Un innovativo progetto di ricerca e sviluppo guidato dai ricercatori del Berkeley Lab che combina sicurezza informatica, algoritmi di apprendimento automatico e tecnologia dei sensori del sistema di alimentazione disponibile in commercio per proteggere meglio la rete elettrica ha suscitato l'interesse delle utility statunitensi, aziende elettriche e funzionari governativi.

Lanciato nel 2015, il progetto triennale passa ora alla fase di trasferimento tecnologico, secondo il capo progetto Sean Peisert, uno scienziato informatico nella divisione di ricerca computazionale del Berkeley Lab ed un esperto di sicurezza informatica. Oltre a ricevere sostegno finanziario dal programma del Dipartimento dell'energia per la sicurezza informatica per i sistemi di consegna dell'energia (CEDS) presso l'Ufficio per la fornitura di energia elettrica e l'affidabilità energetica, il team ha lavorato a stretto contatto con i principali partner del settore, compreso EnerNex, EPRI, Servizi pubblici di Riverside e Southern Company.

"Questo progetto ha, fin dall'inizio, è stato progettato pensando al trasferimento tecnologico, " ha affermato Peisert. che è anche capo stratega della sicurezza informatica per il CENIC e professore associato di informatica presso l'Università della California, Davis. "Abbiamo cercato input dai fornitori di apparecchiature e dai fornitori di energia per garantire che le tecniche sviluppate siano radicate nella realtà e abbiano maggiori probabilità di essere implementate e utilizzate nella pratica".

Miglioramento della resilienza della griglia

Una rete elettrica più modernizzata si tradurrà in una migliore affidabilità e resilienza e in un ripristino più rapido del servizio in caso di interruzioni. La creazione di strumenti e tecnologie innovativi per ridurre il rischio che la fornitura di energia possa essere interrotta da un incidente informatico è fondamentale per rendere la rete elettrica nazionale resiliente alle minacce informatiche.

La rete di distribuzione dell'energia è stata sviluppata con un'attenta considerazione per garantire un funzionamento sicuro e affidabile; man mano che la rete viene modernizzata per migliorare ulteriormente l'affidabilità, nuove funzionalità devono essere progettate per la resilienza informatica per prevenire attacchi informatici tramite reti IP. Mentre gli approcci alla sicurezza IT sviluppati per i sistemi aziendali per affrontare malware e altri attacchi informatici includono i tradizionali sistemi di rilevamento delle intrusioni, firewall e crittografia, queste tecniche possono lasciare un vuoto in termini di sicurezza e protezione quando vengono applicate a dispositivi cyber-fisici perché non considerano le informazioni fisiche note sul dispositivo che stanno proteggendo.

Per affrontare questa vulnerabilità, a partire dal 2014 Peisert e i suoi collaboratori, tra cui Ciaran Roberts (Berkeley Lab), Anna Scaglione (Università Statale dell'Arizona), Alex McEachren (Laboratorio degli standard di potenza), Chuck McParland (pensionato al Berkeley Lab), ed Emma Stewart (ora con il Lawrence Livermore National Laboratory) hanno avviato una serie di progetti che adottano un approccio unico alla sicurezza della rete integrando le tradizionali tecniche di sicurezza informatica e di ingegneria della sicurezza. Il loro obiettivo finale era sviluppare un quadro di monitoraggio e analisi della sicurezza che migliorasse la resilienza del sistema di rete.

"Più abbiamo esaminato questo, più ci siamo resi conto che le persone responsabili della sicurezza informatica e le persone responsabili dell'ingegneria della sicurezza spesso non sono nelle stesse parti dell'organizzazione e molto spesso non si parlano tra loro, " Ha detto Peisert. "Così abbiamo iniziato a chiederci se ci fosse un modo per colmare il divario tra il mondo fisico e il mondo cibernetico, e il mondo dell'ingegneria della sicurezza e il mondo della sicurezza informatica, e creare un unico sistema in cui il sistema di sicurezza informatica tenga conto della fisica del dispositivo e dei limiti fisici di quel dispositivo."

A tal fine, il loro progetto attuale si è concentrato sulla progettazione e implementazione di un'architettura in grado di rilevare attacchi cyber-fisici alla rete del sistema di distribuzione dell'energia. Per fare ciò, utilizzano unità di misura micro fasori (μPMU) per acquisire informazioni sullo stato fisico della rete di distribuzione dell'energia. Quindi combinano questi dati con SCADA (controllo di supervisione e acquisizione dati, comunemente utilizzati nel monitoraggio della rete elettrica) informazioni per fornire feedback in tempo reale sulle prestazioni del sistema.

"L'idea è che se potessimo sfruttare il comportamento fisico dei componenti all'interno della rete elettrica, potremmo avere una visione migliore in termini di se c'è stato un attacco informatico che ha cercato di manipolare quei componenti, " ha spiegato Peisert. "Questi dispositivi forniscono una serie ridondante di misurazioni che ci offrono un modo ad alta fedeltà di tracciare ciò che sta accadendo nella rete di distribuzione dell'energia, e osservando solo quelle misurazioni o confrontando quelle misurazioni con ciò che l'apparecchiatura stessa stava riportando e cercando discrepanze, potremmo avere qualche indicazione di alcuni tipi di attacchi contro i componenti nella rete di distribuzione dell'energia."

μPMU contro PMU

Le unità di misura dei fasori (PMU) vengono utilizzate per misurare lo stato elettrico della rete elettrica e fornire una conoscenza della situazione ai gestori dei sistemi di trasmissione. Tipicamente installato nelle sottostazioni ad alta tensione, Le PMU sono considerate un importante dispositivo di misurazione nei sistemi di alimentazione, fornire istantanee della rete elettrica a una velocità molto più elevata rispetto a SCADA calcolando e riportando i fasori di tensione e corrente (un numero complesso che rappresenta l'ampiezza e l'angolo di fase delle onde sinusoidali che caratterizzano le reti elettriche CA).

Però, Le PMU hanno alcune caratteristiche, vale a dire dimensioni e costi, che limitano la loro implementazione a livello di rete di distribuzione. È qui che entrano in gioco le μPMU. Sviluppato presso il Power Standards Lab nell'ambito di un progetto guidato da UC Berkeley e finanziato dal programma ARPA-E del Dipartimento dell'Energia, Le μPMU sono progettate per aumentare la consapevolezza della situazione a livello di distribuzione. Poiché sono molto più piccoli e potenzialmente meno costosi, più μPMU possono essere distribuiti in punti lungo la rete di distribuzione, fornendo una risoluzione molto più elevata (120 misurazioni/sec) della rete e avvisando gli operatori di potenziali attacchi su quella rete in tempo reale.

"Il nostro approccio, che in realtà utilizza solo un numero limitato di sensori, utilizza misurazioni sia SCADA che μPMU, e c'è un valore incredibile nel poter fare un controllo incrociato tra i due per cercare discrepanze, " Ha detto Peisert. "Individualmente potrebbe essere possibile per un utente malintenzionato manipolare ciò che viene rappresentato da un singolo sensore o fonte di informazioni, che potrebbe causare danni alla rete elettrica. Questo approccio fornisce la ridondanza e quindi la resilienza nella visione a disposizione degli operatori di rete".

Rilevamento degli aiuti di apprendimento automatico

Per far sì che ciò accada, il team di ricerca ha utilizzato una versione modificata dell'algoritmo della somma cumulativa (CUSUM), introdotto per la prima volta nel 1954, per l'analisi sequenziale dei dati e il rilevamento automatico delle anomalie. Il risultato è, in sostanza, una forma di apprendimento automatico.

"L'algoritmo consente al software di apprendere in modo adattivo il comportamento normale delle grandezze misurate, e attraverso quel processo impara a identificare comportamenti anormali e normali rilevando rapidi cambiamenti nell'ambiente fisico, come l'intensità della corrente e la potenza attiva e reattiva, " ha detto Roberts di Berkeley Lab, un ingegnere di sistemi energetici nell'area delle tecnologie energetiche. "Tutto il calcolo viene eseguito in tempo reale durante le raccolte di dati fisici, e gli algoritmi sono progettati per funzionare in tempo reale".

Attualmente i dati vengono raccolti da μPMU posizionati in più posizioni intorno al Berkeley Lab (che ha una propria sottostazione di distribuzione dell'energia) e analizzati utilizzando un cluster di calcolo e una presenza web (powerdata.lbl.gov) che il team ha creato appositamente per questo progetto.

"Abbiamo dovuto costruire la nostra infrastruttura per raccogliere tutti i dati del sensore in un unico posto ed eseguire gli algoritmi su di essa per determinare se c'era un evento di interesse, " Ha detto Peisert. "E abbiamo interfacce grafiche per quel sistema che possono essere utilizzate anche dalla più ampia comunità di ricerca".

Man mano che la componente di ricerca e sviluppo di questo progetto si esaurisce, il team sta preparando il suo rapporto finale e si sta incontrando attivamente con i propri partner del settore e altri servizi pubblici e aziende elettriche negli Stati Uniti per introdurli a questo esclusivo framework di sicurezza della rete. Condividono anche le loro scoperte attraverso presentazioni in occasione di eventi come l'EPRI Power Delivery &Utilization Winter 2018 Program Advisory &Sector Council Meeting, tenutosi a febbraio a San Diego, e l'OSIsoft PI World Users Conference in aprile.

"Utilizzando sensori ad alta risoluzione nella rete di distribuzione dell'energia e una serie di algoritmi di apprendimento automatico che abbiamo sviluppato, in combinazione con un semplice modello di rete di distribuzione, il nostro lavoro può essere implementato dalle utility nella loro rete di distribuzione per rilevare attacchi informatici e altri tipi di guasti nella rete, " ha detto Peisert. "Questo è un nuovo risultato che non pensiamo sia stato fatto prima."