為了響應打造淨零碳排放的目標，全球能源產業正積極推動電網的數位轉型。如欲達成此目標，所有資料都必須進行數位化並且連網。然而，只要有資料，就會有遭到竊取的風險。今天，大多數國家的變電站都會將能源和資訊/資料進行分流，而電力輸送和分配仍是變電站最主要的任務。不過我們可以預見，在不久的將來，能源流和資料流都將透過變電站傳輸。屆時，變電站自動化系統（SAS）將是促進能源配送的幕後功臣，而保護 SAS 免於遭受網路威脅至關重要。

保護數位電網等於確保國家安全

在各種系統無所不連的今天，電網也開始與無數數位網路相連。而變電站自動化則是 OT/IT 融合的最佳範例，因為監控與資料擷取（SCADA）系統和其他應用軟體的結合，可將容易出錯的重複性工作自動化，以減輕不間斷的人為輸入所帶來的負擔。這些好處固然吸引人，但如果系統完整性因遭受網路攻擊而被破壞，那麼電網數位化將帶來新的風險。

2022 年 4 月，在俄羅斯從多條戰線入侵烏克蘭的兩個月後，烏克蘭政府透露，其最大電力公司成功阻擋了一起嚴重的網路攻擊，化解了 2 百萬人無電可用的危機。網路安全研究人員指出，駭客企圖在烏克蘭的高壓變電站中植入 Industroyer2 惡意程式，並且部署包括 CaddyWiper 在內的多種破壞性惡意程式。類似 CaddyWiper 等各種不同惡意資料破壞軟體，被駭客散布在烏克蘭各地，目的是入侵電腦系統並刪除其中的資料。烏克蘭的教訓再次提醒各國政府、監管機構和電力公司應立即採取行動，以因應不斷升高的網路威脅。無論是在戰爭亦或和平時期，保護關鍵電力基礎設施，永遠是國家的首要任務。

變電站自動化網路安全防護準則

基於上述原因，北美電力可靠度公司（NERC），甚至歐盟（EU）等政府組織，都要求針對電網公用事業制定更多的網路安全法規和準則。舉例而言，在 2022 年 12 月，NERC 發布了新的「安全整合策略」，而歐盟則發布了網路和資訊安全指令 2.0（NIS 2.0）。

業界仍持續制定新的法規，但從網路安全的角度來看，這些法規側重於克服以下三個確保電網自動化系統安全性的挑戰：

1. 關鍵資產的可視性

變電站自動化系統包含各種可配置和可控的設備，例如保護繼電器、電錶、HMI、控制器和網路設備。現在業界並沒有一套統合的簡易平台，可管理不同供應商提供的關鍵資產，因此變電站資產的可視性極低。在此情況下，安全漏洞很難被發現，讓駭客、網路犯罪分子或網路恐怖分子有機可乘。這也就是為什麼定期更新韌體或安裝安全修補程式，被視為是例行維護的重要環節。如有可能，請選擇具有產品資安事件應變小組（PSIRT）的供應商，他們可協助您識別潛在的安全漏洞，並提供最新的安全修補程式。

2. 存取控制

即便您可透過實體存取控制系統維持穩定的運作，但如果輕忽邏輯存取控制政策或管理實務的重要性，也會使得系統面臨風險。第三方供應商的安全標準，可能與系統操作人員的標準不一致，而不熟悉 IT 的 OT 技術的人員，則可能因為疏忽而進行了錯誤的設定，或是錯誤地將存取權授予非法使用者。因此，您必須與內部和第三方的維運團隊合作，以確認相關系統設備和軟體的維護準則與安全設定保持一致。

3. 主動式安全防護

防火牆可在定義的安全範圍內保護關鍵資產，但是現在有愈來愈多的外部網路攻擊是透過遠端存取發動的，因為這是現代數位化配電系統常見的弱點。為此，工程師有必要採取主動式安全防護措施，包括持續監控通訊模式，並且嚴密偵測潛在的網路威脅，以便在充斥著各種威脅的環境中保護其電源系統。您可考慮採用新一代防火牆（NGFW），其中包括先進的入侵防禦系統（IPS）和入侵偵測系統（IDS），以便偵測可疑和異常的通訊。

結語

沒有任何網路威脅解決方案能完美無瑕地保護您的變電站自動化系統。最可行的方法是，了解可能面臨的主要挑戰並以最佳實作維運電網，以便盡可能降低風險，進而提高整個電網的韌性。

如欲深入了解 Moxa 如何協助保護您的變電站自動化系統，請下載白皮書。