chanter leur méthodologie « Cybersécurité », le professeur Stuart Madnick (à gauche), étudiant diplômé Shaharyar Khan (à droite), et le professeur James Kirtley Jr. (non représenté) a identifié plusieurs cyber-vulnérabilités dans une petite centrale électrique, y compris un système qui présente un risque car il repose sur un logiciel plutôt que sur des dispositifs de sécurité mécaniques pour empêcher les turbines de tourner hors de contrôle. Crédit :Stuart Darsch
Presque tous les jours, Les gros titres de l'actualité annoncent une autre faille de sécurité et le vol de numéros de carte de crédit et d'autres informations personnelles. Même si se faire voler sa carte de crédit peut être agaçant et déstabilisant, un bien plus important, encore moins reconnu, préoccupation est la sécurité de l'infrastructure physique, y compris les systèmes énergétiques.
"Avec un vol de carte de crédit, vous devrez peut-être payer 50 $ et obtenir une nouvelle carte de crédit, " dit Stuart Madnick, le professeur John Norris Maguire des technologies de l'information à la Sloan School of Management, professeur d'ingénierie des systèmes à la School of Engineering, et directeur fondateur du consortium Cybersecurity at MIT Sloan. "Mais avec les attaques d'infrastructure, de réels dommages physiques peuvent survenir, et la récupération peut prendre des semaines ou des mois."
Quelques exemples montrent la menace. En 2008, une cyberattaque présumée a fait exploser un oléoduc en Turquie, l'arrêter pendant trois semaines ; en 2009, le ver informatique malveillant Stuxnet a détruit des centaines de centrifugeuses iraniennes, perturber le programme d'enrichissement du combustible nucléaire de ce pays ; et en 2015, une attaque a fait tomber une section du réseau électrique ukrainien - pendant seulement six heures, mais les sous-stations du réseau ont dû être exploitées manuellement pendant des mois.
Selon Madnick, pour que les adversaires organisent une attaque réussie, ils doivent avoir la capacité, l'opportunité, et la motivation. Lors d'incidents récents, les trois facteurs se sont alignés, et les attaquants ont paralysé les principaux systèmes physiques.
"La bonne nouvelle est que, au moins aux États-Unis, nous n'avons pas encore vraiment vécu cela, " dit Madnick. Mais il estime que " c'est seulement la motivation qui manque. " Compte tenu de la motivation suffisante, des attaquants n'importe où dans le monde pourraient, par exemple, couper tout ou partie du réseau électrique interconnecté du pays ou arrêter le flux de gaz naturel à travers les 2,4 millions de kilomètres de pipeline du pays. Et tandis que les installations d'urgence et les approvisionnements en carburant peuvent faire fonctionner les choses pendant quelques jours, il est probable que cela prenne beaucoup plus de temps que cela pour réparer les systèmes que les attaquants ont endommagés ou ont fait exploser.
"Ce sont des impacts massifs qui affecteraient notre vie de tous les jours, " dit Madnick. " Et ce n'est pas sur le radar de la plupart des gens. Mais espérer que cela n'arrivera pas n'est pas exactement une façon sûre de vivre. » Il croit fermement que « le pire est encore à venir ».
Le défi pour l'industrie
Assurer la cybersécurité des systèmes énergétiques est un défi croissant. Pourquoi? Les installations industrielles d'aujourd'hui reposent largement sur des logiciels de contrôle d'usine, plutôt que sur des appareils électromécaniques traditionnels. Dans certains cas, même les fonctions essentielles pour assurer la sécurité sont presque entièrement implémentées dans le logiciel. Dans une installation industrielle type, des dizaines de systèmes informatiques programmables répartis dans toute l'usine assurent le contrôle local des processus, par exemple, maintenir le niveau d'eau dans une chaudière à un certain point de consigne. Ces appareils interagissent tous avec un système de « supervision » de niveau supérieur qui permet aux opérateurs de contrôler les systèmes locaux et le fonctionnement global de l'usine, soit sur site, soit à distance. Dans la plupart des établissements, ces systèmes informatiques programmables ne nécessitent aucune authentification pour modifier les paramètres. Compte tenu de cette configuration, un cyberattaquant qui accède au logiciel soit dans le système local soit dans le système de supervision peut causer des dommages ou une interruption du service.
L'approche traditionnelle utilisée pour protéger les systèmes de contrôle critiques consiste à les « isoler », c'est-à-dire séparez-les de l'Internet public afin que les intrus ne puissent pas les atteindre. Mais dans le monde d'aujourd'hui de haute connectivité, un entrefer ne garantit plus la sécurité. Par exemple, les entreprises embauchent souvent des entrepreneurs ou des fournisseurs indépendants pour entretenir et surveiller l'équipement spécialisé dans leurs installations. Pour effectuer ces tâches, l'entrepreneur ou le fournisseur a besoin d'accéder à des données opérationnelles en temps réel, des informations généralement transmises sur Internet. En outre, besoins commerciaux légitimes, tels que le transfert de fichiers et la mise à jour de logiciels, nécessitent l'utilisation de clés USB, qui peut compromettre par inadvertance l'intégrité de l'entrefer, laissant une plante vulnérable aux cyberattaques.
À la recherche de vulnérabilités
Les entreprises s'efforcent activement de renforcer leur sécurité, mais généralement seulement après qu'un incident se soit produit. "Nous avons donc tendance à regarder dans le rétroviseur, " dit Madnick. Il insiste sur la nécessité d'identifier et d'atténuer les vulnérabilités d'un système avant qu'un problème ne survienne.
La méthode traditionnelle d'identification des cyber-vulnérabilités consiste à dresser un inventaire de tous les composants, examiner chacun pour identifier d'éventuelles vulnérabilités, atténuer ces vulnérabilités, puis agréger les résultats pour sécuriser l'ensemble du système. Mais cette approche repose sur deux hypothèses simplificatrices clés, dit Shaharyar Khan, membre du programme de conception et de gestion de systèmes du MIT. Il suppose que les événements se déroulent toujours dans un seul, sens linéaire, donc un événement provoque un autre événement, qui provoque un autre événement, etc, sans boucles de rétroaction ni interactions pour compliquer la séquence. Et cela suppose que comprendre le comportement de chaque composant isolément est suffisant pour prédire le comportement du système global.
Mais ces hypothèses ne sont pas valables pour les systèmes complexes - et les systèmes de contrôle modernes dans les installations énergétiques sont extrêmement complexes, à forte intensité de logiciel, et composé de composants hautement couplés qui interagissent de plusieurs manières. Par conséquent, dit Khan, "le système global présente des comportements que les composants individuels n'ont pas" - une propriété connue en théorie des systèmes sous le nom d'émergence. "Nous considérons la sûreté et la sécurité comme des propriétés émergentes des systèmes, " précise Khan. L'enjeu est donc de maîtriser le comportement émergent du système en définissant de nouvelles contraintes, une tâche qui nécessite de comprendre comment tous les facteurs d'interaction au travail, des personnes aux équipements en passant par les réglementations externes et plus encore, ont un impact final sur la sécurité du système.
Développer un outil d'analyse à la hauteur de ce défi, Madnick, Khan, et James L. Kirtley Jr., professeur d'électrotechnique, s'est d'abord tourné vers une méthodologie appelée System Theoretic Accident Model and Process, qui a été développé il y a plus de 15 ans par le professeur du MIT Nancy Leveson d'aéronautique et d'astronautique. Avec ce travail comme base, ils ont développé « Cybersécurité, " une méthode analytique spécialement conçue pour l'analyse de la cybersécurité des systèmes de contrôle industriels complexes.
Pour appliquer la procédure Cybersécurité à une installation, un analyste commence par répondre aux questions suivantes :
Compte tenu de la structure de contrôle complète, l'étape suivante consiste à se demander :quelles actions de contrôle pourraient être prises par un contrôleur qui seraient dangereuses compte tenu de l'état du système ? Par exemple, si un attaquant corrompt la rétroaction d'un capteur de clé, un contrôleur ne connaîtra pas l'état réel du système et peut donc prendre une action incorrecte, ou peut prendre les mesures correctes, mais au mauvais moment ou dans le mauvais ordre, ce qui entraînerait des dommages.
Présentation de l'analyse de la cybersécurité :cette figure résume les étapes suivies par un analyste pour effectuer une analyse de la cybersécurité. Crédit :Massachusetts Institute of Technology
Sur la base de la compréhension désormais plus approfondie du système, l'analyste émet ensuite l'hypothèse d'une série de scénarios de perte découlant d'actions de contrôle dangereuses et examine comment les différents contrôleurs pourraient interagir pour émettre une commande dangereuse. « A chaque niveau de l'analyse, nous essayons d'identifier les contraintes sur le processus contrôlé qui, en cas de violation, entraînerait le passage du système dans un état dangereux, " dit Khan. Par exemple, une contrainte pourrait dicter que la pression de vapeur à l'intérieur d'une chaudière ne doit pas dépasser une certaine limite supérieure pour empêcher la chaudière d'éclater en raison d'une surpression.
"En affinant continuellement ces contraintes au fur et à mesure que nous progressons dans l'analyse, nous sommes en mesure de définir de nouvelles exigences qui assureront la sûreté et la sécurité de l'ensemble du système, " dit-il. " Ensuite, nous pouvons identifier des étapes pratiques pour faire respecter ces contraintes grâce à la conception du système, processus et procédures, ou des contrôles sociaux tels que la culture d'entreprise, exigences réglementaires, ou des primes d'assurance.
Études de cas
Démontrer les capacités de l'analyse de la cybersécurité, Khan a choisi un 20 mégawatts, centrale électrique à turbine à gaz - une petite installation qui a tous les éléments d'une centrale électrique à grande échelle sur le réseau. Dans une analyse, il a examiné le système de contrôle de la turbine à gaz, en se concentrant en particulier sur la façon dont le logiciel contrôlant la vanne de commande de carburant pourrait être modifié pour provoquer des pertes au niveau du système.
L'analyse de la cybersécurité a donné plusieurs scénarios de pertes liées aux turbines impliquant des incendies ou des explosions, panne d'équipement catastrophique, et finalement l'incapacité de produire de l'électricité.
Par exemple, dans un scénario, l'attaquant désactive le système de protection numérique de la turbine et modifie la logique du logiciel qui contrôle la vanne de régulation de carburant pour maintenir la vanne ouverte alors qu'elle devrait être fermée, empêcher le carburant de s'écouler dans la turbine. Si la turbine est alors soudainement déconnectée du réseau, il commencera à tourner plus vite que sa limite de conception et se brisera, endommager l'équipement à proximité et blesser les travailleurs de la région.
L'analyse de cybersécurité a découvert la source de cette vulnérabilité :une version mise à jour du système de contrôle avait éliminé un ensemble de boulons mécaniques de secours qui assurait la protection contre la « survitesse » de la turbine. Au lieu, la protection contre les survitesses a été entièrement implémentée dans le logiciel.
Ce changement était logique d'un point de vue commercial. Un appareil mécanique nécessite un entretien et des tests réguliers, et ces tests soumettent la turbine à des contraintes si extrêmes qu'elle tombe parfois en panne. Cependant, étant donné l'importance de la cybersécurité, il pourrait être sage de ramener le verrou mécanique en tant que dispositif de sécurité autonome - ou au moins d'envisager des systèmes de protection électronique autonome contre la survitesse comme une dernière ligne de défense.
Une autre étude de cas s'est concentrée sur les systèmes utilisés pour fournir de l'eau glacée et de la climatisation aux bâtiments desservis. Encore une fois, l'analyse de la cybersécurité a révélé plusieurs scénarios de perte ; dans ce cas, la plupart avaient une cause en commun :l'utilisation d'entraînements à fréquence variable (VFD) pour ajuster la vitesse des moteurs qui entraînent les pompes à eau et les compresseurs.
Comme tous les moteurs, le moteur entraînant le compresseur du refroidisseur a certaines vitesses critiques auxquelles se produit une résonance mécanique, provoquant des vibrations excessives. Les VFD sont généralement programmés pour sauter ces vitesses critiques lors du démarrage du moteur. Mais certains VFD sont programmables sur le réseau. Ainsi, un attaquant peut interroger un VFD pour la vitesse critique du moteur connecté, puis lui ordonner de conduire le moteur à cette vitesse dangereuse, l'endommager définitivement.
« C'est un type d'attaque simple ; il ne nécessite pas beaucoup de sophistication, " dit Khan. " Mais il pourrait être lancé et pourrait causer des dommages catastrophiques. " Il cite des travaux antérieurs effectués par Matthew Angle '07, MEng '11, doctorat '16, en collaboration avec Madnick et Kirtley. Dans le cadre d'une étude de 2017 sur les cyberattaques sur les systèmes de contrôle industriels, Angle a construit un kit de test de moteur à l'échelle du laboratoire équipé d'un VFD complet avec un code informatique familier aux chercheurs. En modifiant simplement quelques lignes de code clés, ils ont fait exploser les condensateurs du VFD, envoyant de la fumée dans la cour derrière leur laboratoire du MIT. Dans un environnement industriel avec des VFD pleine grandeur, une cyberattaque similaire pourrait causer des dommages structurels importants et potentiellement nuire au personnel.
Compte tenu de telles possibilités, l'équipe de recherche recommande aux entreprises d'examiner attentivement la « fonctionnalité » de l'équipement de leur système. À plusieurs reprises, le personnel de l'usine n'est même pas conscient des capacités offertes par son équipement. Par exemple, ils peuvent ne pas se rendre compte qu'un VFD entraînant un moteur dans leur usine peut être amené à fonctionner dans le sens inverse par un petit changement dans le code informatique qui le contrôle - une cyber-vulnérabilité évidente. La suppression de cette vulnérabilité nécessiterait l'utilisation d'un VFD avec moins de fonctionnalités. « Une bonne ingénierie pour supprimer de telles vulnérabilités peut parfois être qualifiée à tort de recul, mais il peut être nécessaire d'améliorer la posture de sécurité d'une usine, " dit Khan. Une analyse complète de la cybersécurité d'un système ne mettra pas seulement en évidence ces problèmes, mais également guider le placement stratégique de capteurs analogiques et d'autres boucles de rétroaction redondantes qui augmenteront la résilience du fonctionnement du système.
Relever le défi
Tout au long de leurs recherches sur la cybersécurité, Khan, Madnick, et leurs collègues ont découvert que les vulnérabilités peuvent souvent être attribuées au comportement humain, ainsi que les décisions de gestion. Dans un cas, une entreprise avait inclus le code d'accès par défaut de son équipement dans le manuel de l'opérateur, accessibles au public sur Internet. D'autres cas impliquaient des opérateurs connectant des clés USB et des ordinateurs portables personnels directement au réseau de l'usine, brisant ainsi l'entrefer et introduisant même des logiciels malveillants dans le système de contrôle de l'usine.
Dans un cas, un travailleur de nuit a téléchargé des films sur un ordinateur de l'usine à l'aide d'une clé USB. Mais souvent, de telles mesures ont été prises dans le cadre de tentatives désespérées pour remettre en marche une usine actuellement fermée. « Dans le grand schéma des priorités, Je comprends que se concentrer sur la remise en marche de l'usine fait partie de la culture, " dit Madnick. " Malheureusement, les choses que les gens font pour maintenir leur usine en marche mettent parfois l'usine à un risque encore plus grand."
Permettre une nouvelle culture et un nouvel état d'esprit nécessite un engagement sérieux envers la cybersécurité tout au long de la chaîne de gestion. Les stratégies d'atténuation sont susceptibles de nécessiter une réingénierie du système de contrôle, acheter du nouveau matériel, ou apporter des modifications aux processus et procédures qui pourraient entraîner des coûts supplémentaires. Compte tenu de l'enjeu, la direction doit non seulement approuver de tels investissements, mais aussi inculquer un sentiment d'urgence dans leurs organisations pour identifier les vulnérabilités et les éliminer ou les atténuer.
Sur la base de leurs études, les chercheurs concluent qu'il est impossible de garantir qu'un système de contrôle industriel ne verra jamais ses défenses réseau violées. "Par conséquent, le système doit être conçu de manière à résister aux effets d'une attaque, " dit Khan. " L'analyse de la cybersécurité est une méthode puissante car elle génère tout un ensemble d'exigences, non seulement techniques mais aussi organisationnelles, logistique, et procédurale, qui peuvent améliorer la résilience de tout système énergétique complexe contre une cyberattaque. »
Cette histoire est republiée avec l'aimable autorisation de MIT News (web.mit.edu/newsoffice/), un site populaire qui couvre l'actualité de la recherche du MIT, innovation et enseignement.