La sicurezza della smart grid è considerata oggi un problema sociale di importanza critica. Fino a pochi anni fa le discussioni riguardanti questo tema erano focalizzate sulla creazione di standard per la difesa della privacy e per prevenire il furto di dati. Oggi la riflessione è centrata invece sulle minacce concrete ai sistemi di approvvigionamento energetico delle comunità. Gli organi di stampa e i telegiornali si occupano spesso di temi come la sicurezza informatica, minacce alle infrastrutture come il malware Stuxnet e l'attacco informatico ai contatori elettrici di Porto Rico. Per raggiungere il necessario livello di sicurezza, molte autorevoli organizzazioni internazionali stanno lavorando per definire linee guida e criteri rivolti all'infrastruttura di misura automatica o Ami (Automated metering infrastructure). In Europa Bsi, l'organizzazione tedesca per la sicurezza nelle tecnologie dell'informazione, ha pubblicato un profilo di protezione per i gateway nei sistemi di smart metering. Analogamente, nell'America del nord il Nist ha pubblicato la specifica Nistir 7268 che contiene linee guida per garantire la sicurezza delle Ami. I media sottolineano spesso i problemi posti dai contatori intelligenti, dando voce a preoccupazioni molto diffuse ma senza proporre soluzioni. Bsi e Nistir offrono linee guida su come questi sistemi debbano o possano essere progettati per garantire sicurezza, eppure le implementazioni di questo tipo sono tuttora molto rare. In effetti, il settore dei contatori intelligenti è ancora privo di molti dei meccanismi critici di protezione che sono essenziali per garantire sicurezza a livello di sistema. I pericoli per la sicurezza dei contatori intelligenti sono molteplici e in continua evoluzione. Di conseguenza, non esiste una soluzione unica e definitiva per questo tipo di preoccupazioni. Una robusta strategia di sicurezza per i contatori intelligenti deve essere sempre pronta ad affrontare nuovi pericoli. Le vulnerabilità iniziano già nelle fasi di fabbricazione, assemblaggio e calibrazione dell'hardware, e riguardano tutta la vita operativa del contatore, che secondo la maggior parte delle utility deve durare dieci o vent'anni. Le soluzioni a questi problemi possono essere realizzate in hardware oppure in software; il primo metodo offre una maggiore velocità di elaborazione e maggiore sicurezza fisica, mentre il secondo è più flessibile. Il bilanciamento ottimale tra hardware e software consente quindi di proteggere nel migliore dei modi l'infrastruttura del sistema. Una soluzione ottimizzata per i contatori intelligenti esiste già: si tratta del SoC Zeus di Maxim Integrated, che combina funzionalità di sicurezza ottenute tramite hardware e software allo stato dell'arte. Il SoC Zeus, che si rivolge all'infrastruttura e ai server dei contatori intelligenti, servirà come esempio principale in questo articolo.
Sicurezza in fase di fabbricazione
Le discussioni sulla sicurezza della smart grid sono spesso focalizzate sugli algoritmi di crittografia utilizzati durante la sua normale attività. La crittografia è certamente uno strumento molto prezioso, ma costituisce solo una parte della soluzione; consente infatti di proteggere i dati durante il funzionamento della rete, ma non offre protezione per i rischi che si presentano durante le fasi di fabbricazione ed installazione. In effetti, la supply chain produttiva è il primo punto potenzialmente esposto ad attacco. Come la maggior parte delle aziende elettroniche, i produttori di contatori intelligenti affidano la maggior parte delle attività di fabbricazione a fornitori partner, spesso situati in paesi diversi da quello in cui viene svolta la progettazione. Sebbene affidabile e produttivo per la maggior parte delle applicazioni, questo processo espone i produttori di dispositivi sicuri ad una serie di pericoli esterni. Le terze parti a cui viene assegnato l'appalto hanno infatti la possibilità di accedere ai dettagli dell'architettura, dell'hardware e del software di sistema. Non sorprende quindi che il primo principio per una fabbricazione sicura sia una supply chain sicura. Prodotti chiave come i semiconduttori devono essere acquistati tramite canali di approvvigionamento affidabili, che impieghino un'autenticazione tra fornitore di fiducia e Oem di fiducia. L'autenticazione tramite algoritmo challenge-response è il modo più efficace per convalidare la supply chain. Il processo di fabbricazione deve consentire l'accesso e il controllo del sistema solo a soggetti di fiducia. Qui entrano in gioco le firme digitali e gli algoritmi crittografici. Le falle nella sicurezza dei contatori verificatesi a Porto Rico sono state causate da manomissioni, probabilmente nel corso del processo di fabbricazione. Un metodo molto efficace per proteggere un sistema nel corso della fabbricazione è un bootloader sicuro. Vediamolo in maggiore dettaglio. Usando un bootloader sicuro, l'Oem può controllare l'accesso al controllore del contatore intelligente nel corso della fabbricazione. Il codice caricato in questa fase sarà infatti verificato durante il boot e sarà eseguito solo se identificato tramite un algoritmo crittografico asimmetrico, combinato con una funzione di hash sicuro. Questo processo consente di verificare che il codice provenga da una fonte affidabile. Un'analogia con il mondo industriale è rappresentata dalle modalità di accesso alla rete dei computer di un'azienda: solo il personale autorizzato è ammesso nel sistema (tramite autenticazione) e solo questo personale può eseguire determinati comandi (eseguendo codice che è stato verificato crittograficamente). I vantaggi di un bootloader sicuro sono inestimabili. Come descritto precedentemente, questa soluzione integra più livelli di sicurezza. Senza un bootloader sicuro realizzato in hardware, agli hacker basta trovare un solo punto debole, ad esempio una chiave esposta, per penetrare nel sistema. Questo è il motivo per cui gestire un contatore intelligente con il SoC Zeus e il suo bootloader sicuro è oggi così importante. Usando questa configurazione, solo soggetti autorizzati con le corrette chiavi private e la giusta catena di convalida possono inviare messaggi che Zeus, e quindi il contatore intelligente, caricherà ed eseguirà.
Sicurezza in fase di installazione
La maggior parte delle utility non dispone di personale sufficiente per installare una gran numero di contatori in un tempo ragionevole. L'installazione di una Ami, pertanto, richiede generalmente un appalto a fornitori esterni, il che significa che soggetti terzi hanno la possibilità di manipolare l'infrastruttura di rete dei contatori. Nel corso del processo di installazione, infatti, può aver luogo l'hacking fisico delle porte ottiche o semplici modifiche al cablaggio del contatori. Il ricorso alla metrologia sicura, però, può proteggere anche la fase di installazione. Molti degli odierni contatori sono basati su un'architettura a due schede: una scheda metrologica e una scheda di comunicazione. In questa architettura i dati metrologici passano su fili scoperti prima di essere crittografati per la comunicazione, a meno che la sicurezza non sia integrata nella funzione metrologica. Un approccio alternativo consiste nell'utilizzare un'architettura a scheda singola, dove le funzioni di sicurezza sono integrate nel chip metrologico, costituendo una sorta di involucro protettivo. Tramite la funzione crittografia integrata nel chip e collocata in un'area metrologica separata, i dati del contatore possono essere crittografati subito dopo la misura. Questo accorgimento chiude ogni possibile falla tra la metrologia e la comunicazione. I dati ricevuti dopo il processo di installazione possono essere considerati validi e l'utility può quindi confrontarli con le letture del vecchio contatore per assicurare la correttezza. Collocando la crittografia sul chip metrologico, il SoC Zeus chiude il varco tramite cui gli hacker potrebbero entrare nella rete. L'involucro protettivo assicura l'integrità dei dati del contatore non solo durante la fase di installazione, ma anche nel corso di tutta la sua vita operativa.
Sicurezza nel corso del funzionamento
Spesso i contatori elettrici, e quindi anche i contatori intelligenti, sono collocati all'aperto o in altre posizioni fisicamente accessibili che consentono agli hacker di studiarli a lungo indisturbati. Data la vastità delle reti e la lunga vita operativa prevista per i contatori intelligenti, questi dispositivi sono esposti a molti pericoli nello spazio e nel tempo.
Una grande superficie attaccabile
Le installazioni Ami hanno una grande superficie attaccabile, nel senso che i punti esposti a potenziali attacchi sono molto numerosi. La rete è composta generalmente di centinaia o migliaia di contatori che comunicano con i concentratori tramite powerline communication o Rf. I concentratori a loro volta comunicano con la utility tramite qualche forma di backhaul, sulla rete di telefonia mobile o su fibra ottica. Nel collegamento tra i contatori e i concentratori, il meshing o l'inoltro dei messaggi da e per i contatori consente ai medesimi di ampliare la rete. Questa architettura limita i costi dell'infrastruttura, riducendo il numero dei concentratori necessari per un dato numero di contatori. Le reti mesh, però, sono più vulnerabili poiché creano un'opportunità di intercettazione e alterazione delle comunicazioni tra i contatori intelligenti. Questo tipo di aggressione è indicato come attacco “man in the middle”. Normalmente i contatori intelligenti non hanno né le funzioni di sicurezza né la potenza di calcolo dei concentratori e degli altri grandi apparati di rete; sono quindi più vulnerabili agli attacchi. Inoltre le aggressioni ad una rete mesh possono essere condotte anche su un'area molto grande, a seconda delle dimensioni della maglia. Poiché molte delle comunicazioni hanno luogo tra contatore e contatore, senza la supervisione delle infrastrutture di rete, ogni contatore intelligente deve essere molto ben protetto individualmente. Lo standard Aes e altri algoritmi di crittografia simmetrici assicurano un ottimo livello di sicurezza, ma il loro svantaggio è che tutti i contatori condividono la stessa chiave. Di conseguenza, un hacker che scopra la chiave privata sarà in grado di attaccarli tutti. La crittografia asimmetrica, invece, è il metodo migliore per cifrare univocamente i dati, poiché ciascun contatore usa un diverso set di chiavi sicure per la codifica e decodifica. Le chiavi usate per molteplici eventi sicuri, come le autenticazioni, devono essere generate sul chip e conservate in una memoria sicura, incorporata nel prodotto; in questo modo la chiave privata viene protetta, perché non deve mai uscire dal contatore. Utilizzando combinazioni di chiavi diverse per ogni contatore, la scoperta di una chiave privata permette l'accesso a un solo dispositivo. La crittografia asimmetrica consente pertanto di ridurre drasticamente la 'superficie attaccabile' di un'installazione Ami e di diminuire il 'ritorno sull'investimento' dell'hacker. In altri termini, per l'aggressore non vale più la pena dedicare così tanto tempo e tanto impegno al tentativo di intromissione. Ma queste elaborazioni richiedono tempo e nessuno vuole rallentare un sistema sensibile al fattore velocità. Il problema principale, per quanto riguarda la crittografia asimmetrica, è quindi fornire a ogni singolo contatore la potenza di elaborazione necessaria. In questa situazione l'hardware offre un vantaggio significativo: eseguire le funzioni di codifica e decodifica tramite acceleratori hardware consente infatti di ridurre notevolmente i tempi di elaborazione, rispetto alle stesse funzioni realizzate in software. Le risorse software dedicate alla codifica e decodifica dei messaggi possono così essere minimizzate, liberando il sistema per altre funzioni. Il SoC Zeus integra più strati di crittografia asimmetrica in hardware, oltre alla generazione e conservazione di chiavi sicure. Per rafforzare ulteriormente la crittografia asimmetrica, il SoC integra anche un vero generatore di numeri casuali, per creare chiavi sicure che prevengono i 'replay attack'. Vari algoritmi di crittografia simmetrica come lo standard Aes consentono anche la stratificazione con i metodi asimmetrici sopra descritti e assicurano la conformità a qualunque standard di sicurezza che richieda tale crittografia.
Flessibilità per le minacce future
I contatori intelligenti devono possedere la flessibilità necessaria per affrontare qualunque minaccia alla sicurezza che possa presentarsi nel corso degli anni, dopo l'installazione della Ami. Il rilevamento e l'eliminazione di questi pericoli nel corso del funzionamento a lungo termine è quindi l'ulteriore, difficile passo da compiere per assicurare la praticabilità e la sicurezza del contatore e della rete elettrica. Le attuali installazioni Ami non sono dotate di sistemi per il rilevamento delle intrusioni. Secondo le utility, ciò è dovuto ai costi eccessivi e alla mancanza di soluzioni mature. I problemi dei produttori di contatori intelligenti si sintetizzano in una domanda diretta ma tutt'altro che facile: quanta potenza di elaborazione deve essere integrata in un contatore per rilevare le minacce esterne? Vari articoli accademici propongono soluzioni per rispondere a questa domanda, basate sia sui contatori sia sulla rete. Una soluzione promettente consiste nell'impiego di un Cumulative attestation kernel (Cak), un algoritmo residente nel contatore che verifica le revisioni del firmware per fornire un altro strato di rilevamento quando le minacce esterne riescono a violare la crittografia ed il processo di autenticazione. Il Cak può girare su un microcontrollore a 8 o 32 bit e richiede una piccola quantità di memoria. Organismi autorevoli come l'Electric Power Research Institute concordano sul fatto che i contatori intelligenti debbano contenere alcune funzionalità avanzate per garantire la sicurezza e ospitare soluzioni future. È un fatto noto, oggi, che le violazioni della sicurezza richiedono interventi costosi. Il funzionamento continuativo di una rete sicura di contatori intelligenti, pertanto, richiede più del rilevamento e l'eliminazione delle minacce.
La questione di fondo è la reazione. Il modo in cui il contatore reagisce alle minacce presenti e future avrà un effetto sulla robustezza, sull'efficacia e probabilmente anche sul successo finanziario di un'installazione Ami. Si consideri per il momento una breve digressione. Molti sistemi sicuri, come i terminali finanziari, si spengono immediatamente in caso di attacco informatico, impedendo così agli hacker di accedere ad altre parti della rete. Gli svantaggi dello spegnimento sono superati dal vantaggio della protezione dei dati finanziari. Torniamo ora ai contatori intelligenti, che costituiscono l'unica sorgente di elettricità per i rispettivi clienti. In questo caso lo spegnimento immediato a fronte di un pericolo percepito non è la reazione ottimale. Queste reti devono invece determinare immediatamente l'entità della minaccia potenziale, prima di reagire. In effetti, l'intera Ami deve continuare a funzionare anche in presenza di minacce, mentre valuta la gravità di ciascuna di esse. Probabilmente molti ritengono che l'interruzione del servizio elettrico a un singolo cliente sia meno grave di un disservizio su larga scala o dell'accesso illecito a un'infrastruttura di comunicazione pervasiva. Poiché le minacce più gravi per la Ami provengono dagli attacchi informatici su larga scala, i contatori intelligenti necessitano della capacità di assegnare priorità alle risposte difensive - in qualunque momento del loro funzionamento. Un contatore intelligente, inoltre, deve assicurare questa robusta sicurezza hardware, disinnescare i pericoli ed ospitare le future soluzioni software senza richiedere grandi upgrade di sistema. L'architettura del SoC Zeus comprende un core Arm a 32 bit. Ogni comunicazione che non viene decrittata o autenticata correttamente può essere ignorata, memorizzata o segnalata ad altri dispositivi, a discrezione del progettista del contatore e della rete. La separazione tra la metrologia e il core Arm assicura che le funzioni di misura non vengano interrotte durante le varie routine software. Questo funzionamento è totalmente conforme a Welmec e ad altri standard che richiedono la separazione della metrologia e/o del software metrologico dal software non metrologico e dalle relative applicazioni. Inoltre i meccanismi di sicurezza hardware descritti precedentemente assicurano la più rapida gestione della comunicazione, lasciando libero il core Arm di eseguire task di sistema. Il core Arm può anche essere dotato di soluzioni a prova di futuro come un Cak, che rappresenterebbe un ulteriore strato su un sistema già di per sé sicuro. La potenza di elaborazione e le funzioni di sicurezza in hardware, combinate con appropriati upgrade software per migliorare la protezione del sistema nei confronti dei pericoli in continua evoluzione, forniscono una soluzione estremamente efficace per garantire la sicurezza del sistema - mantenendo un giusto bilanciamento tra funzioni hardware e software.
Un futuro di opportunità
La smart grid rappresenta una trasformazione stupefacente della rete elettrica del ventesimo secolo. Ma quando si aggiungono funzionalità di networking e di controllo a un sistema così vasto, si aumentano notevolmente la sua esposizione e vulnerabilità agli attacchi sul fronte della sicurezza e, quel che più conta, alle minacce informatiche. Le organizzazioni internazionali stanno definendo standard prestazionali, gli organi di informazione documentano i miglioramenti delle misure protettive e le violazioni della rete. Ma sta ai produttori di contatori intelligenti predisporre le difese contro questi attacchi. Un approccio proattivo consiste nel separare le funzioni hardware e software; e nel rendere sicuro l'intero ciclo di vita del contatore intelligente, dall'acquisto dei componenti fino alla fabbricazione, installazione e funzionamento a lungo termine. Forte della propria conoscenza dei problemi del settore, Maxim ha progettato il SoC Zeus con l'intento di offrire una soluzione avanzata ed elegante per i contatori intelligenti di oggi e di domani.