Defesa de Dissertação de Mestrado de Bruno Macena dos Santos, em 22/02/2024, às 15:00 horas, por videoconferência

Defesa de Dissertação de Mestrado de Bruno Macena dos Santos, em 22/02/2024, às 15:00 horas, por videoconferência

 

Link para defesa: https://meet.google.com/qit-ruwg-dis

Vulnerabilidades de Segurança Cibernética em Dispositivos de Medição Avançada de Energia Elétrica

Resumo:

 

No presente trabalho avaliamos a segurança de Dispositivos de Medição Avançada de energia Elétrica, elementos críticos Infraestruturas de Medição Avançada (AMI). Esses dispositivos, essenciais nas redes de distribuição de energia, registram e transmitem dados de consumo energético. Analisamos dispositivos disponíveis comercialmente, abordando desde aspectos arquiteturais até a segurança de software e suas configurações. As vulnerabilidades identificadas foram classificadas de acordo com a taxonomia do Common Weakness Enumeration (CWE) e pontuadas com base na metodologia Common Vulnerability Scoring System (CVSS). As análises revelaram riscos elevados, especialmente em gestão de acessos e identidades.

Este estudo reconhece e se apoia nas significativas contribuições de pesquisas anteriores sobre a segurança em Medidores Inteligentes e Infraestruturas de Medição Avançada (AMI). Além disso, realizamos uma exploração detalhada do arcabouço legal e normativo relacionado à segurança cibernética em infraestruturas críticas, incluindo o setor elétrico. Destacamos leis e padrões significativos em âmbitos internacional e nacional, como a FISMA nos Estados Unidos, a Diretiva NIS na União Europeia, e normativas relevantes na Ásia, bem como legislações e regulamentações brasileiras. Observamos que, apesar da existência de um arcabouço normativo, existe descompasso entre as regulamentações existentes e a realidade operacional nas infraestruturas, especialmente ao considerar as vulnerabilidades identificadas nos dispositivos de Medição Avançada em ampla utilização em território nacional.

Como resultado das análises de segurança, constatamos que todos os medidores apresentavam ocorrências de vulnerabilidades pontuadas como de alta severidade. Destacam-se as vulnerabilidades relacionadas ao escopo de gestão de acesso e identidade (Identity and Access Management – IAM), bem como fragilidades nos aplicativos e suas interfaces de operação e administração. Notamos que as categorias de vulnerabilidades identificadas refletem claramente as principais preocupações enumeradas no projeto OWASP Internet of Things Project (2018).

 

Abstract:

 

In this work, we assess the safety of Advanced Metering Devices for electric energy, critical elements in Advanced Metering Infrastructures (AMI). These devices, essential in energy distribution networks, record and transmit energy consumption data. We analyzed commercially available devices, addressing aspects from architectural to software security and their configurations. The vulnerabilities identified were classified according to the taxonomy of the Common Weakness Enumeration (CWE) and measured based on the methodology of the Common Vulnerability Scoring System (CVSS). The analyses revealed high risks, especially in access and identity management.

This study acknowledges and builds upon the significant contributions of previous research on the security of Smart Meters and Advanced Metering Infrastructures (AMI). Additionally, we conducted a detailed exploration of the legal and regulatory framework related to cybersecurity in critical infrastructures, including the electrical sector. We highlight significant laws and standards at both international and national levels, such as FISMA in the United States, the NIS Directive in the European Union, and relevant regulations in Asia, as well as Brazilian legislation and regulations. We observe that, despite the existence of a regulatory framework, there is a gap between the existing regulations and the operational reality in the infrastructures, especially when considering the vulnerabilities identified in widely used Advanced Metering Devices in Brazilian national territory.

As a result of the security analyses, we found that all meters had occurrences of vulnerabilities measured as high severity. Notably, vulnerabilities related to the scope of Identity and Access Management (IAM), as well as weaknesses in the applications and their operation and administration interfaces, stand out. We noted that the categories of vulnerabilities identified clearly reflect the main concerns enumerated in the OWASP Internet of Things Project (OWASP, 2018).

Banca  examinadora:

 

Prof. Raphael Carlos Santos Machado, UFF – Presidente

Profa. Flávia Coimbra Delicato, UFF

Prof. Alan Oliveira de Sá, Faculdade de Ciências da Universidade de Lisboa

Prof. Paulo Sergio Pagliusi, Royal Holloway, University of London