Especialistas alertam sobre riscos de segurança na modernização da rede
As tecnologias que melhoram a rede são o futuro, mas trazem considerações de segurança
A rede eléctrica dos EUA foi pressionada até ao ponto de ruptura, à medida que a procura recorde pressiona as infra-estruturas envelhecidas. O governo federal está apostando em novas tecnologias que reduzem a eficiência de transmissão para atender às necessidades de uma economia movida pela eletricidade. A má notícia é que a sobreposição à tecnologia de roteamento dinâmico da rede, que depende de dados em tempo real, aumenta inevitavelmente o risco cibernético.
A administração Biden está a investir dinheiro em Grid Enhancing Technologies ou GETs – uma família de ferramentas recentemente desenvolvidas que optimizam as infra-estruturas existentes e garantem um fornecimento de energia mais seguro e fiável, ao mesmo tempo que melhoram a eficiência e a resiliência contra as alterações climáticas. A Casa Branca também anunciou uma iniciativa estadual federal de implantação de rede moderna que visa incorporar ainda mais soluções comprovadas e comercialmente disponíveis, como GETs, na rede, ao mesmo tempo que implementa rapidamente tecnologias em escala para aumentar a capacidade e o desempenho.
A desvantagem é que os GETs introduzem vulnerabilidades potenciais e pontos de entrada para ataques cibernéticos. Dado que a rede depende cada vez mais de sistemas digitais avançados e de uma maior interconectividade, os especialistas alertam que a implementação de novas tecnologias deve ser acompanhada de medidas de segurança robustas para proteger contra grandes ameaças cibernéticas.
“Essas tecnologias aumentam a superfície de ataque da rede”, disse Tom Kellerman, vice-presidente sênior de estratégia cibernética da plataforma de software de segurança de aplicativos Contrast Security, ao Information Security Media Group. “Segmentação, autenticação de dois fatores, menor privilégio e segurança de tempo de execução são imperativos para a segurança da rede.”
O que são tecnologias de aprimoramento de rede?
Alguns dos GETs mais comuns são sensores, comutadores automatizados e redes de comunicação projetadas para aprimorar as capacidades de monitoramento em tempo real da rede. Sistemas de controle avançados podem redirecionar a eletricidade para evitar interrupções e otimizar as operações com base em dados coletados por sensores que monitoram as condições da rede. Estes sistemas de automação e controlo da rede dependem de infraestruturas de medição avançadas para fornecer informações abrangentes sobre os padrões de utilização de eletricidade.
Os sistemas de gerenciamento de dados e os medidores inteligentes registram e mantêm dados detalhados sobre o uso de energia, que podem então ser transmitidos remotamente às concessionárias para detecção de interrupções, obtenção de insights e faturamento.
Os GETs também podem incluir recursos energéticos distribuídos, como painéis solares, turbinas eólicas, geradores de gás natural de pequena escala e sistemas de armazenamento de energia. Estes recursos podem ser integrados na rede para fornecer capacidade adicional durante picos de procura ou durante interrupções disruptivas. Os recursos energéticos distribuídos são normalmente ligados à rede através de inversores inteligentes e redes que permitem capacidades de controlo remoto.
Os investigadores investigaram vulnerabilidades associadas à modernização das redes num relatório de 2023 que revela como os hackers podem atacar contadores inteligentes para criar uma oscilação na procura de eletricidade e desestabilizar partes da rede. Os pesquisadores usaram um simulador de rede para avaliar como a manipulação do nível de eletricidade que flui para frente e para trás após hackear um medidor inteligente pode criar um ataque de oscilação de carga que compromete a transmissão.
“Novas tecnologias foram introduzidas para tornar nossa infraestrutura elétrica envelhecida mais eficiente e confiável”, disse Eduardo Cotilla-Sanchez, professor associado de engenharia elétrica e ciência da computação na Oregon State University e principal pesquisador por trás do relatório, sobre componentes avançados de infraestrutura de medição. como medidores inteligentes. “A má notícia é: as atualizações também introduzem novas dimensões para atacar a rede elétrica”.
Um relatório de vigilância governamental publicado em 2022 afirma que os planos de segurança da rede do Departamento de Energia “não incorporam totalmente as características principais de uma estratégia nacional eficaz” para garantir a sua segurança e resiliência contra ameaças emergentes. O relatório do Government Accountability Office identificou vários pontos de vulnerabilidade em toda a rede, exacerbados “em parte porque a sua tecnologia operacional permite cada vez mais acesso remoto e ligações a redes empresariais”.
O relatório insta a Comissão Federal Reguladora de Energia a regular melhor a transmissão nacional de eletricidade, desenvolvendo uma avaliação completa dos riscos de segurança cibernética para a rede e garantindo que as suas normas sejam totalmente implementadas em todos os componentes. O GAO descobriu anteriormente em 2021 que o governo federal “não tem uma boa compreensão da escala dos impactos potenciais dos ataques” enfrentados pelos sistemas de distribuição, que geralmente não estão sujeitos aos padrões da FERC.
Avaliações de risco: demoradas, mas críticas
Os especialistas recomendam a exigência de avaliações de segurança abrangentes em todos os GETs e componentes da rede moderna. Dizem que actores maliciosos e adversários estrangeiros já possuem acesso não autorizado a muitos sectores de infra-estruturas críticas.
A Agência de Segurança Cibernética e de Infraestrutura tem lançado constantemente uma série de alertas nos últimos meses alertando sobre um grupo de hackers patrocinado pelo Estado chinês conhecido como Volt Typhoon. O grupo pretende se pré-posicionar usando técnicas de “viver da terra” em redes de tecnologia da informação “para atividades cibernéticas disruptivas ou destrutivas contra a infraestrutura crítica dos EUA no caso de uma grande crise ou conflito com os Estados Unidos”, de acordo com a CISA. .
“Os alertas do Volt Typhoon disseram em voz alta a parte silenciosa”, disse Padraic O’Reilly, diretor de inovação da plataforma de gerenciamento de risco CyberSaint Security. “A [ameaça] está nas redes, portanto a nova infraestrutura não deve permitir movimentos laterais em ativos de TO.”
O plano de modernização da rede estadual federal de Biden enfatiza a necessidade de “acelerar a adoção e implantação” de GETs. Afirma que “a modernização da rede pode ser dificultada por políticas legadas” que dificultam a inovação e atrasam as atualizações necessárias. Mas os especialistas alertam que acelerar o desenvolvimento de projetos sem reavaliar as medidas de segurança e melhorar a regulamentação pode ter consequências indesejadas de aumento do risco cibernético.
“O processo acelerado prejudicará a preparação para a segurança cibernética da rede”, disse Kellerman. “Dado o aumento de ataques cibernéticos destrutivos lançados por Estados-nação desonestos, as avaliações de segurança cibernética devem ser realizadas antes de os projetos entrarem em operação”.
A iniciativa de modernização da rede da Casa Branca não inclui quaisquer compromissos específicos para enfrentar os desafios de segurança cibernética associados aos GETs. O Departamento de Energia não respondeu aos pedidos de comentários.