Интеллектуальная энергосистема США уязвима для кибератак

Специалисты американской консалтинговой компании IOActive в течение года исследовали безопасность устройств системы энергораспределения Smart Grid. Они обнаружили несколько уязвимостей, которые могут быть использованы для получения доступа к сети и несанкционированного отключения электроэнергии.

Устройства Smart Grid представляют собой миниатюрные компьютеры, подключенные к энергосистеме и позволяющие потребителю и электроэнергетическим компаниям управлять потреблением энергии. В настоящее время в США число таких устройств насчитывает около 2 миллионов, и за несколько следующих лет планируется увеличить его до 17 миллионов.

Исследователи создали компьютерную программу-червь, быстро распространявшуюся среди элементов Smart Grid, большая часть которых использует беспроводные каналы связи. Подобным образом злоумышленники могут внедрить в систему собственный код и отключить устройства, поддерживающие функцию удаленного отключения, которой пользуются поставщики электроэнергии для сетевого управления абонентскими устройствами.

Последствия взлома системы энергораспределения можно предсказать уже сейчас, используя в качестве примера произошедший в 2003 году сбой, который привел к каскадному отключению электроэнергии на востоке США и Канады. Эта авария затронула 55 миллионов человек.

Опубликовав результаты своей работы, специалисты IOActive рекомендовали производителям оборудования для систем Smart Grid проводить более тщательную проверку своей продукции, прежде чем вводить ее в эксплуатацию. Подробные сведения о проведенном эксперименте, скорее всего, в свободном доступе никогда не появятся, поскольку устройства, не выдержавшие испытания, в настоящий момент находятся в эксплуатации, и обнародование обнаруженных уязвимостей представляет серьезную опасность.

Известно, впрочем, что недостатки защиты связаны с использованием в интеллектуальных счетчиках чипа MSP430 производства Texas Instruments. Кроме того, дополнительную лазейку для злоумышленников представляют собой беспроводные протоколы связи, а также индивидуально разработанные операционные системы и встроенное программное обеспечение.

Энергетическим компаниям крупные атаки будут стоить немалых сумм, затраченных на покрытие убытков и последующее переоборудование, тогда как злоумышленники могут планировать свои акции, заплатив за образцы устройств всего несколько сотен долларов.