Az energiafaló adatközpontok már korábban is szembesültek – de az energiakrízis idején aztán különösen szembesülnek – energiaellátásuk egyre nagyobb nehézségeivel. Tekintettel a szigorodó környezetvédelmi előírásokra új, innovatív megoldást kell keresniük. Ilyen lehet a formálódó „zöld adatközpont” (Green Data Center: GDC) koncepció.
Az előző részben a Green Data Center (GDC) koncepció alapjait, a 2. részben a GDC-k áramellátásának rendszertechnikáját, alrendszereit és azok jellemzőit mutattuk be. A 3. részben a mikrogridet, a GDC-k villamosenergia-ellátásának legalkalmasabb rendszertechnikai keretét járjuk körbe.
3.4.2. Villamos védelem, automatika
A villamos védelmi és automatika rendszerek feladata a villamos hálózatban előforduló üzemi és üzemzavari események emberi beavatkozás nélküli kezelése, a villamos berendezések és hálózat fizikai épségének, valamint optimális üzemének biztosítása.
Kialakításukban nincsen DC-specifikum, egyezik más, magas biztonsági igényű létesítményekével.
Egy villamos védelmi berendezés vagy rendszer működésének megzavarásával nem lehet közvetlen üzemzavart kiváltani. „Csak” egy más módon kiváltott zavar hatásainak súlyosbításában lehet szerepe (elmaradó védelmi működés miatt keletkező fizikai kár – esetleg életveszély – formájában). Automatikák esetében veszélyesebb a helyzet, mert annak zavara előbb-utóbb kihathat pl. a transzformátor állapotára.
3.4.3. Irányítástechnika
Az irányítástechnikában annyi a DC-specifikum, hogy a következőkben ismertetendő smartgrid, mikrogrid kialakítással összhangban több benne az intelligens végponti szenzor ill. beavatkozó eszköz (smart meter ill. actuator), azaz ezek is növelik a támadási felületet.
A fenyegetés súlyát az Ukrajna megszállása után megszaporodó SCADA-támadások mennyisége és minősége is mutatja. Bár az INDUSTROYER2 és PIPEDREAM támadások elleni védekezés a korábbinál sikeresebbnek tűnik, ám ez nem kisebbíti a támadó szándékát, azaz a kritikus infrastruktúrák üzemének megzavarását. De már a 2016. decemberi, Pivnichna alállomás elleni támadás során is az INDUSTROYER képes volt az RTU működését úgy módosítani, hogy a megszakítókat lehetetlen legyen bekapcsolni, ezzel súlyosbítva az előidézett áramszünet hatását.
3.5. Rendszertechnika 2.: mikrogrid
Társadalmunk jelenlegi fejlettségi szintjén alapvető feltétel a villamosenergia- és infokommunikációs rendszerek zavartalan működése. Mindkettő hálózatos technológia, amelyeknek kritikus elemei egyrészt a csomópontok (egyfelől pl. erőművek, alállomások, ill. pl. DC-k, internet exchangek), másfelől az ezeket összekötő távvezetékek, ill. optikai gerinchálózatok.
Ugyanakkor a villamos hálózati csomópontok számához képest lényegesen kevesebb DC üzemel, azaz így esetleges üzemzavaruk hatása is lényegesen nagyobb. Emiatt villamosenergia-ellátásukkal szemben is lényegesen magasabb a megbízhatósági követelmény. Ez csak akkor teljesíthető, ha a DC villamosenergia-rendszerének rendszertechnikai kialakítása megfelelő, továbbá azt alkalmas felügyeleti rendszer működteti, értelemszerűen a legmagasabb szintű kibervédelem mellett. A GDC 4.1. pont szerinti főbb rendszerkomponenseinek alapvető jellemzői alapján az ún. a mikrogrid az alkalmas rendszertechnikai és felügyeleti megoldás.
A mikrogrid definíciója az IEEE (Institute of Electrical and Electronics Engineers) szerint:
„Egymással összekapcsolt fogyasztók és elosztott energiaforrások csoportja, amely világosan meghatározott elektromos határok között egyetlen, a hálózathoz képest szabályozható egységként működik.”
Ugyanakkor a fogyasztók és elosztott energiaforrások mellett egyre inkább a villamosenergia-tárolókat is mikrogrid komponensnek kell tekinteni.
A mikrogrid képes a környező villamos hálózattal összekapcsolva és arról leválasztva, „szigetüzemben” is működni.
A hálózatra kapcsolt mikrogrid egy vagy több ponton is csatlakozhat a közcélú hálózathoz. A mikrogridek kialakítsa változatos lehet. Egymással is összekapcsolódhatnak, sőt kisebb mikrogridek nagyobbak részeként is működhetnek.
Egy mikrogrid akkor optimális kialakítású, ha az abban működő termelő kapacitások nagyjából képesek fedezni a mikrogrid részét képező fogyasztók igényeit, továbbá a folyamatos üzem fenntartásához szükséges tárolt villamosenergia-mennyiséget is. Így a mikrogrid a közcélú hálózatból csak a termeléssel és tárolással éppen le nem fedhető villamosenergia-mennyiséget vásárolja meg, avagy üzemzavari esetben vesz igénybe kisegítést. Végül az esetleges energiafelesleget felajánlja átvételre.
Felhasználási céltól, helytől függően többféle mikrogrid kialakítás is létezik. Magas rendelkezésre állási és fokozott biztonsági igénye miatt a DC esetében célszerűen a katonai bázisokra optimalizált mikrogrid tekintendő irányadónak. A katonai és DC mikrogrideknek nagy megbízhatóságú és biztonságú, robusztus, 24/7/365 rendelkezésre állású rendszereknek kell lenniük. Figyelemre méltó pl. az amerikai haditengerészet célja, hogy 2025 végére a kulcsbázisai min. 2 hétig autonóm módon, külső hálózati betáplálás nélkül is képesek legyenek működni. A hadsereg 2035-ig kívánja kiépíteni a mikrogridet valamennyi bázisában.
A mikrogridek fizikája jelentősen eltér a közcélú hálózatétól. A jóval kisebb zárlati áramok miatt jóval nehezebb a hálózati elemek megfelelő villamos védelme. A hálózat szinte zéró inerciája miatt egy esetleges forráshiány a frekvencia azonnali és meredek esését váltja ki. Emiatt alapesetben egy mikrogrid a közcélú hálózathoz képest jóval kevésbé reziliens. Emiatt az átlagosnál is fontosabb a felügyeleti, védelmi stb. rendszerek zavartalan működése, sérülékenységük minimalizálása.
A mikrogridek vezérlése a közcélú hálózattal egyezően három szintbe – primer, szekunder és tercier – van szervezve. Ezek feladata is azonos a közcélú hálózatéval, azaz teljesítményhiányos helyzetben a frekvencia csökkenés megakadályozása, majd a frekvencia, végül a szabályozási tartalék helyreállítása.
A mikrogrid valamennyi eleme adatkapcsolatban van a mikrogrid energia-menedzsment rendszerével, amely optimalizációs algoritmusával biztosítja valamennyi rendszerelem műszakilag és gazdaságilag optimális üzemét.
A legkorszerűbb energia-menedzsment rendszerek már gépi tanulást is alkalmaznak.
Az energia-menedzsment rendszerek kulcspozíciójából adódóan ezek esetleges sikeres támadása súlyosan megzavarhatja a mikrogrid által felügyelt villamos hálózat – adott esetben az adatközpont – működését.
Mivel a mikrogridek akkor is képesek működni, amikor a közcélú villamos hálózat nem működik, ezért erősítik a hálózat ellenálló képességét és segítenek a hálózati zavarok enyhítésében.
A következő években a mikrogridek gyorsuló ütemben való terjedése várható. Összteljesítményük az alábbiak szerint fog alakulni:
A mikrogridek terjedése lökést fog adni az energiatároló kapacitások kiépítésének is. Kifejezetten a mikrogridekek tárolási kapacitása az ábra szerinti – szintén gyorsuló – ütemben fog alakulni:
Fontos rögzíteni, hogy bárha a mikrogrid a GDC folyamatos villamosenergia-ellátásáért felelős egyik alapvető rendszer, de legalább ennyire fontos az alábbi ábra szerinti számos további alrendszer zavartalan működése:
Ezen alrendszerek mindegyikének üzemét fejlett monitoring és felügyeleti rendszerek ellenőrzik és szabályozzák.
4. Mikrogrid kibervédelme
Az önellátó villamosenergia-rendszer, az azt rendszerbe foglaló szegmentált mikrogrid, valamint a diverzifikált architektúra robusztus, primer és szekunder redundanciákkal rendelkező, reziliens, jól védhető rendszer kiépítését teszi lehetővé. Az ilyen rendszerek mikrogridjének kibervédelme is a diverzifikációra épül. Megelőzendő az esetleges támadások által okozható villamosenergia-ellátási zavarokat a mikrogrid az egyes komponensekre telepített, hibatűrő alap- és tartalékvédelmekkel rendelkezik.
A 3.2. pont szerinti katonai szintű védelem önmagában amiatt is szükséges, mert egyes adatközpontok akár kormányzati, katonai szervezetek adatait is kezelhetik. A DC-knek alapesetben extrém napkitörés elektromágneses hatásai – de különösen kritikus adatok kezelése esetében EMP bomba robbantásának hatása ellen is – védetteknek kell lenniük.
A mikrogridet érő támadások annak rendelkezésre állását és/vagy integritását érinthetik. A támadás hatása a kisebb zavaroktól a berendezések fizikai károsodásáig, szélső esetben – pl. a hidrogén termelő, -tároló berendezések szándékos nyomásemelése miatti robbanás következtében – emberélet veszélyeztetéséig terjedhet.
Egy DC mikrogridje számos tekintetben hasonló kihívásokat vet fel, mint pl. egy kritikus infrastruktúra felügyeleti rendszere. Pl. a csatlakoztatott eszközök heterogenitásának kezelését, az épületfelügyeleti és -automatizálási rendszerek sajátosságait, a tudottan kockázatos, ám sok esetben elkerülhetetlen távoli hozzáférések által jelentett fenyegetés kezelését.
A mikrogrideket érő támadások hatásainak kezelése kapcsán az egyik lehetőség a felderítés alapú védelem (azaz a rendellenességek felderítése és lehatárolása), a másik pedig a védelem alapú megközelítés (azaz a lehetséges fenyegetések modellezése, biztonsági elemzése, majd az ezek alapján védelmi intézkedésekkel azok megelőzése). Az igazán hatásos védelem ezek kombinációjával érhető el.
Egy DC működését a támadók az alábbi utakon keresztül zavarhatják meg:
A lehetséges fenyegetések és azok lehetséges következményei:
A mikrogrid esetében ugyanazok a támadási formák érvényesek, mint smart grid esetében:
Egy DC épület infrastruktúrája a villamosenergia-rendszer a technológiai rendszereihez hasonló kiberbiztonsági gondokat vet fel: OT rendszerként élettartamuk (jóval) hosszabb, mint az „átlagos” IT rendszereké. Miközben aktív használatuk évei alatt új és új sérülékenységeik derülhetnek ki, aközben esetükben egyformán gondot jelent a frissítés, javítás (patch-elés).
Ez különösen azon eszközök és rendszerek esetében súlyos kockázat, amelyek közcélú hálózatból történő hozzáférése üzemviteli okból nem tiltható ki. Márpedig patch-elés nélkül minden egyes ilyen üzemviteli célú elérés egyben potenciális belépési pont a támadók számára. Viszont az épületfelügyeleti rendszerek nagyfokú integráltsága miatt a bármely ponton bejutott támadó eljuthat szenzitív alrendszerekhez is, mindenekelőtt a hűtéshez. Mint korábban bemutattuk, ennek zavartalan üzeme kulcsfontosságú a DC zavartalan üzeme szempontjából.
A külső hozzáférhetőségek alapvető oka konfigurációs hiba (pl. egy a DC személyzetének belső hozzáférésére szolgáló interfész karbantartási célú nyitva hagyása külső beszállító számára).
Mindezek miatt is szigorúan kézben tartandó a hozzáférési jogosultságok kiadása és a hozzáférések ellenőrzése. Mint minden egyébben, itt is indokolt a zero trust elv érvényesítése.
További veszélyt jelentenek a belső kapcsolatok, hozzáférések (pl. a szenzorok, az intelligens kijelzők, az üzemeltető laptopok, mivel ezek maguk is tartalmazhatnak kihasználható sérülékenységet, ezzel bejutási lehetőséget a DC OT rendszerébe).
Olyan új kockázatokra is fel kell készülni, amelyek a smart bulding koncepcióból fakadnak. Kockázatot jelenthetnek pl. a WiFi-keresztül kommunikáló „okos lámpák”, ha elérhetők azok hálózati hitelesítő adatai.
Paradox módon a túlzó (?) védelem gondok forrása is lehet (pl. a Facebook 2021-es üzemzavara során belső hálózati hiba akadályozta a DC hozzáférést, éppen ezzel lassítva az incidens értékelését és kezelését).
A DC-k biztonsági rendszerének kialakítására vonatkozó főbb szabványok:
A DoD, a DOE (és annak Sandia Nemzeti Laboratóriuma) több, mint 10 éve a Smart Power Infrastructure Demonstration for Energy Reliability and Security (SPIDERS) nevű program keretében vizsgálja, fejleszti a nagy villamosenergia-ellátásbiztonsági igényű objektumok – esetükben támaszpontok – energiával való önellátásának lehetőségét, az ahhoz kapcsolódó (kiber)biztonsági kérdések kezelését. A mikrogridek alkalmazásának fontos megerősítése, hogy a villamos-technológiai komponenseket a SPIDERS is mikrogridbe szervezi.
5. Összegzés
A GDC új, formálódó, több területen is jelentős innovációs potenciállal rendelkező terület (pl. a hidrogén technológia, a hűtés területén).
A fejlődésben, változásban lévő technológia innovatív védelmi megoldásokat kíván. Ezek kialakításánál kiemelt figyelmet kell fordítani a működési paraméterek védelmére, mivel a GDC számos olyan nagyértékű komponense, alrendszere azonosítható, amelyekben egyes kritikus működési paraméterük illetéktelen – pl. APT támadó általi – elállítása akár azok fizikai károsodását (szélső esetben megsemmisülését) is okozhatja.
Az összes említett nehézség ill. további fejlesztési szükséglet ellenére a DC-k körében megindult a GDC-koncepció térhódítása.
Távlatilag éppen a GDC-kben kialakuló technológiák képezhetik alapját a közcélú hálózatokban is minden bizonnyal egyre inkább teret hódító mikrogrideknek.
A jövő mindenképpen a mikrogideké.
