About these ads
Home > Security > Smart Grid? Dumb Security!

Smart Grid? Dumb Security!


Gli eventi che stanno sconquassando il Vecchio Continente ai suoi confini meridionali ripropongono purtroppo l’immancabile litania del problema energetico che lega indissolubilmente l’Occidente ai paesi produttori di petrolio in cui, guarda a caso, il livello dei diritti civili (e indirettamente la stabilità politica) è sempre inversamente proporzionale ai barili di petrolio prodotti.

Tra le soluzioni che l’occidente (cosiddetto) evoluto sta approntando per far fronte alle necessità di ottimizzare i consumi energetici, rientrano le cosiddette Smart Grid, ovvero le reti di distribuzione energetica intelligente, che costituiscono uno degli ingredienti fondamentali per il raggiungimento degli obiettivi Europei  del pacchetto clima-energia “20-20-20”. Approvato nel 2008, il pacchetto prevede entro il 2020 la riduzione del 20% delle emissioni di gas serra rispetto ai livelli del 1990, l’aumento dell’efficienza energetica del 20%, e che il 20% di produzione di energia elettrica provenga da fonti rinnovabili. Per il Belpaese questi obiettivi si traducono nel raggiungimento, da un livello del 5,2% nel 2005, ad un livello di produzione di energia da fonti rinnovabili del 17% entro il 2020.

Una Smart Grid altro non è che una griglia energetica che utilizza tecnologie proprie del mondo IP per consentire comunicazioni bidirezionali, coordinamento e controllo finalizzati ad una redistribuzione intelligente e dinamica dell’energia elettrica per far fronte ad eventuali picchi di consumo, oppure per ottimizzare la fornitura a fronte di cali improvvisi di consumo. In sostanza una rete di informazioni (basata su IP) viene sovrapposta ad una rete elettrica tradizionale, rendendo i nodi di consumo in grado di comunicare con la rete di distribuzione al fine di rendere l’intera struttura distribuita, resiliente, sicura e reattiva nei confronti delle richieste dei consumatori e delle possibilità di offerta degli operatori.

Da un punto di vista concettuale, una smart grid è per tutto assimilabile ad Internet:

  • E’ gerarchica nella sua struttura e possiede punti di demarcazione (ovvero di passaggio) tra diversi (Internet) Service Provider ben definiti;
  • La rete di generazione e trasmissione è assimilabile ad un backbone;
  • All’interno di aree geografiche limitrofe, le utility produttrici di energia distribuiscono l’energia agli utenti finali su Neighborhood Area Network (NAN) o Field Area Network (FAN), equivalenti alle Metropolitan Area Network (MAN) proprie del mondo IP.
  • La linea di demarcazione tra la rete di distribuzione e il consumatore (domestico o industriale) è rappresentata dall’Advanced Metering Infrastructure (AMI), che equivale ad un contatore elettronico di ultima generazione in grado di effettuare comunicazione bidirezionale con la rete di distribuzione. In ambito IP l’AMI corrisponde esattamente al ruoter di accesso (Customer Equipment) dall’ultimo miglio alla rete del provider a cui le nostre connessioni internet ci hanno ormai abituato;
  • All’intero di una casa o di un ufficio la Smart Grid si appoggia su una Home Area Network (HAN) o su una Building Area Network (BAN), concetti equivalenti approssimativamente ad una LAN di piano o LAN di palazzo. Aree più vaste delimitate da un AMI vengono chiamate Infrastructure Area Network (IAN)  e corrispondono aii cosiddetti campus del mondo IP).

Fino a qui le belle notizie: una rete Smart Grid è resiliente, distribuita, dinamica, consente di ottimizzare i consumi e sensibilizzare gli utenti sul valore dell’energia grazie alle funzioni per cui è stata concepita, ovvero:

  • Riprendersi autonomamente da perturbazioni (sbalzi e interruzioni di corrente);
  • Sensibilizzare gli utenti su un utilizzo più efficiente dell’energia;
  • Migliorare la qualità dell’energia in linea con le attuali esigenze di consumo;
  • Funzionare con diverse possibilità di generazione e consumo;
  • Permettere la creazione di nuovi prodotti, servizi e mercati
  • Ottimizzare l’utilizzo delle risorse.

Da qui in poi le brutte notizie: una rete Smart Grid, generalmente è composta da tecnologie eterogenee di 15/20 anni fa (è questo il tipico ciclo di vita dei componenti). Tecnologie eterogenee (e sovente non proprio di ultimissima generazione) che utilizzano il protocollo IP per trasportare le informazioni e che sfortunatamente non sono state create per garantire i livelli di sicurezza richiesti dall’apertura garantita dal mondo Internet. Se da un lato il protocollo IP costituisce l’intelligenza del sistema che consente ai vari nodi di pensare come un unico ecosistema, l’apertura verso questa intelligenza ha un prezzo costituito dal dover abbracciare inconsapevolmente le minacce annidate tra i pacchetti. Queste minacce nel caso di una Smart Grid potrebbero significare, nel peggiore dei casi, la possibilità di rendere indisponibile l’intera rete o una parte consistente di essa.

Pensandoci bene, dal punto di vista della connettività, le reti Smart Grid rappresentano un salto verso l’ignoto, ed è interessante il parallelismo con la rete Internet: nata per interconnettere i computer continentali di Oltreoceano, nessuno avrebbe potuto prevedere una simile diffusione, una simile influenza nella cultura e nella vita di tutti (e un simile impatto dei problemi di sicurezza da essa scaturiti). A peggiorare ulteriormente il quadro concorre l’evidenza che i sistemi di controllo delle Smart Grid, come il vituperato Supervisory Control and Data Acquisition, (esatto proprio lo SCADA già compromesso nel caso di Stuxnet) saranno costretti a raggiungere un livello di complessità notevole per essere in grado di gestire il proliferare delle smart grid e i dati raccolti  dalle stesse (provo un sottile brivido al pensiero dei relativi problemi di Privacy): “old-school SCADA that’s been bolted into some sort of a newer technology“.

La conseguenza è che le utility di energia stanno di fatto costruendo una nuova Internet, un vero e proprio universo parallelo, come lo definisce il National Institute of Standards and Technology (NIST), che, sulla scia dei problemi di sicurezza ha rilasciato appositi standard e specifiche per la cyber-sicurezza dei sistemi di controllo smart-grid.

Dei problemi di sicurezza delle Smart Grid si è parlato anche all’ultima RSA Conference 2011. Allo stato attuale il problema principale è rappresentato dall’obsolescenza della tecnologia (il tipico ciclo di vita è di 15/20 anni) dalla frammentazione della stessa tecnologia e delle competenze: le utility hanno centinaia di standard e protocolli differenti, e tipicamente le risorse che gestiscono le infrastrutture hanno  poche competenze IT. Questo rende difficile anche la convergenza tra le diverse discipline, come se ad una convergenza tra le tecnologie, di distribuzione dell’energia e di controllo basato su IP, non fosse corrisposta una analoga convergenza tra le strutture di gestione e questo un po’ anche per ragioni culturali: chi gestisce le utility ha poca fiducia su chi proviene dal mondo IT abituato a mettere le mani a destra e manca, e tende di conseguenza a tenere la gestione del proprio mondo chiusa.

Ma quali sono gli attacchi a cui potrebbero essere vulnerabili le Smart Grid?

Chi si ricorda “Una Poltrona Per Due” ricorderà il goffo tentativo di aggiotaggio dei fratelli Duke (interpretati da Ralph Bellamy e un impareggiabile Don Ameche) basato sulla conoscenza in anticipo del prezzo delle arance finalizzato a speculazioni borsistiche. Arance a parte nel caso di una Smart Grid lo scenario non sarebbe molto diverso: un attaccante potrebbe manipolare i dati della griglia intrufolandosi virtualmente all’interno di una substation di distribuzione e intercettando le comunicazioni tra substation, operatori, e fornitori di elettricità. Poiché questi dati sono usati dagli operatori per fissare i prezzi dell’elettricità e per bilanciare la domanda e offerta di energia, nel migliore dei casi gli operatori potrebbero fare milioni di dollari a spese dei contribuenti (prevedendo e influenzando artificialmente il costo dell’energia alterando le richieste), nel peggiore dei casi potrebbero rendere la griglia instabile causando blackout. Il perché è facilmente comprensibile sulla base del processo di fatturazione di una smart grid: tipicamente gli operatori fissano il prezzo dell’energia un giorno prima in base ai dati raccolti su disponibilità e necessità dei clienti, e sulla base delle stesse previsioni preparano l’infrastruttura a sostenere il consumo che verrà fatturato il giorno successivo. Ovviamente è sufficiente manipolare i dati per creare necessità artificiose, alterare i prezzi e con tutta probabilità diventare milionari scommettendo in borsa sul prezzo dell’energia (ti piace vincere facile…)

Questo è teoricamente possibile già oggi, ma basta chiudere gli occhi e pensare ad un futuro non troppo lontano che già si delineano gli scenari prossimi venturi: ad esempio le stazioni di ricarica delle autovetture elettirche, tutti punti deboli e interconnessi, in cui un singolo point of failure, aperto al mondo esterno e quindi accessibile, potrebbe compromettere l’intera infrastruttura.

Come uscire dal tunnel? Sicuramente con investimenti tecnologici che applichino nativamente agli elementi di una Smart Grid le funzioni di sicurezza proprie del mondo IP (a cominciare dalla cifratura), con un nuova impostazione interdisciplinare che elimini le barriere tra gestori delle utility e gestori delle infrastrutture IT, e soprattutto con un approccio strategico che integri le funzioni di analisi del rischio e gestione del rischio a tutti i livelli della griglia.

Una mano in questo senso verrà sicuramente con il programma NERC CIP (North American Electric Reliability Corp.’s Critical Infrastructure Protection Plan), piano recentemente aggiornato che raccoglie oltre 100 standard e stabilisce i requisiti per la protezione degli elementi critici di una Smart Grid, avendo come punto di partenza ed elemento chiave proprio la sicurezza delle infrastrutture IT.

Con la sete di energia, l’instabilità che caratterizza certe zone del globo, e l’evidenza che le guerre si stanno spostando sulle scacchiere virtuali, c’è da essere certi che sentiremo molto spesso parlare delle Smart Grid… E non solo per gli indubbi vantaggi energetici…

About these ads

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

Follow

Get every new post delivered to your Inbox.

Join 2,705 other followers