2022年4月,在俄烏戰(zhàn)爭(zhēng)開(kāi)始幾個(gè)月后,德國(guó)的三家風(fēng)能公司遭到網(wǎng)絡(luò)攻擊,導(dǎo)致數(shù)千臺(tái)數(shù)字管理的風(fēng)力渦輪機(jī)癱瘓。這只是數(shù)字可再生能源系統(tǒng)現(xiàn)在面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn)的一個(gè)例子。
據(jù)估計(jì),到2050年全球電力系統(tǒng)將70%依賴可再生能源,主要來(lái)自太陽(yáng)能、風(fēng)能、潮汐、雨水和地?zé)嵩?。這些能源通常是分布的,地理上偏遠(yuǎn),規(guī)模相對(duì)較小。它們通常使用安全不足的數(shù)字技術(shù)進(jìn)行管理和運(yùn)營(yíng),這些技術(shù)直接接入國(guó)家電網(wǎng)的基礎(chǔ)設(shè)施,為威脅行為者創(chuàng)造了一個(gè)廣泛的網(wǎng)絡(luò)攻擊面。
從風(fēng)險(xiǎn)到復(fù)原力
為了在數(shù)字可再生能源系統(tǒng)中建立強(qiáng)大的網(wǎng)絡(luò)彈性,我們首先需要了解風(fēng)險(xiǎn)領(lǐng)域。這些包括但不限于:
1、嵌入式軟件中的代碼漏洞和錯(cuò)誤配置:對(duì)可再生能源的需求意味著支持技術(shù)和應(yīng)用程序通常以速度快速開(kāi)發(fā)和實(shí)施,幾乎沒(méi)有時(shí)間包括或測(cè)試安全控制。供應(yīng)商及其開(kāi)發(fā)人員是電氣工程專家,他們可能沒(méi)有相關(guān)的安全技能。如果軟件沒(méi)有在報(bào)告錯(cuò)誤時(shí)定期修補(bǔ)和更新,風(fēng)險(xiǎn)會(huì)更加復(fù)雜。
2、不安全的API:另一個(gè)與軟件相關(guān)的風(fēng)險(xiǎn),基于應(yīng)用程序程序接口(API)的應(yīng)用程序可以與其他應(yīng)用程序(包括第三方應(yīng)用程序)通信和共享數(shù)據(jù)和功能。它們是連接或面向公眾的系統(tǒng)的共同特征。Web應(yīng)用程序安全和防火墻對(duì)于防止攻擊者利用API竊取數(shù)據(jù)、感染設(shè)備和構(gòu)建僵尸網(wǎng)絡(luò)至關(guān)重要。
3、管理、控制、報(bào)告和分析系統(tǒng):管理和控制軟件,如監(jiān)督控制和數(shù)據(jù)采集(SCADA)系統(tǒng),以及其他從電源導(dǎo)入、分析和可視化數(shù)據(jù)的系統(tǒng),是網(wǎng)絡(luò)攻擊的首要目標(biāo),因?yàn)楣粽呖梢郧秩胝麄€(gè)系統(tǒng),操作數(shù)據(jù),發(fā)送指令等。強(qiáng)大的身份驗(yàn)證措施,確保只有獲得許可的人才能訪問(wèn)系統(tǒng)至關(guān)重要。
4、自動(dòng)化:分散和分布式可再生能源系統(tǒng),特別是大規(guī)模的可再生能源系統(tǒng),需要全天候監(jiān)控和管理,這越來(lái)越自動(dòng)化。提供擴(kuò)展檢測(cè)和響應(yīng)以及專業(yè)物聯(lián)網(wǎng)(IoT)安全功能的安全解決方案可以提供幫助。
5、遠(yuǎn)程訪問(wèn)服務(wù):可再生能源分散在孤立的位置,這意味著他們需要某種形式的遠(yuǎn)程訪問(wèn)能力來(lái)共享數(shù)據(jù)并接收指令和報(bào)告,例如通過(guò)云服務(wù)或VPN。眾所周知,遠(yuǎn)程訪問(wèn)服務(wù)容易受到網(wǎng)絡(luò)攻擊,強(qiáng)大的身份驗(yàn)證和訪問(wèn)措施至關(guān)重要。
6、物理位置:與地理相關(guān)的另一個(gè)風(fēng)險(xiǎn)是,位置可能會(huì)減慢事件發(fā)生后的響應(yīng)和恢復(fù)時(shí)間。例如,進(jìn)出海上風(fēng)電場(chǎng)維修或重新成像傳感器的物流可能復(fù)雜、耗時(shí)且昂貴。前往遠(yuǎn)程站點(diǎn)的人不太可能是IT專業(yè)人員,因此易于部署并由非安全專家替代的安全解決方案至關(guān)重要。
7、網(wǎng)絡(luò)流量:所有在網(wǎng)絡(luò)上移動(dòng)的數(shù)據(jù)都應(yīng)受到監(jiān)控和加密。在連接的電力系統(tǒng)中,設(shè)備和中央應(yīng)用程序之間的流量通常是未加密的,容易受到操縱。靜態(tài)和運(yùn)動(dòng)中的數(shù)據(jù)可能會(huì)被攻擊者攔截,或者在DoS攻擊中淹沒(méi)的流量系統(tǒng)。
8、互聯(lián)網(wǎng)連接:天然氣等傳統(tǒng)發(fā)電廠通常不連接到互聯(lián)網(wǎng),并具有所謂的“氣隙”基礎(chǔ)設(shè)施,這降低了網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。然而,可再生能源的連接性意味著它們通常沒(méi)有這種保護(hù)。
9、電網(wǎng)的現(xiàn)有基礎(chǔ)設(shè)施:在大多數(shù)國(guó)家,很大一部分電網(wǎng)將陳舊過(guò)時(shí),無(wú)法接收安全更新。保護(hù)這些老舊設(shè)施的最佳方法是將它們打包嵌進(jìn)安全身份驗(yàn)證和訪問(wèn)措施的系統(tǒng)中。
10、缺乏監(jiān)管和安全協(xié)調(diào):對(duì)于長(zhǎng)期安全,立法和監(jiān)管——如歐洲的NIS 2.0——需要確??稍偕茉窗惭b有嚴(yán)格的標(biāo)準(zhǔn)。此外,可再生能源技術(shù)正在迅速發(fā)展,供應(yīng)鏈也很復(fù)雜——這可能會(huì)導(dǎo)致對(duì)誰(shuí)負(fù)責(zé)安全感到困惑。適用于云提供商的“分擔(dān)責(zé)任”模型可能是解決這個(gè)問(wèn)題的好方法。
可持續(xù)安全是可再生能源部門的關(guān)鍵
在某些方面,可再生能源系統(tǒng)與其他物聯(lián)網(wǎng)系統(tǒng)沒(méi)有太大區(qū)別。攻擊者可以掃描和瞄準(zhǔn)易受攻擊的組件、未修補(bǔ)的軟件、不安全的默認(rèn)設(shè)置和未受保護(hù)的連接。一個(gè)可持續(xù)的互聯(lián)可再生能源行業(yè)將需要從一開(kāi)始就內(nèi)置安全和網(wǎng)絡(luò)復(fù)原力,然后每一步都持續(xù)保持這種能力。
保護(hù)一個(gè)復(fù)雜的環(huán)境不一定是復(fù)雜的。值得考慮的安全訪問(wèn)服務(wù)邊緣(SASE)是一個(gè)集成解決方案,可以安全地將人、設(shè)備和事物與他們的應(yīng)用程序連接起來(lái),無(wú)論他們身在何處。加強(qiáng)網(wǎng)絡(luò)細(xì)分和用戶教育,將為網(wǎng)絡(luò)復(fù)原力奠定堅(jiān)實(shí)的基礎(chǔ),不僅要防止攻擊,而且在被攻擊時(shí)控制事件的影響。
原標(biāo)題:可再生能源為主的新型電力系統(tǒng)需要解決的10個(gè)網(wǎng)絡(luò)安全和復(fù)原力風(fēng)險(xiǎn)