiarowania oraz udostĊpniane innym firmom. Wykorzystanie danych osobowych w celach innych, niĪ byáy one zbierane, wymaga specjalnej uwagi z punktu widzenia ochrony danych osobowych, jako Īe moĪe zaistnieü ryzyko przejmowania pakietów danych o odbiorcy i jego urządzeniach (Cavoukian i in. 2010). Podobnie rzecz siĊ ma z wykorzystywaniem sieci i portali spoáecznoĞciowych do udostĊpniania klientom moĪliwoĞci monitoro-wania danych o zuĪyciu energii. Jest to wygodne rozwiązanie z punktu widzenia marketingowego, ale niestety ryzykowne z punktu widzenia bezpieczeĔstwa tych danych, jako Īe pomimo stosowania zabezpieczeĔ zanotowano przypadki ich sku-tecznego áamania (Pamuáa 2013).

Ataki, których celem bĊdą odbiorcy energii, mogą ulec nasileniu w momencie wiĊkszego udziaáu na rynku usáug firm trzecich, kiedy odbiorcy bĊdą mogli zdalnie zarządzaü urządzeniami poprzez swoją sieü domową. Istotne jest wiĊc stworzenie równowagi pomiĊdzy korzyĞciami wynikającymi z rozszerzonych moĪliwoĞci ko-munikacyjnych z jednej strony, a zachowaniem prywatnoĞci odbiorców z drugiej. Usáugi z zakresu ochrony i bezpieczeĔstwa sieci domowej mogą staü siĊ dodatkową ofertą dostawców energii dla klientów, stanowiącą dla nich Ĩródáo istotnych przy-chodów (Pamuáa 2013). Znaczenie, jakie dla odbiorcy ma ochrona i bezpieczeĔ-stwo, oraz wysokoĞü budĪetu, jaki jest w stanie przeznaczyü na ten cel, moĪe byü jedną z podstaw prowadzenia segmentacji ofert sprzedaĪy energii powiązanych z ofertą dodatkową. Badanie preferencji odbiorców w tym obszarze wiąĪe siĊ z tworzeniem systemu miar „prywatnoĞci” (Ratliff i in. 2014).

W celu zabezpieczenia danych w systemach inteligentnego opomiarowania proponowane jest juĪ szereg rozwiązaĔ, takich jak: stosowanie odpowiednich stan-dardów (Wang i in. 2013, Metke i in. 2010), anonimizacja danych (Efthymiou

3

2010), wykorzystanie algorytmu nieinwazyjnego monitorowania NILM4 (Ratliff i in. 2014). Budowa systemu bezpieczeĔstwa danych wymaga podejĞcia holistycz-nego, wykorzystującego odpowiednio przygotowane narzĊdzia oparte na koncepcji infrastruktury klucza publicznego (Metke i in. 2010).

4. OdpowiedzialnoĞü odbiorcy energii za bezpieczeĔstwo systemu

Urządzenia mobilne są coraz czĊĞciej i powszechniej uĪywane w celu dostĊpu do informacji, zarządzania páatnoĞciami, w celach biznesowych czy teĪ rozrywko-wych i towarzyskich. Podobnie aplikacje tworzone do zarządzania wykorzystaniem energii dostĊpne bĊdą nie tylko na licznikach i panelach domowych, ale wáaĞnie na urządzeniach mobilnych. OdpowiedzialnoĞü odbiorców za bezpieczeĔstwo systemu odnosi siĊ miĊdzy innymi do prawidáowego zabezpieczenia tych urządzeĔ i postĊ-powania zgodnie z zasadami przyjĊtymi przez dostawcĊ, np. ustalania silnych haseá dostĊpowych czy nieudostĊpniania danych do kont, stosowania oprogramowania antywirusowego.

Rys. 1. Wykorzystanie programów antywi-rusowych na urządzeniach mobil-nych

Rys. 2. Czy aplikacje do zarządzania ener-gią w domu bĊdą bardziej naraĪone na ataki niĪ inne (np. bankowe)? ħródáo: opracowanie wáasne na podstawie badaĔ.

W badaniach przeprowadzonych wĞród studentów kierunków Zarzadzanie, Finanse i Logistyka Uniwersytetu àódzkiego na przeáomie 2014 i 2015 roku prawie 42% respondentów uznaáo, Īe przesyáanie przez inteligentne liczniki danych

4

Nonintrusive load monitoring – algorytm pozwalający na podstawie analizy zmian na-piĊcia na okreĞlenie, jakie urządzenia pobierające energiĊ są wykorzystywane przez odbiorcĊ.

darmowe 41,82% 0 pųatnez peųnČ ochronČ 3,64% brak 47,27% brak odp. 7,27% tak 5,45% raczejtak 12,73% brak zdania 32,73% raczejnie 30,91% nie 7,27% brakodp. 10,91%

zanych z wykorzystaniem energii przez urządzenia domowe nie budzi ich obaw. Jedynie okoáo 5,5% respondentów uznaáo, iĪ tego typu aplikacje mogą byü bardziej naraĪone na ataki (rysunek 2). W tej samej grupie prawie 48% badanych przyznaáo, Īe nie korzysta z programów antywirusowych na urządzenia mobilne (rysunek 1). 80% respondentów wyraziáo opiniĊ, Īe o bezpieczeĔstwo i ochronĊ danych przesy-áanych dla potrzeb zarządzania wykorzystaniem energii na urządzenia mobilne powinien dbaü dostawca aplikacji, okoáo 50% byáo zdania, iĪ odpowiedzialnoĞü leĪy po stronie dostawcy energii. JednoczeĞnie prawie 53% respondentów uznaáo wspóáodpowiedzialnoĞü wáaĞciciela urządzenia.

Odbiorcy energii bĊdą nadal w duĪym stopniu uzaleĪnieni od sieci elektrycz-nej i dostawców energii, we wszystkich aspektach codziennego Īycia, związanego z korzystaniem z urządzeĔ zasilanych prądem. Zmiany paradygmatu pracy sieci elektroenergetycznej spowodują, Īe konsumenci bĊdą naraĪeni na nowe zagroĪenia, np. w postaci ataków hakerskich na wáasną, domową sieü. Aby zapobiegaü zagro-Īeniom i minimalizowaü ich skutki, odbiorcy bĊdą liczyü na dostawców i organy prawne. Nie mniej istotne jest, aby wykorzystywali dobre praktyki, np. stosując oprogramowanie antywirusowe czy silne hasáa dostĊpu do systemu.

Podsumowanie

BezpieczeĔstwo rozwijającej siĊ sieci elektroenergetycznej stanowi kombina-cjĊ wielu czynników: dziaáaĔ dostawców, odbiorców, dostawców aplikacji i usáug oraz prowadzonej przez paĔstwo polityki ochrony w cyberprzestrzeni.

Nowoczesne technologie informatyczno-komunikacyjne stanowią nie tylko udogodnienie w Īyciu konsumentów, ale teĪ zagroĪenie. Energia jest dobrem pod-stawowym, bez którego wiĊkszoĞü konsumentów nie jest w stanie funkcjonowaü. Praktycznie nie ma moĪliwoĞci stworzenia w 100% caákowicie bezpiecznej aplika-cji czy sieci i rozwijająca siĊ sieü elektroenergetyczna nie bĊdzie w tym zakresie wyjątkiem. PoufnoĞü, dostĊpnoĞü, integralnoĞü i wiarygodnoĞü danych są to czyn-niki stanowiące podstawĊ bezpieczeĔstwa informacji i muszą byü zaimplemento-wane w sposób satysfakcjonujący, tak aby nowe rozwiązania mogáy byü bezpieczne i funkcjonalne.

Literatura

1. Baker S., Filipiak N., Timlin K. (2010), In the Dark: Crucial Industries Confront Cyberattacks, McAfee Second Annual Critical Infrastructure Protection Report Written with the Center for Strategic and International Studies (CSIS), McAfee, http://www.mcafee.com/us/resources/ reports/rp-critical-infrastructure-protection.pdf.

2. Cavoukian A., Polonetsky J., Wolf C. (2010), Smart privacy for the Smart Grid: Embedding Privacy into the Design of Electricity Conservation, Identity in the In-formation Society, August, Volume 3, Issue 2, pp 275-294, IDIS, 3, Springer, DOI: 10.1007/s12394-010-0046y.

3. Efthymiou C., Kalogridis G. (2010), Smart Grid Privacy via Anonymization of Smart Metering Data, First IEEE International Conference on Smart Grid Com-munications, Gaithersburg 4-6 Oct., IEEE, 978-1-4244-6511-8/10.

4. Flick T., More House J. (2011), Securing the Smart Grid. Next Generation Power

Grid Security, Syngress.

5. Hu J., Pota H.R, Guo S. (2014), Taxonomy of Attacks for Agent-Based Smart Grid, IEEE Transactions on Parallel and Distributed Systems, Vol. 25, No. 7, July. 6. Khurana H., Hadley M., Lu N., Frincke D.A. (2010), Smart-Grid Security Issues,

IEEE Security and Privacy, co-published by the IEEE Computer and Reliability Societies, January/February.

7. McBride A., McGee A.R. (2012), Assessing Smart Grid Security, Bell Labs Tech-nical Journal 17(3), 87–104 Wiley Periodicals online Wiley Online Library (wileyonlinelibrary.com) DOI: 10.1002/bltj.21560.

8. Metke A.R., Ekl R.L. (2010), Security Technology for Smart Grid Networks, IEEE Transactions on Smart Grid, Vol. 1, No. 1, June.

9. Pamuáa A. (2013), ZaangaĪowanie odbiorców z grupy gospodarstw domowych w zarządzanie popytem na energiĊ, Wydawnictwo Uniwersytetu àódzkiego, àódĨ. 10. Pearson I.L.G. (2011), Smart Grid Cyber Security for Europe, Energy Policy 39. 11. Ramchurn S.D., Vytelingum P., Rogers A., Jennings N.R. (2012), Putting the

‘Smarts’ into the Smart Grid: A Grand Challenge for Artificial Intelligence, Communications of the ACM, April, vol. 55, No. 4, DOI:10.1145/ 2133806.2133825.

12. Ratliff L.J., Dong R., Ohlsson H., Cardenas A.A., Sastry S.S., Privacy and Cus-tomer Segmentation in the Smart Grid. http://www.eecs.berkeley.edu/~ratliffl/ Re-search/papers/2014CDC.pdf.

13. Symantec, Internet Security Threat Report 2013, Vol. 18, 2013.

14. Wang W., Lu. Z., (2013), Cyber Security in the Smart Grid: Survey and Challen-ges, Computer Networks 57.

CYBER ATTACKS IN SMART GRID

Summary

One of the basic Smart Grid challenge is to supply energy via the complex strong-ly ICT depended system with more efficiency and reliability ensuring at the same time high level of security. Because of its new dispersed and heterogeneous nature the Smart Grid is exposed to different type of cyber-attacks. The main objective of this paper is to provide a look of basic threatens and their impact to utilities and energy consumers. Keywords: energy market, Smart Grid, cyber security.