Escolar Documentos
Profissional Documentos
Cultura Documentos
João Parra
Beja
2021
Instituto Politécnico de Beja
Análise Crítica Focando a Segurança ao Standard IEEE C37.1™-2007 para SCADA and
Automation Systems
Beja
Análise Crítica ao Standard IEEE C37.1™-2007
Índice
Introdução ............................................................................................................... 1
Conclusão .............................................................................................................. 10
i
Análise Crítica ao Standard IEEE C37.1™-2007
Introdução
Foi solicitado pelo professor Daniel Franco, que fosse feita uma análise crítica, focando
a segurança, a um dos standards para os sistemas Supervisory Control and Data
Acquisition (SCADA).
A introdução e a análise crítica são os únicos artigos deste documento. Também não
fazem parte deste documento o resumo e o abstract.
1
Análise Crítica ao Standard IEEE C37.1™-2007
O que é um IEEE Standard e para que serve? É um documento, elaborado pelo Institute
of Electrical and Electronics Engineers Standards Association (IEEE SA), com o
propósito de promover a inovação tecnológica e a excelência para o benefício da
humanidade.
Um documento IEEE Standard contém padrões globais numa série de indústrias, como:
potência e energia, sistemas de inteligência artificial, internet das coisas, tecnologia de
consumo e produtos eletrónicos de consumo, biomedicina, etc.
Pela leitura do Abstract podemos verificar que este standard não vai focar a parte de
segurança no que diz respeito às estrutures de cloud-based, WAN ou LAN.
O segundo artigo remete para outras normas indispensáveis para a aplicação da norma
em análise. As que podem auxiliar na normalização dos sistemas de informação são as
seguintes:
No artigo 4.2 explica a arquitetura e as funções para um Master station (control centre) e
uma figura onde essa arquitetura está representada, mas “sem quaisquer elementos de
network security”. Descreve a arquitetura como sendo do tipo distributed “composta por
software e hardware, com uma comunicação em tempo real com as subestações através
de uma LAN dedicada” com “funções de arquitetura aberta”. Indica quais os standards a
seguir para o sistema operativo, tanto dos servidores como dos postos de trabalho, e de
outros “produtos relacionados com as aplicações para computadores”. Menciona ainda
elementos de hardware que fazem parte desta arquitetura como as interfaces, as
workstations, os servers assim como, as funções desempenhadas por cada um destes
equipamentos na infraestrutura. O artigo não alude a qualquer tipo de segurança para as
“arquiteturas distribuídas”, para as “LANs dedicadas”, para os sistemas operativos dos
servidores e das estações de trabalho e para as “aplicações de computadores”.
O artigo 4.3 fala das funções do sistema de controlo para as arquiteturas dos Remote site
(substation). Este artigo faz a ponte entre os legacy RTUs e os recentes IEDs e indica
quais são os principais elementos que compõe a arquitetura das subestações. A “figura 2”
representada neste artigo mostra a “combinação entre as funções e os elementos que o
designer pode precisar, para a construção de um sistema para uma subestação
automatizada”, sem “mostrar quaisquer elementos para o network security” (“not show
any network security”). O artigo assinala ainda que a conexão entre as subestações e os
subsistemas restantes (EMS, outros utilizadores e estações de trabalho dos engenheiros),
faz-se com uma WAN “utilizando um router e uma firewall”, sem nunca descrever quais
os passos a seguir para aplicar políticas de segurança tanto para o router como para a
firewall. Neste artigo já é traçada a ideia de que os dados vão ser guardados num servidor
de “base de dados” contendo uma ligação separada para um servidor com uma “base de
dados para guardar o histórico de todos os dados”, aqui podemos considerar que estamos
perante uma política de segurança evitando perder os dados, mas não para a segurança
desses dados (roubo ou ramsom). Para uma melhor precisão na contagem das horas estes
equipamentos podem utilizar interfaces de GPS, denominadas IRIG-B, placas que podem
ser instaladas nos slots dos dispositivos que não se encontrem conectados a uma rede de
dados. Nas topologias de rede mais recentes, mais concretamente subestações IEDs,
4
Análise Crítica ao Standard IEEE C37.1™-2007
podem ser usados servidores NTP, SNTP ou o standard IEEE 1588 (used for “precision
time protocol (PTP) in power system applications”). Ainda neste artigo, relativamente ao
diagrama do “Example substation automation system architecture without security
shown”, há um paragrafo narrando que no diagrama “não está representada a
comunicação de mensagens cifradas para as ligações internas e externas, embora os
routers possam enviar/receber autenticações externas cifradas”. Já há aqui uma
preocupação com a proteção da autenticação, mas só da autenticação, o que é muito pouco
para um sistema SCADA moderno.
O artigo 5, que trata de normalizar a conceção do design, foca mais aspetos para a
estrutura da comunicação dos dados do que os restantes artigos. No que respeita ao design
das subestações indica que, “após o designer ter definido os requisitos de funcionalidade
do sistema”, tem de “decidir quais os protocolos de comunicação que vai usar (internos e
externos às subestações), os IEDs, o tipo arquitetura, as políticas de segurança e a sua
disponibilidade”.
“Note that the HMI computer may have other applications that also have
configuration files, but the specification of these applications and files are not
included in this standard.”.
No artigo 5.4, “Software, firmware, and hardware issues” realça um aspeto importante,
considerada uma política de segurança para os sistemas de informação, que é “a aplicação
dos remendos de segurança (patches) e as atualizações de segurança em todos os
softwares e firmwares de todos os HMIs ao longo do ciclo de vida dos sistemas”.
5
Análise Crítica ao Standard IEEE C37.1™-2007
O artigo 5.5, “Security Requirementes”, tal como o nome indica, é o que mais auxilia o
designer na conceção da segurança transmissão/receção dos dados, na autenticação e nos
níveis de acesso aos dados, mas unicamente “para o designer ficar familiarizado com os
conceitos de segurança” e não como aplicá-los no entanto, como referido acima, já mostra
ao designer que tem de ter em conta, quando da conceção do sistema, aspetos de
segurança como “o controlo de acessos, o controlo de usabilidade, a integridade dos
dados, a confidencialidade dos dados, a restrição do fluxo de dados, a rápida resposta a
um evento e a disponibilidade continua da rede”. Para a implementação destas políticas
o documento IEEE Std C37.1™-2007, aconselha “a leitura de bibliografia de outras fontes
para melhor emprego dos conceitos de segurança”. É sugerido ao designer, neste artigo,
que consiga “equilibrar a segurança com a operacionalidade do sistema” e “que estes
requisitos sejam aplicados à segurança física e às vulnerabilidades dos sistemas
eletrónicos”, exemplificando que a segurança física pode ser configurada “nos acessos
físicos ao sistema de rede automatizado como aos restantes dispositivos, e ao
equipamento ativo da rede e à sua cablagem”, enquanto que a segurança dos
“equipamentos eletrónicos inclui itens como a cifra dos dados, a cifra da autenticação, a
deteção de intrusões na rede de dados, firewalls e deteção de acesso a um IED,
estabelecendo desta forma um perímetro de segurança”. Não mostrando quais a técnicas
de cifra ou as formas de configurar a cifra das mensagens, informa que estas “técnicas
estão disponíveis para cifrar as bases de dados das subestações, as redes de comunicação
do IED, os links para o SCADA, as WAN corporativas, os portos de manutenção dos IED
e outras entidades que sejam consideradas para o estabelecimento de práticas de
segurança”.
A escolha de protocolos de comunicação é descrita no artigo 6.7. O que este texto elucida
é se “um protocolo standard já estiver a ser utilizado numa subestação” o designer deve
escolher um IED que “conheça esse mesmo protocolo e que permita a sua conexão ao
canal de comunicações ou à rede”. Este texto dá também as opções de avaliação para
6
Análise Crítica ao Standard IEEE C37.1™-2007
a) “Duration of backup power operation without battery charging (usually not less
than 4 h but normally at least 24 h)”;
b) “Longevity of the battery source as estimated by its shelf life on charge”;
c) “Temperature range over which the battery will maintain required voltage and
current capabilities”;
d) “Replacement interval for backup batteries”;
e) “Precautions for possible corrosive material spill/seepage and explosive gas
accumulation”;
f) “Recovery time of the backup battery after a full discharge”;
g) “Alarming for failure of either power supply”.
7
Análise Crítica ao Standard IEEE C37.1™-2007
Estes anexos, tal como é indicado, são exclusivamente informativos e não apresentam
quaisquer soluções ou normas para o designer. São apenas auxiliares e mostram ao
designer como podem funcionar as coisas logo, também não têm normas que foquem a
segurança.
Os fundamentos da comunicação são também tema dos anexos e explicam “que os IEDs
e as subestações automatizadas estão conectados por comunicações internas e externas às
subestações” e que através dessas conexões “são transmitidos dados e mensagens de
controlo entre os IEDs, formando assim um sistema de controlo”. As comunicações
referidas, independentemente do tipo de ativos que as fazem, “partilham protocolos
comuns como o Modbus, Modbus Plus e o DNP3”. São referidos os diversos tipos de
tipologias de rede. Quanto à segurança é referido que esta é necessária para evitar
“acessos indevidos como espionagem, substituição de bits, spoofing ou interferência de
ransom”, que “a maioria das vezes é impossível garantir a segurança total dos sistemas”
8
Análise Crítica ao Standard IEEE C37.1™-2007
e ainda “que as funções de segurança são aplicadas ao protocolo(s) usado(s) nos canais
de comunicação”.
9
Análise Crítica ao Standard IEEE C37.1™-2007
Conclusão
O Standard IEEE C37.1™-2007, para SCADA and Automation Systems, não foca a
segurança das comunicações de dados das subestações. Este standard é mais para o design
do projeto, deixando a segurança para um nível diferente e, é por essa razão que apresenta
ao designer diferentes standards para a normalização dos sistemas de informação.
Assim sendo, para elaborar um projeto com sucesso para a implementação de um SCADA
and Automation Systems, não basta seguir este standard. Para que o projeto tenha sucesso
temos de seguir o conselho de “ler bibliografia de outras fontes para melhor emprego dos
conceitos de segurança” e dos standards próprios com normas e conceitos de segurança.
10