Bezpieczeństwo informatyczne inteligentnych systemów pomiarowych w świetle ustawy o krajowym systemie cyberbezpieczeństwa

28 sierpnia 2018 weszła w życie Ustawa o Krajowym Systemie Cyberbezpieczeństwa, implementująca wymagania europejskiej dyrektywy NIS. Wszyscy operatorzy usług kluczowych będą zobowiązani do wdrożenia określonych w ustawie procedur dotyczących m.in. szacowania ryzyka w zakresie funkcjonowania świadczonych usług kluczowych, zarządzania incydentami a przede wszystkim zastosowania adekwatnych do oszacowanego ryzyka środków technicznych i organizacyjnych. Istotnym elementem szacowania tego ryzyka jest znajomość potencjalnych wektorów ataku możliwych do wykorzystania do naruszenia stabilności systemu realizującego określoną usługę kluczową. Systemy inteligentnego opomiarowania, m.in. ze względu na fakt, iż wykorzystują liczniki energii elektrycznej pozostające fizycznie poza kontrolą operatora sieci, mogą być celem cyberataku o dużym zasięgu i istotnym, negatywnym wpływie na działanie sieci elektroenergetycznej i ciągłość dostaw energii elektrycznej. Referat przedstawia wybrane scenariusze ataku na infrastrukturę inteligentnego opomiarowania oraz środki zapobiegawcze których zastosowanie może podnieść odporność na dotychczas zidentyfikowane metody cyberataku. W referacie przedstawiono sposób zapewnienia bezpieczeństwa informatycznego inteligentnych systemów pomiarowych. Określono procedury związane z badaniami poziomu bezpieczeństwa systemów inteligentnego opomiarowania w odniesieniu do poszczególnych warstw tych systemów.

On August 28, 2018, the Act on the National Cyber Security System, implementing the requirements of the European NIS Directive, came into force. All identified operators of key services are be required to implement the procedures laid down in the directive, including risk assessment in the scope of functioning of provided key services, incident management and most importantly the application of technical and organizational measures adequate to the estimated risk. An important element of estimating this risk is the knowledge of potential attack vectors that can be used to breach the stability of the system performing a specific key service. Intelligent metering systems due to the fact that they use electricity meters that remain physically beyond the control of the network operator, may become a target of a cyberattack on a massive scale and therefore have a significant negative impact on the operation of the electric grid and continuity of energy supply. The paper presents selected methods of the attack on smart metering infrastructure as well as preventive measures that may increase resistance to currently identified cyber-attack methods. Moreover the paper presents the methods of executing a security audit of AMI systems on their architectural levels.