(In)segurança em iot no setor elétrico
1 gostou392 visualizações
O documento discute conceitos, desafios e casos relacionados à segurança na Internet das Coisas (IoT) no setor elétrico. Apresenta o modelo de referência do ITU para segurança em IoT, destacando os desafios na camada de dispositivos, conectividade e serviços/aplicações. Também aborda iniciativas internacionais e situações atuais de smart grid no Brasil, com casos em gestão de ativos e compra/venda de energia descentralizada.
(In)segurança em iot no setor elétrico
- 1. Conceitos, desafios e cases (In)Segurança em IoT e o Setor Elétrico Abril 2017 José Reynaldo Formigoni Filho, MSc Gerente de Desenvolvimento de Tecnologias de Segurança da Informação
- 2. AGENDA Conceitos Segurança IoT IoT e Smart Grid Cases no setor elétrico Comentários finais
- 3. SEGURANÇA EM IOT: MODELO DE REFERÊNCIA DO ITU Cidade Inteligente Transporte Inteligente Edifício Inteligente Energia Inteligente Indústria Inteligente Saúde Inteligente Moradia Inteligente Camada de suporte de Serviço e Aplicação Camada de conetividade Camada de Dispositivos Camada de Aplicação Capacidade de Gerência Capacidades de Rede Dispositivos Gateways Capacidades de Transporte Suporte Genérico Suporte Específico Aplicações IoT Capacidade de Segurança Autorização Confiança e Reputação Gestão de Chaves Criptográficas Identificação AutenticaçãoGestão de QoS Gestão de Dispositivos
- 4. DESAFIOS DA SEGURANÇA EM IOT Grande quantidade de fornecedores e diversidade dos dispositivos Baixa maturidade em segurança Dispositivos de baixo custo Dificuldades para atualizações Controles tradicionais não compatíveis Maior superfície de ataque
- 5. SEGURANÇA IOT - CAMADA DE DISPOSITIVOS O fabricante do dispositivo deve ser capaz de atender: • Desenvolvimento de hardware seguro • Hardware o mais restritivo possível • Hardware e software embarcado à prova de adulteração • Mecanismos de atualizações segura Requisitos de segurança para sensores: • Funcionalidades de identificação e autenticação • Criptografia para: • Integridade de dados armazenados • Comunicação segura Estado atual da segurança para dispositivos IoT merece atenção: • Muitos dispositivos IoT já saem de fábrica com software desatualizado • Suscetibilidade a software malicioso • Potencial de persistência (longevidade) dos problemas de segurança e privacidade • Falta de experiência e cultura de segurança dos fabricantes
- 6. SEGURANÇA IOT - CAMADA DE CONECTIVIDADE Principais problemas: • Vazamentos de dados • Comunicação não autenticada • Comunicação não encriptada • Falta de isolamento de redes • Falta de autenticação mútua Os mecanismos de segurança utilizados: • A segmentação da rede é fundamental para evitar a propagação de ataques • Boas práticas para as redes domésticas HAN: segregação e uso de gateways • Uso de SDN para alterar o comportamento da rede dinamicamente • TLS para a camada de transporte (TCP) • DTLS para a camada de transporte (UDP)
- 7. SEGURANÇA IOT - CAMADAS DE SERVIÇOS E APLICAÇÕES Barreiras e maturidade: • Processos de desenvolvimento inseguros • Falta de cultura de segurança • Processos de responsabilização dentro de uma cadeia de fornecedores • Integração dos processos de segurança contra acidentes e falhas (safety) e segurança contra ataques (security) • Processos de validação de segurança Tendências: • Troca de informação de segurança • Divisão de responsabilidade sobre segurança entre os atores Tecnologias em destaque: • Blockchain • Ambiente de execução confiável (TEE).
- 9. IMPLANTAÇÃO DE SMART GRID NO BRASIL: SITUAÇÃO ATUAL • Pesquisa e desenvolvimento • Projetos pilotos • Recursos governamentais Primeira onda Smart Grid 1.0 • Implantação de estruturas AMI • Automação e monitoramento da rede Segunda onda Smart Grid 2.0 •Abordagem multicamada e multitecnologia •Integração TI/TO •Geração distribuída e armazenamento •Veículos elétricos • Big data analytics Terceira onda Smart Grid 3.0 Developed countries Brasil
- 10. CONCEITUAÇÃO EVOLUÇÃO DO CONCEITO SMART GRID Soluções Smart Grid são tipicamente M2M (Machine to Machine) que se caracterizam por :
- 11. PRINCIPAIS AMEAÇAS A mais relevante ameaça no Brasil Fraude no consumo de energia: uma interferência na infraestrutura de medição pode possibilitar o não pagamento da energia consumida Exposição à privacidade do usuário: Pesquisas apontam que os dados de medição podem revelar atividades e comportamentos dos usuários Propagração de código malicioso: propagação de códigos maliciosos sobre a estrutura AMI (Advanced Meter Infrastructure) Ataques à rede para desligamento em massa do serviço
- 12. ARQUITETURA AMI - UK Fonte: Department of Energy & Climate Change - Smart Metering Implementation Programme.
- 13. AVALIAÇÃO DE SEGURANÇA DE MEDIDORES
- 14. REQUISITOS DE SEGURANÇA PARA SMART METER Requisitos de hardware analisados: • Mecanismos anti-tampering • Acesso e identificação de componentes • Interface JTAG habilitada • Conexão do PC com a interface óptica do medidor Requisitos de software: • Recuperação do código do firmware • Análise e recuperação do código do firmware • Recuperação dos dados do barramento de memória • Proteção dos dados de memória • Recuperação de chaves criptográficas • Análise do protocolo de autenticação
- 15. RESULTADOS • Testes funcionais: possibilidade de alterações dos parâmetros de medição via interface óptica • Testes de segurança: • Vulnerabilidades de hardware • Vulnerabilidades de software
- 16. ARTIGOS E LIVRO O livro • Publicado no final de 2016 Artigos internacionais: • Smart Meters Security Assessment in the Brazilian Scenario. The Third International Conference on Smart Grids, Green Communications and IT Energy-aware Technologies - Lisbon, Portugal. March 24, 2013 • A Fast Attack against a Smart Meter Authentication Protocol. Proc. of the 3rd International Conference on Informatics, Environment, Energy and Applications. IEEA 2014. China, 27-28 March, 2014. • MeterGoat: A Low Cost Hardware Platform for Teaching Smart Meter Security. ICCGI 2014 - The Ninth International Multi-Conference on Computing in the Global Information Technology - Sevilha – Espanha. June 22, 2014 • Implementation Aspects of MeterGoat, a Smart Meter Security Training Platform. SINCONF 2014 - The 7th Internation Conference on Security of Information and Networks - Glasgow - Reino Unido. September 1, 2014
- 17. IMPLANTAÇÃO DE SMART GRID NO BRASIL: SITUAÇÃO ATUAL • Pesquisa e desenvolvimento • Projetos pilotos • Recursos governamentais Primeira onda Smart Grid 1.0 • Implantação de estruturas AMI • Automação e monitoramento da rede Segunda onda Smart Grid 2.0 •Abordagem multicamada e multitecnologia •Integração TI/TO •Geração distribuída e armazenamento •Veículos elétricos • Big data analytics Terceira onda Smart Grid 3.0 Developed countries Brasil
- 18. APLICAÇÕES NO SETOR ELÉTRICO: GESTÃO DE ATIVOS • Controle e monitoramentos de ativos -combinação de redes mesh + dispositivo IoT + tecnologia blockchain: fornecedor de solução The Tap is the perfect grab-and-go connectivity device. •Easily connects to old machinery through diagnostic and communication ports •Long-range wireless - up to 10 miles line of sight between nodes •Built-in sensors for environmental monitoring •Integrates with external sensors and devices •Long-life batteries last for years
- 19. IMPLANTAÇÃO DE SMART GRID NO BRASIL: SITUAÇÃO ATUAL • Pesquisa e desenvolvimento • Projetos pilotos • Recursos governamentais Primeira onda Smart Grid 1.0 • Implantação de estruturas AMI • Automação da rede Segunda onda Smart Grid 2.0 •Abordagem multicamada e multitecnologia •Integração TI/TO •Geração distribuída e armazenamento •Veículos elétricos • Big data analytics Terceira onda Smart Grid 3.0 Developed countries Brasil
- 20. APLICAÇÕES NO SETOR ELÉTRICO: COMPRA E VENDA DE ENERGIA Gestão descentralizada da compra e venda de energia na geração distribuída: • Em abril de 2016 foi implantado em Nova York o primeiro sistema blockchain de compra em venda de energia entre vizinhos sem intermediários. • Empresas envolvidas no projeto piloto => • Necessidade de: • Análise de impacto nos modelos de negócio das concessionárias • Mudança no quadro regulatórios
- 21. IMPLANTAÇÃO DE SMART GRID NO BRASIL: SITUAÇÃO ATUAL • Pesquisa e desenvolvimento • Projetos pilotos • Recursos governamentais Primeira onda Smart Grid 1.0 • Implantação de estruturas AMI • Automação da rede Segunda onda Smart Grid 2.0 •Abordagem multicamada e multitecnologia •Integração TI/TO •Geração distribuída e armazenamento •Veículos elétricos • Big data analytics Terceira onda Smart Grid 3.0 Developed countries Brasil
- 22. COMENTÁRIOS FINAIS Segurança IoT no Setor Elétrico • Nos últimos anos as concessionárias passaram a se preocupar mais ao assunto • Com o início das implantações em escalada comercial de soluções smart grid, as superfícies de ataques aumentarão significativamente: • Monitoramento e automação da rede • Smart metering • VE • Geração distribuída • Muitas ações nos EUA e CE para mitigar o problema • E o que estamos fazendo no Brasil? Segurança em IoT: • Estamos vivendo algo semelhante ao que aconteceu com TIC na década de 90 • Fabricantes de dispositivo não tem histórico no desenvolvimento de seguro: necessidade de mudança de cultura • As soluções se segurança e privacidade devem suportar diferentes contextos (casa, trabalho, etc.) e também escalabilidade e interoperabilidade. • O sucesso da IoT depende do desenvolvimento de um ecossistema suportado por um apropriado arcabouço regulatório e um clima de confiança onde questões como identificação, privacidade, segurança e interoperabilidade são essenciais. • Forte recomendação da utilização da metodologia “security-by-design”.
- 23. TRANSFORMANDO EM REALIDADE w w w . c p q d . c o m . b r