Analiza krytycznych systemów w SMART CITY
prof. AGH Jerzy Mikulik,
Akademia Górniczo-Hutnicza
Przy omawianiu koncepcji działania miasta typu smart city szczególną uwagę należy zwrócić na jego krytyczne systemy składowe.
Integracja systemów zarządzania miastem przyszłości stwarza nowe zagrożenia,
co może przełożyć się na bezpieczeństwo całego miasta.
Problematyka bezpieczeństwa była jednym z podstawowych zagadnień, jakimi zajmował się człowiek. Od umiejętności szacowania ryzyka i oceny bezpieczeństwa zależało jego życie. Wraz z rozwojem społeczności pojawiały się nowe zagrożenia, które należało uwzględniać. Zaczęto stosować metody naukowe, by ocenić, czy dane rozwiązanie jest bezpieczne, czy też nie. Współcześnie działające systemy są bardzo złożone, połączone ze sobą, tworzą skomplikowane sieci powiązań i pracują w stanach około chaotycznych. Świat jest pełen zagrożeń zarówno ze względu na ograniczenia stosowanej techniki, jak i na fakt, iż ludzie nie zawsze działają dla wspólnego dobra. Dlatego współczesne systemy bezpieczeństwa już na etapie projektowania powinny uwzględniać wszystkie potencjalne zagrożenia.
W związku z tym można zaobserwować rozwój różnych metod ich analizy. Nie zawsze jednak możliwe jest dokładne liczbowe określenie zagrożeń czy ich efektów. Dlatego coraz częściej sięga się po metody heurystyczne, które nie są próbą wtłoczenia wszystkiego w sztywne ramy, a raczej tworzą zbiór wskazań dla użytkownika, na co powinien zwrócić szczególną uwagę. Jest to dla inżynierów stosunkowo nowe podejście. Pojawiło się, gdy stopień złożoności urządzeń doszedł do takiego punktu, że dokonanie oceny problemów wyłącznie w sposób obliczeniowy było trudne lub wręcz niemożliwe. Choć wraz z rozwojem komputerów i ich sieci możliwości przeprowadzania dużej liczby skomplikowanych obliczeń rosną, to metody przybliżone i heurystyczne dają wystarczająco dobre efekty. Czasami nie można zastosować innych metod niż heurystyczne, gdyż zagrożenia trudno zweryfikować i nie da się ich dokładnie ocenić, w innych przypadkach zaś potencjalne skutki są tak poważne, iż metody przybliżone nie wchodzą w grę [3].
Dzisiaj inżynierowie posługują się pojęciem systemu w szerokim zakresie. Systemami są dla nich nie tylko urządzenia techniczne składające się z podzespołów, ale również fragmenty środowiska, społeczności ludzkie oraz wszystkie układy składające się z tych kombinacji.
Smart city jest nową koncepcją w procesie rozwoju infrastruktury miast. Idea powstania miasta zawsze wiązała się z bezpieczeństwem. Pierwsze osady budowano, by zapewnić bezpieczeństwo większej grupie ludzi za pomocą mniejszych środków. Rozwój techniki przez długi czas był w dużej mierze napędzany potrzebą zabezpieczenia potrzeb ludzi w miastach. Rozwijano budownictwo, by otaczać miasto coraz lepszymi umocnieniami, chronić je przed pożarami i podnosić komfort życia. Choć ze względu na zmiany we współczesnym świecie mury odeszły do przeszłości, to nadal bezpieczeństwo jest najwyższym priorytetem.
Trzeba jednocześnie pamiętać, iż same systemy tworzące smart city są potencjalnym źródłem zagrożeń, a miasto inteligentne jest dla potencjalnych napastników celem samym w sobie, stąd też musi być szczególnie zabezpieczone. Dlatego też jego eksploatacja powinna być powiązana z ciągłą analizą zagrożeń i stanu bezpieczeństwa.
Inteligentne miasto w swojej idei zakłada istnienie skomplikowanych struktur powiązań pomiędzy jego systemami. Podstawowym założeniem jest unikanie dublowania infrastruktury, dostępność wszystkich usług z każdego terminala, aby niepotrzebnie nie zużywać zasobów. Wymaga to łączenia niezależnych dotychczas systemów, w wyniku czego powstają złożone struktury wymagające nowych metod analizy.
Działanie miasta typu smart city
Kategoria smart city zakłada, iż wszystkie systemy miejskie będą zintegrowane i będą wymieniać między sobą dane oraz korzystać ze wspólnej infrastruktury [1], co spowoduje powstanie skomplikowanej sieci powiązań.
Pierwszym i zapewne najważniejszym krytycznym systemem miejskim mogą być sieci energetyczne typu smart grid, w których wszystkie elementy składowe sieci – producenci, infrastruktura przesyłowa i odbiorcy – przesyłają sobie nawzajem, w czasie rzeczywistym, dane na temat aktualnych parametrów pracy, a także prognozowanego zapotrzebowania. Pozwoli to w lepszym stopniu dostosowywać pracę systemu do aktualnego obciążenia, zwiększając niezawodność podzespołów i umożliwiając lepsze gospodarowanie energią elektryczną.
Prowadzi to do integracji na dwóch płaszczyznach. Po pierwsze istnieje integracja systemów na płaszczyźnie „galwanicznego” zasilania (tak jak w tradycyjnym systemie) oraz dochodzi druga płaszczyzna integracji cyfrowej. Pierwsze połączenie w sposób oczywisty przenosi tradycyjne zagrożenia, np. przeciążenie jednego fragmentu sieci energetycznej może spowodować awarie w sąsiednich sieciach, doprowadzając do lawinowej reakcji odłączeń. To przykład zagrożenia związanego z techniką, gdzie skomplikowana struktura powiązań umożliwia rozprzestrzenienie się awarii na sąsiednie systemy.
Druga, cyfrowa integracja w inteligentnej sieci energetycznej ma to zagrożenie zmniejszyć. Dzięki monitorowaniu w czasie rzeczywistym można przewidywać awarie na podstawie parametrów pracy systemu i im przeciwdziałać. Jednak powoduje to inny rodzaj zagrożeń, tak zwane celowe działania człowieka. Cyfrowe sieci przesyłu danych mogą stać się celem działań czy to przestępców, czy organizacji terrorystycznych, czy agencji obcych państw. Przestępcy mogą chcieć wniknąć poprzez te systemy do baz danych producentów energii, by fałszować dane lub pobierać poufne informacje. Organizacje terrorystyczne mogą próbować doprowadzić do zniszczeń w systemie poprzez sfingowane kody sterujące, np. doprowadzając do fałszywych przeciążeń sieci. Siły obcych państw mogą postrzegać taki system jako pierwszy cel ataku, aby poprzez odłączenia energii elektrycznej wprowadzić chaos w strukturze dowodzenia w kluczowych momentach.
Zagrożenia są różnorodne i system musi mieć stosowne zabezpieczenia, aby im sprostać, szczególnie że w tym przypadku nie za bardzo można przeciwdziałać atakowi poprzez czasowe odłączenie zaatakowanych elementów [2, 4].
Kolejnym przykładem krytycznego systemu zarządzania jest system sterujący ruchem w mieście. Powstaje w wyniku połączenia niezależnych podsystemów sygnalizacji świetlnej na skrzyżowaniach w jedną sieć, powiększoną o systemy informacyjne dla kierowców oraz czujniki mierzące natężenie ruchu na poszczególnych trasach. Taki system pozwala na optymalizację przepływu strumienia pojazdów, dostarczenie kierowcom informacji o trasach alternatywnych, a także – po sprzęgnięciu z systemami komunikacji zbiorowej oraz służbami porządkowymi – na ustalanie priorytetów dla tych uczestników. Pod względem efektywności jest to rozwiązanie bardziej skuteczne niż tradycyjna synchronizacja „zielonej fali” czy ustawianie innych czasów dla komunikacji zbiorowej i reszty pojazdów, ponieważ reaguje w czasie rzeczywistym na zmiany w natężeniu ruchu i sytuacje nadzwyczajne.
Pojawiają się jednak zagrożenia – ryzyko, iż awaria pojedynczego składnika podsystemu przeniesie się na cały system Powoduje to potrzebę zachowania większych wymagań co do niezawodności. Po części jest to ułatwione, ponieważ system monitoruje również stan swoich podzespołów. Jednak podobnie jak w przypadku inteligentnych sieci elektroenergetycznych, również ten system może się stać celem przestępców czy terrorystów. Mimo wszystko, w przeciwieństwie do poprzedniego przypadku, tutaj w razie ataku pozostaje opcja, by każdy z lokalnych podsystemów przeszedł na „sterowanie lokalne”. Spowoduje to wprawdzie utratę części użyteczności, ale zmniejszy ryzyko wyeliminowania systemu jako całości [4].
Następnym przykładem skomplikowanego systemu smart city jest system wspierający pracę służb porządkowych: policji, straży pożarnej i pogotowia ratunkowego. Polega to na połączeniu systemów tych służb w całość poprzez wymianę danych również z systemem kierującym ruchem w mieście, tak by można było w niezawodny sposób zarządzać użyciem tych służb oraz skrócić czas potrzebny na interwencje. System ten, ze względu na specyfikę służb, składa się z komponentów o wysokim wskaźniku bezpieczeństwa. Problemem jest to, iż aby działać wydajnie, powinien komunikować się z innymi systemami miejskimi, a one mają niższy poziom bezpieczeństwa. Należy pamiętać, że na styku systemów o różnym poziomie bezpieczeństwa muszą pojawić się dodatkowe zabezpieczenia uniemożliwiające nieuprawnione wtargnięcie do systemu lub sfingowanie awarii. Wymaga zastanowienia, czy taki system ze względów bezpieczeństwa nie powinien być odstępstwem od zasady wspólnej infrastruktury. Oddzielne łącza danych zwiększyłyby bezpieczeństwo systemu, a w sytuacjach kryzysowych działałyby jako rezerwa na wypadek niezdatności głównych linii, przesyłając informacje krytyczne do innych systemów miasta.
Systemy monitoringu miejskiego to systemy pozornie najpopularniejsze. Jednak oprócz spełniania podstawowej funkcji, jaką jest poprawa bezpieczeństwa, mogą wspierać również inne działania związane z monitorowaniem ruchu, naliczaniem opłat za wjazd do płatnych stref czy też nawet funkcje informacyjne lub turystyczne. Wiąże się to z integracją tego systemu z miejską siecią danych. Należy pamiętać, iż spora część strumienia danych generowanych przez ten system to dane wrażliwe, dlatego też należy je odpowiednio zabezpieczyć. Trzeba uważać, aby forma danych przesyłanych do innych systemów była adekwatna do ich potrzeb, szczególnie gdy chodzi o inne systemy związane z bezpieczeństwem, np. system kierowania ruchem czy płatnościami.
Idea smart city wymaga wysokiego poziomu integracji systemów należących zarówno do miasta, jak i prywatnych podmiotów. W tym celu zaleca się przyjęcie uniwersalnego modelu przesyłania danych opartego na kodzie open source. To spore utrudnienie w zapewnieniu bezpieczeństwa przesyłu danych. Wszystkie dane będą płynąć po wspólnych magistralach, posługując się tym samym kodem, a bezpieczeństwo tak naprawdę będzie się opierać wyłącznie na szyfrowaniu danych, gdyż dostęp do sieci będzie mógł mieć każdy. Dużym problemem staną się rozproszone ataki dostępu do usługi. Ochrona przed zalewem informacji stanowi i będzie stanowić duże wyzwanie nie tylko dla administratorów firm, ale również dostawców Internetu.
Ostatnim przykładem są zagrożenia ze strony środowiska. Są one takie jak klasycznych systemów i zwykle ochronę przed nimi regulują odpowiednie normy i przepisy. Trzeba jednak podkreślić, że nowoczesne systemy są pod niektórymi względami wrażliwsze na warunki i zagrożenia środowiskowe, co wynika z kilku przyczyn. Pierwszą jest kwestia złożoności systemów. Współczesne systemy często są bardziej skomplikowane, głównie dlatego że mają zapewniać dodatkowe funkcji, np. monitorowania stanu podzespołów. Podstawowe elementy to zwykle „elektronika”, która jest dość wrażliwa na trudne warunki pracy i wymaga dobrego zabezpieczenia. Następny problem wynika stąd, że podsystemy coraz częściej współpracują ze sobą na takim poziomie, iż prawidłowe ich działanie nie jest możliwe, gdy łączność między nimi zostanie zakłócona. Dzisiejsza „elektronika” jest też bardziej wrażliwa na zakłócenia napięcia zasilającego czy impulsów elektromagnetycznych (uderzenie pioruna).
Wnioski
Smart city stawia szczególne wymagania, gdy chodzi o jego bezpieczeństwo. Wspólne łącza, upublicznienie formatu danych, wspólna infrastruktura podsystemów i systemów, powszechna dostępność do informacji – te wymagania komplikują rozwiązania dotyczące bezpieczeństwa. Jednocześnie, jak dowodzi praktyka, poziom działań niebezpiecznych przeciwko miastom i ich systemom rośnie. Skala złożoności nowoczesnych systemów powoduje problemy techniczne, które w układach silnych powiązań mogą się rozprzestrzeniać na sąsiednie obszary działania. Dlatego coraz ważniejsze jest, by wszystkie działania, na etapie zarówno planowania, jak i eksploatacji wspierać ciągłą analizą ryzyka.
Aby zapewnić bezpieczeństwo miastom, trzeba być przygotowanym na wszystkie zagrożenia i mieć środki, by się im przeciwstawić. Skala złożoności problemu rośnie. Niedawno nowością było łączenie systemów sterowania w jednolitą zintegrowaną strukturę w skali budynku. Systemy automatyzacji BMS rozwijają się nieprzerwanie. Teraz łączy się je z istniejącymi systemami w skali miasta. To nowość, dotychczas nie udało się tego zrobić w sposób pełny, ale ta dziedzina stale się rozwija. Można przypuszczać, że wkrótce nastąpią kolejne skoki cywilizacyjne na skalę regionu, państwa czy nawet o zasięgu globalnym. Za każdym razem jednak następuje wykładniczy wzrost skomplikowania struktury i działania systemów.
dr hab. inż. prof. AGH Jerzy Mikulik, Katedra Inżynierii Zarządzania,
Wydział Zarządzania, AGH Akademia Górniczo-Hutnicza w Krakowie
Artykuł powstał w ramach pracy statutowej nr 11/11.200.322 na podstawie tematu wielozadaniowego: „Analiza możliwości poprawy efektywności działania inteligentnego budynku”, etapu pracy za rok 2017.
Bibliografia [1] BSI Standards Publication PAS 181: Smart city framework – Guide to establishing strategies for smart cities and communities, 2014. [2] Mikulik J., Inteligentne budynki – Nowe możliwości działania, Wyd. LIBRON, Kraków, 2014. [3] Grotowski M., Analiza systemów Smart City pod kątem zagrożeń bezpieczeństwa, wyszukiwanie punktów krytycznych za pomocą metody DEMATEL, AGH w Krakowie, 2016, [4] Mikulik J.,Inteligentne budynki – Informacja i bezpieczeństwo, 2016, Wyd. LIBRON, Kraków.