Post on 30-Jul-2020
José Reynaldo Formigoni Filho, MSc
Gerente de Desenvolvimento de Tecnologias de Segurança da
Informação e Comunicação
Rafael de Simone Cividanes, MSc
Especialista Senior em Segurança da Informação e Comunicação
Julho de 2015
WORKSHOP ENERGIA
SMART GRIDSCibersegurança em
Smart Grid
Agenda
Ameaças e vulnerabilidades em Smart Grid
Ações para mitigar o problema
Projetos Smart Grid no Brasil
Segurança em projetos Smart Grid no Brasil
Comentários finais
Conselho Curador
Diretoria Executiva
Conselho Fiscal
Fórum P&D
Fundação de direito privado
Flexibilidade
Superávit reinvestido
Governança corporativa
Principais áreas de P&D
Comunicações
Ópticas
Comunicações
Ópticas
Comunicações
ÓpticasPlataformas IP
Comunicações
Ópticas
Sistemas de
Suporte a
Operações e
Negócios
Comunicações
Ópticas
Segurança da
Informação e
Comunicação
Comunicações
Ópticas
Redes e
Tecnologias
de Sensores
Comunicações
Ópticas
Serviços,
Aplicações,
Terminais e
Inclusão Digital
Comunicações
Ópticas
Gerenciamento
da Decisão
Comunicações
Ópticas
Comunicações
Móveis e Redes
sem Fio
Comunicações
ÓpticasSmart Grid
www.cpqd.com.br
Nossas atividades
Projetos de P&D
Produtos e
Soluções
Serviços
Gerenciados de SIC
Especializados de SIC
Consultoria em SIC
Conhecimento e
Infraestrutura de
laboratório
Tecnologias
Agenda
Ameaças e vulnerabilidades em Smart Grid
Ações para mitigar o problema
Projetos Smart Grid no Brasil
Segurança em projetos Smart Grid no Brasil
Comentários finais
As principais ameaças em Smart Grid
Fraude no consumo de
energia: uma interferência
na infraestrutura de medição
pode possibilitar o não
pagamento da energia
consumida
Exposição à privacidade do
usuário: Pesquisas apontam que os
dados de medição podem revelar
atividades e comportamentos dos
usuários
Ameaça + Vulnerabilidade
=
Ataque bem sucedido
Propagração de código
malicioso: propagação de
códigos maliciosos sobre a
estrutura AMI (Advanced
Meter Infrastructure)
Ataques à rede para desligamento
em massa do serviço
Privacidade em Smart Grid: o que os dados do
consumidor podem revelar*
* NIST - Guidelines for Smart Grid Cyber Security: Vol. 2, Privacy and the Smart Grid
Privacidade em Smart Grid: o ponto de vista do
consumidor*
• http://stopsmartmeters.org/why-stop-smart-meters/
Stop Smart Meters!
• Utilities across the country are installing so-
called ‘smart’ meters.
• As a result, bills are skyrocketing, health
effects and safety violations are being
reported, and privacy in our homes is
being violated.
• Do we really need wireless smart meters?
Vulnerabilidades em Smart Grid
Ambiente do cliente
Medidoresinteligentes
MedidorEletricidade
Ambiente de Rede de
Comunicação
Infraestruturade
comunicação
Arquitetura e Elementos das
Redes de transmissão e suas configurações:
• Curta distância• Longa distância
MDM - Meter Data Management
Políticas Processos
Pessoas
Ambiente da Concessionária
Sistemas (HW e SW), Políticas,Processos e Pessoas
Internet
Vulnerabilidades no smart meterRequisitos de segurança em hw:
• Interfaces desprotegidas
• Mecanismos anti-tampering
• Verificação de integridade de
hardware
• Mecanismos anti-engenharia reserva
de hardware
• Ausência de backdoors de hardware
• Mecanismo de controle de falhas em
hardware
Requisitos de segurança em sw:
• Autenticação
• Autorização
• Registro de logs
• Detecção de falhas de software
• Armazenamento seguro de dados
• Inicialização segura
• Suporte à criptografia
• Autenticidade de firmware embarcado
Agenda
Ameaças e vulnerabilidades em Smart Grid
Ações para mitigar o problema
Projetos Smart Grid no Brasil
Segurança em projetos Smart Grid no Brasil
Comentários finais
Entidades internacionais envolvidas
International
Electrotechnical
Commission
ENERGY
CEN - Comité Européen de Normalisation
CENELEC - Comité Européen de Normalisation Electrotechnique
Ações para mitigar o problema - EUA
NIST - National Institute of
Standards and Technology –
Guidelines for Smart Grid
Cybersecurity
Os documentos descrevem:
• Processos de análise de
risco
• Requisitos de segurança
• Arquitetura segura
• Privacidade
• Análise de classes de
potenciais vulnerabilidades e
seus impactos na
organização
Ações para mitigar o problema - CE
CEN/CENELEC/ETSI
• EC DG-ENERGY – M/490
• SGCG-SGIS Working Group
Ações no Brasil
• Padronização:
• Instituto Nacional de Metrologia, Qualidade e
Tecnologia – INMETRO. RTM 586 - Regulamento
Técnico Metrológico – 2012: RTM de software para
medidor eletrônico de energia elétrica e software
para sistema distribuído de medição de energia
elétrica – 01/11/2012
• Criação do Grupo de Infraestruturas Críticas pelo COMITÊ
GESTOR DE SEGURANÇA DA INFORMAÇÃO do GSI – Gabinete
de Segurança Institucional da Presidência da República -
PORTARIA No - 41, DE 9 DE OUTUBRO DE 2014
• UTCAL (Utilities Telecom Council América Latina) – primeira
reunião do GT de Cybersecurity: 05/08/2015
Agenda
Ameaças e vulnerabilidades em Smart Grid
Ações para mitigar o problema
Projetos Smart Grid no Brasil
Segurança em projetos Smart Grid no Brasil
Comentários finais
Projetos de P&D com fundo Aneel
Ano Número de projetos Valor (US$ mi)
2009 226 154,50
2010 569 821,59
2011 462 500,00
2012 489 769,23
2013 180 348,84
Total 1926 2.594,16
* Aneel – Relatórios de Gestão do Exercício 2009-2013
Projetos Smart Grid no Brasil*
•Total de empresas elétricas envolvidas com projetos:
• Geração: 21
• Transmissão: 7
• Distribuição: 34
• Número de projetos: 273 de 2008 a 2013
•Total de investimento: ~US$ 575 mi
• Os 10 projetos mais importantes:
* Mapeamento da Cadeia Fornecedora de TIC e de seus produtos e Serviços para Rede Elétricas Inteligentes – ABDI – julho 2014
Distribuição dos projetos em áreas*:
• AMI – Advanced Metering Infrastructure
• DA – Distributed Authomation
• DG - Distributed Generation
• Telecom
• IT – Information Technology
• IB – Intelligent Building
• Smart Grid areas:• DSD - Distributed Storage Systems and
Batteries
• EVH - Electric vehicles, hybrids and loading
systems
• CMS – Customer Management System
• DEMO – Pilot Projects
• Others
AMI DA DG DSD EVH Telecom TI IB CSM Outros
Quant. de projetos Quant. de empresas
* Mapeamento da Cadeia Fornecedora de TIC e de seus produtos e Serviços para Rede Elétricas Inteligentes – ABDI – julho 2014
Agenda
Ameaças e vulnerabilidades em Smart Grid
Ações para mitigar o problema
Projetos Smart Grid no Brasil
Segurança em projetos Smart Grid no Brasil
Comentários finais
Segurança em projetos Smart Grid no Brasil
• Segurança da informação não é prioridade
nos projetos smart grid no Brasil
• Total de investimento planejado: ~R$ 11 mi
• Somente 5 projetos 100% focado em
segurança da informação
Projetos Segurança Smart Grid no Brasil
1. Gestor de Cyber Segurança Operativa, Cemig, R$ 1.902.026,00, Início: 26/04/2010, 24 meses
2. Segurança Cibernética em Smart Metering, CERON, R$ 1.432.764,24, Início: 16/04/2012, 30 meses
3. Matriz de riscos de segurança da informação em redes SCADA, COELBA, R$ 943.992,48. Possivelmente não executado.
4. Avaliação de Segurança para medidores eletrônicos e de smart metering, ELEKTRO, R$ 3.714.032,93 , Início: 10/2012, 24 meses.
5. Desenvolvimento de uma plataforma de apoio ao programa de segurança cibernética da CEMIG, CEMIG, R$ 2.768.469,91, Início: 17/08/2012, 37 meses.
Atividade de segurança em projetos
• Concessionária:
• Nome: Cidade do futuro
• Cidade: Sete Lagoas
• Número de unidades consumidoras: 5000
• Duração: 2011 - 2014
Projeto Smart Grid Cemig
Escopo técnico• Medição
• Automação distribuída
• Geração distribuída
• Telecom
• TI
• Georeferenciamento
Escopo estratégico• Regulatório
• Comunicação e
relacionamento com o
consumidor
• Privacidade
• Processos
• Indicadores e métricas
Projeto Smart Grid Cemig
Escopo técnico• Medição
• Automação distribuída
• Geração distribuída
• Telecom
• TI
• Georeferenciamento
Escopo estratégico• Regulatório
• Comunicação e
relacionamento com o
consumidor
• Privacidade• Processos
• Indicadores e métricas
Avaliação de segurança para medidores - Elektro
• Nome: Avaliação de segurança em medidores
eletrônicos e smart metering
• Cliente:
• Patrocinador: Fundo Aneel
• Período: de setembro de 2012 a dezembro de 2014
• Totalmente executado pelo CPqD
Avaliação de segurança para medidores - Elektro
Meta 1Metodologia de Avaliação de
Segurança em Medidores
Meta 2Estabelecimento do Laboratório
de Certificação de Segurança em
Medidores
Meta 3Análises e Testes de Segurança
e Confiabilidade em Medidores
E1: Levantamento do
estado da arte em
segurança de medidores
E2: Especificação do
ambiente de testes
E3: Metodologia para
avaliação de segurança em
medidores
E1: Testes de segurança em
medidores
E2: Testes de confiabilidade em
medidores
E3: Desenvolvimento de
protótipo de software
E1: Contextualização do
Laboratório
E2: Operacionalização do
Laboratório
E4: Transferência de
conhecimento
Avaliação de segurança para medidores
eletrônicos e de smart metering
Agenda
Ameaças e vulnerabilidades em Smart Grid
Ações para mitigar o problema
Projetos Smart Grid no Brasil
Segurança em projetos Smart Grid no Brasil
Comentários finais
Comentários finais
• Smart grid = + automação + conectividade
=> + vulnerabilidades (hw/sw) => necessidade de
certificação de segurança para Smart Grid
• Comparação com veículos conectados:
FIAT CHRYSLER CONVOCA 1,4 MILHÃO DE
CARROS PARA RECALL – Na sexta-feira (24), o
valor das ações da Fiat Chrysler Automobiles (FCA)
caiu mais de 2%. Auto Sport 27/07/2015https://www.youtube.com/watch?v=MK0SrxBC1xs
JEEP CHEROKEE TRAILHAWK
Comentários finais
• Smart grid = + automação + conectividade
• => + vulnerabilidades (hw/sw) => necessidade de
certificação de segurança para Smart Grid
• Nos últimos anos cresceu o número de hackers
especializados em ataques à infraestruturas críticas,
principalmente por motivações políticas
According to the U.S. Department of Homeland Security’s Industrial Control Systems
Computer Emergency Response Team, 53% of reported cybersecurity incidents in the first
half of 2013 were related to the energy industry.
Comentários finais
• Smart grid = + automação + conectividade
• => + vulnerabilidades (hw/sw) => necessidade de
certificação de segurança para Smart Grid
• Nos últimos anos cresceu o número de hackers
especializados em ataques à infraestruturas críticas,
principalmente por motivações políticas
• Observa-se uma maior preocupação das
concessionárias com o tema segurança da informação e
comunicação
• Caberia uma ação Governo + Concessionárias + ICTs a
proposição de um projeto estruturante em segurança em
Smart Grid e Scada com recursos do fundo Aneel
(projeto Estratégico Aneel, por exemplo)
Comentários finais
• Os smart meters geralmente
foram contruídos sem considerar
os aspectos de segurança da
informação
• 100% dos smart meters
testados apresentaram
vulnerabilidades de sw e hw
• Smart meters, como outros
dispositivos IoT são produzidos
com sistemas embarcados,
portanto mais vulneráveis
Obrigado!
www.cpqd.com.br
José Reynaldo Formigoni Filho
reynaldo@cpqd.com.br
Cel.: (19) 998382321
Fixo: (19) 37057121