Budovanie bezpečnej infraštruktúry inteligentného merania vo Východoslovenskej distribučnej

Od začiatku platnosti vyhlášky 358/2013 Z. z. o zavádzaní inteligentných meracích systémov do jednotlivých distribučných spoločností ubehlo už takmer šesť rokov. Stále platná vyhláška umožňuje určitú mieru flexibility pri obstarávaní a implementácii inteligentných zariadení do praxe. Postupná implementácia systémov na zber a správu meraných dát sa dopĺňa novými požiadavkami bezpečnosti dát, definovanými zákonom o ochrane osobných údajov (GDPR) a zákonom o kybernetickej bezpečnosti, ale aj rastúcimi požiadavkami na bezpečnosť dát a kybernetického priestoru.
Budovanie bezpečnej infraštruktúry inteligentného merania vo Východoslovenskej distribučnej

Súčasný stav implementácie inteligentného merania

Vyhláška určuje inštaláciu inteligentných elektromerov pre 80 % odberných miest v zmysle stanovených pravidiel počnúc spotrebou 4 MWh na odbernom mieste. Tieto pravidlá stanovujú celkový počet cca 100-tisíc odberných miest pre VSD. Aktuálne disponujeme 80-tisíc inteligentnými elektromermi v sieti, z ktorých denne získavame dáta (priebeh zaťaženia, spotreba energie, aktuálne prevádzkové hodnoty siete, udalosti).

Vo februári 2017 sme vo VSD uviedli do produkčnej prevádzky dátové a komunikačné centrum, ktoré zabezpečuje kompletnú správu inteligentných elektromerov, zabezpečuje odpočet dát a v neposlednom rade aj vykonávanie povelov. Všetky povely sú procesne zapracované do nadradeného systému SAP, ktorý online komunikuje s dodávateľmi elektriny a prijíma požiadavky na zapnutie, vypnutie, zmenu tarifného kalendára a podobne. Pri optimálnej úrovni signálu na odbernom mieste dokážeme pomocou inteligentného meracieho systému (ďalej len IMS) zapnúť zákazníka do 10 minút od poslania žiadosti dodávateľom elektriny. Medzi zásadné moderné funkcionality dátového centra patrí aj progresívne rozhranie REST API, pomocou ktorého dokážeme poskytovať dáta na ďalšiu analýzu a strojové učenie. V rámci projektu zavádzania IMS aktuálne prebieha implementačná fáza technológie PLC (Power Line Communication) a vývojová fáza na implementáciu bezpečnostných politík a úpravu auditných záznamov.

Výsledkom nasadenia zvýšenej úrovne zabezpečenia bude monitorovanie bezpečnostne relevantných udalostí v reálnom čase, čo nám pomôže identifikovať prekurzory kybernetických incidentov a relevantne reagovať s cieľom eliminovať vplyv na distribúciu elektriny. Systém inteligentného merania so všetkými aplikáciami považujeme nepochybne za kritický systém, nakoľko musíme denne dodávať namerané dáta pre organizátora trhu s elektrinou (OKTE), čo je základným predpokladom fungovania liberálneho trhu s elektrinou. Systém IMS dokáže v reálnom čase odpínať a zapínať odpojovač elektromera, preto mu patrí aj náležitá dôležitosť z pohľadu kybernetickej bezpečnosti.

Technológie PLC rokmi napredujú

Prvotné testovanie technológie PLC bolo vo VSD v roku 2013, keď sa v rámci prípravy na začiatok platnosti vyhlášky 358/2013 Z. z. testovali technológie PRIME a BPL. Výsledky boli neuspokojivé vzhľadom na nedostatky technológie a nepripravenosť dátových koncentrátorov. V roku 2017/2018 sa na trhu objavili nové generácie PLC technológií a našou reakciou bolo spustenie nových pilotných projektov, na ktorých sme testovali technológiu PRIME a G3. Obe technológie vykazovali úspešnosť zberu dát na úrovni 98 % za predošlý deň pri zbere záťažových profilov a denného profilu registrov. Tieto pozitívne výsledky sú ovplyvnené hlavne pripravenosťou a technologickým pokrokom na strane výrobcov PLC komponentov, ktoré môžeme považovať za generačne obmenené a pripravené pre nasadenie v teréne. Vo VSD vidíme v blízkom čase perspektívu inštalovania PLC technológie primárne v mestských zástavbách a nových bytových domoch, kde je práve využitie inteligentných systémov perspektívou udržateľného rozvoja inteligentnej siete a flexibility celého systému IMS.

Kybernetická bezpečnosť prenášaných dát

Požiadavky vyplývajúce z kybernetického zákona sa týkajú hlavne zabezpečenia sietí, infraštruktúry a informačných systémov. Do tejto kategórie spadajú aj systémy zabezpečujúce zber a spracovanie dát z IMS. V rámci návrhu koncepcie ochrany prenášaných dát treba počítať so zariadeniami obstaranými pred začiatkom platnosti kybernetického zákona. Vo VSD sme pristúpili k analýze možností jednotlivých zariadení IMS, pričom výsledkom je návrh optimálnej úrovne zabezpečenia. Základným predpokladom každého novoobstaraného zariadenia IMS je plná funkčnosť najvyššej úrovne zabezpečenia prenášaných dát (High Level Security) v smere od inteligentného elektromera k dátovému centru. Vysoká úroveň zabezpečenia umožňuje kryptovanie a obojstranné podpísanie prenášaných dát, pričom nemôže dôjsť k narušeniu integrity a odcudzeniu prenášaných dát. Ak je implementácia softvérového spracovania dát elektromera v zmysle Green Book protokolu DLMS minimálne na úrovni Security Suite 0, tak sa nemusíme báť o zabezpečenie dát a povelov vykonávaných v elektromeroch vzdialene z dátového centra.

Zelená kniha DLMS protokolu definuje tieto tri úrovne bezpečnosti:

  • Security Suite 0 – AES-GCM-128,
  • Security Suite 1 – ECDH-ECDSA-AES-GCM-128-SHA-256,
  • Security Suite 2 – ECDH-ECDSA-AES-GCM-256-SHA-384.

Úroveň zabezpečenia prístupu k nameraným dátam je v zmysle protokolu DLMS softvérovou záležitosťou inteligentného elektromera. Úrovne prístupu môžeme rozdeliť na tri základné:

  • najnižšia úroveň zabezpečenia,
  • nízka úroveň zabezpečenia,
  • vysoká úroveň zabezpečenia.

Najnižšia úroveň zabezpečenia sa štandardne nevyužíva, nakoľko umožňuje prístup k dátam a nastaveniam elektromera bez akéhokoľvek hesla, prípadne kľúča. Štandardným zabezpečením elektromerov je nízka úroveň zabezpečenia, ktorá na prístup k dátam vyžaduje znalosť základného hesla k jednotlivým klientom v elektromere. Táto úroveň zabezpečenia však neposkytuje žiadnu ochranu prenášaných dát tak, ako je to zobrazené na obr. 1. Vysoká úroveň zabezpečenia štandardne poskytuje niekoľko možností na prístup k dátam a nastaveniam v elektromere. Všeobecne sa táto úroveň považuje za najvyššiu a dostatočnú aj z pohľadu kybernetickej bezpečnosti. V zmysle obr. 1 môžeme v tejto úrovni zabezpečenia využívať viacero nastavení, ktoré závisia od samotnej implementácie na oboch stranách a v neposlednom rade aj od hardvéru elektromera. Ideálne riešenie spočíva v aktivácii vysokej úrovne zabezpečenia vrátane autentifikácie a kryptovania prenášaných dát.

Skúsenosti z prípravy optimálnej úrovne zabezpečenia poukazujú na rozdielnosti v implementácii jednotlivých bezpečnostných balíkov. Zásadnú úlohu celkového riešenia zohráva samotný hardvér zariadenia, ktorý často zodpovedá trhovým podmienkam. Prakticky každý elektromer je schopný poskytnúť dáta v jednoduchom formáte na úrovni zabezpečenia LLS (Low Level Security). V momente aktivácie najvyššej úrovne zabezpečenia dochádza často k zahlteniu hardvérového čipu elektromera, ktorý v jednom okamihu nielen vytvára rámce plné odčítaných dát, ale ich aj šifruje pomocou kryptovacích kľúčov. Výsledkom týchto operácií je zvýšenie počtu prenášaných paketov, spomalenie komunikácie a v niektorých prípadoch aj nemožnosť vykonania samotného odpočtu. V rámci návrhu optimálnej úrovne zabezpečenia hľadáme vo VSD riešenia, ktoré budú poskytovať dostatočnú ochranu prenášaných dát a zároveň bude zabezpečený plynulý prenos dát od elektromera do dátového centra.

Trezor (Key Management System)

Implementácia kybernetických bezpečnostných mechanizmov prináša aj riziko uloženia kľúčov na bezpečnom mieste. Všeobecne platí, že bez kľúča sa do elektromera nedostanete. V rámci prípravy implementácie bezpečnostných politík sme vo VSD pripravili systém Trezor (Key Management System), ktorý musí spĺňať prísne bezpečnostné a prevádzkové požiadavky s vysokou dostupnosťou v čase zberu dát. V tomto systéme budeme ukladať heslá a kľúče k elektromerom tak, aby k nim mal prístup len systém, ktorý ich skutočne potrebuje na obsluhu elektromera.

Implementácia systému na ukladanie hesiel a kľúčov musí zabezpečiť poskytovanie kľúčov systému, ktorý zabezpečí kryptovanie dát. Na obr. 2 je znázornený priebeh šifrovanej komunikácie s elektromerom, ktorá vytvára zabezpečené prostredie aj mimo serverov infraštruktúry dátového centra.

Nové možnosti riadenia siete

V rámci možností získavania informácií o zabezpečení distribúcie elektriny zákazníkovi sme vo VSD vybudovali modulárnu technologickú platformu s nezávislými dátovými rozhraniami. V tejto platforme využívame webové rozhranie, pomocou ktorého dokážeme odčítať dáta z IMS elektromera v reálnom čase a zároveň analyzovať celý vývod od transformátora až k zákazníkovi. Ďalšou časťou infraštruktúry IMS vo VSD sú podporné aplikácie Eventer a Pinger, ktoré spracúvajú udalosti z elektromerov IMS posielané automaticky po ich vzniknutí priamo do databázy. Postupne sa nám otvárajú nové možnosti využitia IMS na riadenie distribučnej siete, ktoré ukazujú smer v budovaní inteligentných sietí (Smart Grids). Čaká nás ešte dlhá cesta plná výziev, avšak aktuálne výsledky ukazujú, že progresívny a inovatívny smer prináša to pravé ovocie z budovania inteligentných meracích systémov.

Ing. Jozef Dudiak, PhD.
Východoslovenská distribučná, a. s.
dudiak_jozef@vsdas.sk