Un projet de R&D innovant mené par des chercheurs du Berkeley Lab qui allie cybersécurité, les algorithmes d'apprentissage automatique et la technologie des capteurs du système d'alimentation disponibles dans le commerce pour mieux protéger le réseau électrique ont suscité l'intérêt des services publics américains, les compagnies d'électricité et les représentants du gouvernement.

Lancé en 2015, le projet de trois ans entre maintenant dans la phase de transfert de technologie, selon le chef de projet Sean Peisert, un informaticien de la division de recherche informatique du Berkeley Lab et un expert en cybersécurité. En plus de recevoir un soutien financier du programme Cybersécurité pour les systèmes de livraison d'énergie (CEDS) du ministère de l'Énergie de l'Office of Electricity Delivery and Energy Reliability, l'équipe a travaillé en étroite collaboration avec des partenaires clés de l'industrie, dont EnerNex, EPRI, Riverside Public Utilities et Southern Company.

« Ce projet a, dès le début, été conçu dans un souci de transfert de technologie, " a déclaré Peisert. qui est également stratège en chef de la cybersécurité pour le CENIC et professeur adjoint associé d'informatique à l'Université de Californie, Davis. « Nous avons demandé l'avis des fournisseurs d'équipements et des services publics d'électricité pour nous assurer que les techniques développées sont ancrées dans la réalité et sont plus susceptibles d'être mises en œuvre et utilisées dans la pratique. »

Améliorer la résilience du réseau

Un réseau électrique plus modernisé se traduira par une meilleure fiabilité et résilience et une restauration plus rapide du service en cas de perturbations. La création d'outils et de technologies innovants pour réduire le risque que la fourniture d'énergie soit perturbée par un cyberincident est vitale pour rendre le réseau électrique national résilient aux cybermenaces.

Le réseau de distribution d'électricité a été développé en veillant soigneusement à assurer un fonctionnement sûr et fiable ; au fur et à mesure que le réseau se modernise pour faire encore progresser la fiabilité, de nouvelles fonctionnalités doivent être conçues pour la cyber-résilience afin de prévenir les cyberattaques via les réseaux IP. Alors que les approches de sécurité informatique développées pour les systèmes d'entreprise pour faire face aux logiciels malveillants et autres cyberattaques incluent les systèmes de détection d'intrusion traditionnels, pare-feu et cryptage, ces techniques peuvent laisser un vide en matière de sécurité et de protection lorsqu'elles sont appliquées à des appareils cyber-physiques, car elles ne tiennent pas compte des informations physiques connues sur l'appareil qu'elles protègent.

Pour remédier à cette vulnérabilité, à partir de 2014, Peisert et ses collaborateurs, dont Ciaran Roberts (Berkeley Lab), Anna Scaglione (Université d'État de l'Arizona), Alex McEachren (Laboratoire des normes de puissance), Chuck McParland (retraité du Berkeley Lab), et Emma Stewart (maintenant avec Lawrence Livermore National Laboratory)—ont lancé une série de projets qui adoptent une approche unique de la sécurité du réseau en intégrant les techniques traditionnelles de sécurité informatique et d'ingénierie de la sécurité. Leur objectif ultime était de développer un cadre de surveillance et d'analyse de la sécurité qui améliore la résilience du système de grille.

"Plus nous examinions cela, plus nous nous sommes rendu compte que les personnes responsables de la sécurité informatique et les personnes responsables de l'ingénierie de sécurité ne sont souvent pas dans les mêmes parties de l'organisation et très souvent ne se parlent pas, " a déclaré Peisert. " Nous avons donc commencé à nous demander s'il y avait un moyen de combler le fossé entre le monde physique et le monde cyber, et le monde de l'ingénierie de sécurité et le monde de la cybersécurité, et créer un système unique dans lequel le système de cybersécurité prend en compte la physique de l'appareil et les limitations physiques de cet appareil."

Vers cette fin, leur projet actuel s'est concentré sur la conception et la mise en œuvre d'une architecture capable de détecter les attaques cyber-physiques sur le réseau du système de distribution d'énergie. Pour ce faire, ils utilisent des unités de mesure de microphaseurs (μPMU) pour capturer des informations sur l'état physique du réseau de distribution d'électricité. Ils combinent ensuite ces données avec le SCADA (contrôle de supervision et acquisition de données, couramment utilisé dans la surveillance du réseau électrique) pour fournir des informations en temps réel sur les performances du système.

« L'idée est que si nous pouvions tirer parti du comportement physique des composants du réseau électrique, nous pourrions avoir une meilleure idée de l'existence d'une cyberattaque visant à manipuler ces composants, " Peisert a expliqué. "Ces appareils fournissent un ensemble redondant de mesures qui nous donnent un moyen de haute fidélité de suivre ce qui se passe dans le réseau de distribution d'électricité, et soit en examinant ces mesures seules, soit en comparant ces mesures à ce que l'équipement lui-même rapportait et en recherchant les écarts, nous pourrions avoir des indications sur certains types d'attaques contre des composants du réseau de distribution d'électricité."

μPMU versus PMU

Les unités de mesure de phase (PMU) sont utilisées pour mesurer l'état électrique du réseau électrique et fournir une connaissance de la situation aux gestionnaires de réseau de transport. Généralement installé dans les sous-stations haute tension, Les PMU sont considérés comme un appareil de mesure important dans les systèmes électriques, fournir des instantanés du réseau électrique à un taux beaucoup plus élevé que SCADA en calculant et en signalant les phaseurs de tension et de courant (un nombre complexe qui représente l'amplitude et l'angle de phase des ondes sinusoïdales qui caractérisent les réseaux électriques AC).

Cependant, Les PMU présentent certaines caractéristiques, à savoir la taille et le coût, qui limitent leur déploiement au niveau du réseau de distribution. C'est là qu'interviennent les μPMU. Développé au Power Standards Lab dans le cadre d'un projet dirigé par l'UC Berkeley et financé par le programme ARPA-E du ministère de l'Énergie, μLes PMU sont conçues pour accroître la connaissance de la situation au niveau de la distribution. Parce qu'ils sont beaucoup plus petits et potentiellement moins chers, plusieurs μPMU peuvent être déployées en des points le long du réseau de distribution, fournissant une résolution beaucoup plus élevée (120 mesures/sec) du réseau et alertant les opérateurs des attaques potentielles sur ce réseau en temps réel.

"Notre approche, qui n'utilise en fait qu'un petit nombre de capteurs, utilise à la fois les mesures SCADA et μPMU, et il y a une valeur incroyable à pouvoir recouper entre les deux pour rechercher des divergences, " Peisert a déclaré. "Individuellement, il pourrait être possible pour un attaquant de manipuler ce qui est représenté par un seul capteur ou source d'information, ce qui pourrait endommager le réseau électrique. Cette approche fournit la redondance et donc la résilience dans la vue dont disposent les opérateurs de réseau. »

Détection des aides à l'apprentissage automatique

Pour que cela se produise, l'équipe de recherche a utilisé une version modifiée de l'algorithme Cumulative Sum (CUSUM), introduit pour la première fois en 1954, pour l'analyse séquentielle des données et la détection automatisée des anomalies. Le résultat est, en substance, une forme d'apprentissage automatique.

"L'algorithme permet au logiciel d'apprendre de manière adaptative le comportement normal des quantités mesurées, et grâce à ce processus, apprenez à identifier les comportements anormaux et normaux en détectant les changements rapides dans l'environnement physique, tels que l'amplitude du courant et la puissance active et réactive, " a déclaré Roberts de Berkeley Lab, un ingénieur en systèmes énergétiques dans le domaine des technologies de l'énergie. « Tout le calcul se fait en temps réel lors des collectes physiques de données, et les algorithmes sont conçus pour fonctionner en temps réel."

À l'heure actuelle, les données sont collectées à partir d'μPMU placées à plusieurs endroits autour de Berkeley Lab (qui possède sa propre sous-station de distribution d'énergie) et analysées à l'aide d'un cluster de calcul et d'une présence Web (powerdata.lbl.gov) que l'équipe a mis en place spécifiquement pour ce projet.

"Nous avons dû construire notre propre infrastructure pour collecter toutes les données des capteurs en un seul endroit et exécuter les algorithmes dessus pour déterminer s'il y avait un événement d'intérêt, " a déclaré Peisert. " Et nous avons des interfaces graphiques pour ce système qui peuvent également être utilisées par la communauté de recherche au sens large. "

Alors que la composante R&D de ce projet tire à sa fin, l'équipe prépare son rapport final et rencontre activement ses partenaires de l'industrie et d'autres services publics et sociétés d'électricité aux États-Unis pour leur présenter ce cadre unique de sécurité du réseau. Ils partagent également leurs conclusions à travers des présentations lors d'événements tels que la réunion du conseil sectoriel de l'EPRI Power Delivery &Utilization Winter 2018, tenue en février à San Diego, et la conférence mondiale des utilisateurs d'OSIsoft PI en avril.

"En utilisant des capteurs haute résolution dans le réseau de distribution électrique et un ensemble d'algorithmes d'apprentissage automatique que nous avons développés, en conjonction avec seulement un modèle simple du réseau de distribution, notre travail peut être déployé par les services publics dans leur réseau de distribution pour détecter les cyberattaques et autres types de défaillances du réseau, " a déclaré Peisert. " C'est une nouvelle réalisation que nous ne pensons pas avoir été faite auparavant. "