美國能源部發展運用區塊鏈技術強化電廠資訊安全
摘要
美國能源部正進行針對如何運用區塊鏈技術強化電廠資訊安全之可行性研究。隸屬於該部的國家能源科技研究室(National Energy Technology Laboratory, NETL)宣布與新創的網路科技公司Taekion合作區塊鏈技術,應用於強化電網資訊安全的計畫將進入第二階段。[1]
本計畫預算達100萬美元,執行單位Taekion公司規劃於該計畫第二階段中進一步測試運用區塊鏈技術中的「分散式賬本(distributed ledger)」概念,以確保電廠內重要資訊去中心化(decentralized)。過往駭客攻擊電廠的常用手法之一係將供電系統關閉後,仍令電廠放出「維持正常運作」之訊號,藉此延誤修繕,進而擴大斷電範圍與影響層面。Taekion希望透過區塊鏈技術,能防止駭客竄改電廠的訊號,強化網路資安攻擊的風險因應能力。[2]
一項針對包括美、英、德、澳、墨、日等六國關鍵設施資安現況的調查結果顯示,針對關鍵設施的資安攻擊在過去兩年內益趨頻繁,其中包括公用事業、能源業、醫療業、以及運輸產業等。在過去兩年內,近90%的設施均遭遇資安攻擊,並遭駭客成功得逞一次以上。[3]
英國薩里大學教授Alan Woodward表示,雖然此項調查結果十分令人擔憂,顯示這些國家的關鍵設施並無足夠且有能力處理此類攻擊的工作人員和應變措施。[3]
評析
區塊鏈技術簡介:
區塊鏈係一種原本僅運用於電子加密貨幣的新興技術,透過分散式集體運作,建立起一個包含了所有帳戶交易紀錄訊息,並包含加密雜湊(Cryptographic hash function)、時間戳記等使其內容難以竄改、去中心化、儲存高度透明資訊的分散式帳簿(distributed ledger)。其運作機制原理請見圖一。[4]
圖一、區塊鏈運作機制原理示意圖[4]
.png)
區塊鏈運用於能源領域的可能方式:
區塊鏈技術係基於「去中心化」、「自我管理」的概念所實現,並不透過單一、集中的中央平台或數據資料庫進行運算,與近年全球趨勢所盛行的能源互連網:能源消費者同時扮演生產者角色、能源來源分散、不同個體間可進行能源交易等特徵恰好相呼應。區塊鏈技術目前應用於能源領域之可能方式包括:
去中心化電力交易平台:如與社區型再生能源電網(包括:太陽能板、電網、儲能設備等)結合,讓住戶彼此間可進行小規模電力交易,提高太陽光能利用率。[5]
分散式能源系統:區塊鏈本質上即為分散式帳本,循此原理,可與電動車充電站等能源供應設施連結,俾利進行例如與電動車相關之交易與設施運用,如充電車輛、支付費用、記錄用電量等。[5]
碳交易市場:碳交易行為中的重點之一即為確認、追蹤市場參與者碳排放量,且更需確保這些訊息之正確性以及無法竄改。區塊鏈技術恰可追溯其所記錄每筆碳排交易之來源,並可循碳交易路徑計算碳排放於電網中的流動;區塊鏈所含資料本質上係難以竄改且公開透明,確保了各市場參與者相關資料的可驗證性與正確性,俾利交易者即時查詢各賣家發電或碳排資訊,保證了碳排放權的公平公正。[5]
電費即時結算:
亦有業者運用區塊鏈加密技術進入電力交易市場,讓用戶使用該公司代幣即時結算並透過連結至用戶銀行帳戶以支付電費,藉此降低壞帳風險、進而提供更具競爭力的相對低廉使用者電價。[6]
綠能憑證:
目前尚有業者運用區塊鏈科技進行試點計畫,為再生能源憑證(Renewable Energy Credit, REC)建置電商交易平台,俾利參與者追蹤與交易REC,較現有作法更能節省相關成本,並提升追蹤效率。[7]
資訊安全:
區塊鏈的去中心化特徵,亦可應用於電廠、能源設施等關鍵基礎設施等資訊安全,利用區塊鏈將維運時所需關鍵資訊分散儲存,可大幅降低因單一故障而造成整體設施停擺的風險;或是運用其加密技術,強化智慧電表、線上交易時的系統可靠性。[3]
本研究彙整近年各國將區塊鏈技術運用於能源領域之範例計畫,如表一所示:
表一、各國運用區塊鏈技術於能源領域盤點表[6][7][8]
|
國家 |
方式 |
相關計畫/業者 |
|
美國 |
輔助社區再生微電網運作 |
LO3 Energy Trans Active Grid |
|
電費即時結算 |
Grid+電費即時結算支付系統 |
|
|
綠能憑證交易平台 |
Clearway Energy建置綠能憑證交易平台 |
|
|
強化能源基礎設施資訊安全 |
NETL與Taekion進行以區塊鏈技術強化電廠資訊安全之可行性研究 |
|
|
Guardtime研究計畫,運用區塊鏈的無秘鑰簽名基礎架構(Keyless Signature Infrastructure, KSI)強化智慧電網韌性 |
||
|
荷蘭 |
分散式能源系統:運用於電動車 |
TenneT區塊鏈管理計畫(與荷蘭再生能源公司Vandebron合作),記錄電動車電池可用量、且於供電吃緊時以車上儲存電力調節電網供電。 |
|
輔助風電南送,儲於家用儲能系統,緩解電網壅塞 |
TenneT區塊鏈管理計畫(與德國儲能公司Sooen合作) |
|
|
澳洲 |
輔助社區微電網運作,並即時結算電費 |
Power Ledger公司建置Ecochain交易機制 |
|
分散式能源系統:運用於電動車 |
Everty運用區塊鏈技術協助建置電動車充電基礎建設 |
|
|
英國 |
分散式能源系統 |
Green-Running應用區塊鏈技術開發可預測用電需求/社區產銷者發電量之AI、以建置一P2P能源市場,並協助參與者制定能源決策 |
|
強化能源運用資訊安全 |
Electron公司運用區塊鏈加密技術強化智慧電/燃氣錶登記平台之相關資訊安全 |
|
|
德國 |
分散式能源系統:運用區塊鏈科技租用住家儲能設施,調節再生能源併網 |
Green Energy Wallet的計畫運用區塊鏈科技租用住家儲能設施,調節再生能源併網 |
|
去中心化電力交易平台 |
Conjoule運用對等式聯網(P2P)建立社區內產消合一者(pro-sumer)之間再生能源電力交易平台。 |
由表一可看出,區塊鏈技術運用於強化能源領域資訊安全層面,仍以英、美兩國為主要實施國家:英國主要聚焦於利用區塊鏈加密技術以強化平台資訊安全,而美國則將區塊鏈技術應用重點放在強化能源基礎設施(電廠、智慧電網)之資訊安全以及相關韌性。其中,又以NETL與Taekion合作計畫較為特殊,係藉由區塊鏈的去中心化特徵,將維運關鍵資訊分散儲存,有效預防駭客竄改電廠等能源關鍵措施運轉訊號,強化資安風險應對能力。
全球歷年能源關鍵設施受資安攻擊:
表二彙整自2008年起至今(2019)年全球經確認之能源關鍵設施遭受資安攻擊相關訊息:
表二、全球能源關鍵設施遭受資安攻擊彙整表2008-2019 [9][10][11]
|
年份 |
國家 |
受影響之設施 |
簡述 |
形式 |
攻擊來源 |
|
2008 |
美國 |
哈奇電廠 |
作業系統升級失誤造成反應爐控制系統發生故障,停止運作48小時之久 |
人為疏失 |
第三方 |
|
2010 |
伊朗 |
納坦茲核電設施 |
電腦病毒Stuxnet共費數年入侵,破壞了近900座製造濃縮鈾的離心機 |
蓄意破壞 |
外部/外國策劃(疑似美國或以色列) |
|
2011 |
全球 |
油氣產業 |
使用Night Dragon病毒竊取油氣計畫機密文件 |
產業間諜行為 |
外部 |
|
2011 |
全球 |
能源產業 |
使用Duqu病毒(程式碼類似stuxnet),專為產業間碟活動設計 |
產業間諜行為 |
外部 |
|
2011 |
法國 |
阿海琺能源公司 |
費時兩年駭入,但並無獲取重要公司情資 |
產業間諜行為 |
外部 |
|
2012 |
中東、非洲 |
能源相關企業與機構 |
Flame病毒在中東、非洲廣傳肆虐至少兩年,後遭伊朗石油部以及國家石油公司舉報數據失竊與破壞才廣為人知。 |
產業間諜行為(竊取資料) |
外部 |
|
2012 |
沙烏地阿拉伯 |
沙烏地阿拉伯國家石油公司 |
惡意程式Shamoon造成3萬個硬碟破壞,經更換後對運作系統並無其他影響 |
蓄意破壞 |
外部 |
|
2013 |
美國 |
波曼大道水壩 |
駭客遠端入侵紐約附近的一處小水壩設施 |
偵查行動 |
外部(疑似伊朗) |
|
2014 |
歐洲、美國 |
能源企業 |
美國與歐洲近250家能源業者工作系統受Energetic Bear駭客組織攻擊 |
產業間諜行為/蓄意破壞 |
外部 |
|
2014 |
全球 |
石油公司/加油站 |
匿名者組織宣布石油行動(Operation Petrol)攻擊石油公司以及加油站,中斷服務並且竊取資料。 |
蓄意破壞/竊取資料 |
匿名者組織 |
|
2014 |
南韓 |
水力及核電廠 |
電廠重大數據情資遭竊(包括反應爐藍圖、電路圖、以及1萬名員工情資等)後續政府不得不將三個反應爐關掉 |
勒索 |
外部 |
|
2015 |
烏克蘭 |
電廠 |
共約30處變電所無法連至電網、致使境內8個省份斷電數小時、共有20萬人受影響。事件發生數周內,變電所控制系統均遭毀損僅能以手動操作。 |
蓄意破壞 |
外部/外國策劃(疑似俄羅斯) |
|
2016 |
以色列 |
電網 |
員工誤觸釣魚式郵件,致使系統內數台電腦受感染、電網本身未受損,但費時2天才復原 |
人為疏失 |
內部 |
|
2017 |
英、美 |
電力系統內設備 |
資安業者警告,俄羅斯駭客組織欲針對美、英的電力業者管理系統進行偵查 |
偵查行動 |
外部/外國策劃(疑似俄羅斯) |
|
2018 |
美國、歐洲、東亞、中東 |
電力系統內設備 |
資安業者發布警告,伊朗駭客組織欲針對美國、歐洲、東亞、中東等區域的電力業者管理系統破壞 |
蓄意破壞 |
外部/外國策劃(疑似伊朗) |
|
2019 |
美國 |
電力系統內設備 |
北美電力公司提出警告,指出與俄羅斯相關駭客組織針對電力設備進行偵查 |
偵查行動 |
外部/外國策劃(疑似俄羅斯) |
由表二可發現,近年此類攻擊可能牽涉國與國之間戰略行為。攻擊方式、層級包括病毒、勒索程式、釣魚信件等花樣多變,不易預測。
另外, 2015年烏克蘭大停電中,由於該系統乃單一式系統而並非如前述區塊鏈的分散式核心概念,故較容易被駭客成功駭入電廠系統,且斷電後再改掉密碼使員工無法另行登入修繕。
能源安全除了需來自資安專業領域專家協助提升關鍵基礎建設的資安防護等級外,更需國家層級之政策框架,勾劃出未來針對能源安全領域的資安升級措施,以強化其相關韌性。
美國能源部資安策略2018-2020簡介:
以美國為例,為預防境內能源關鍵措施因網路資安攻擊而受到重大衝擊、以及確保能源基建資安層面之韌性,美國能源部於2018年釋出「資訊安全策略2018-2020 (Cybersecurity Strategy 2018-2020)」,作為主要政策框架之一。其中共規劃四大計畫願景,以及分屬其下之各項任務目標,彙整如表三:
表三、美國能源部資訊安全策略2018-2020[12]
|
計畫願景(Goals) |
任務目標(Objectives) |
|
提供高品質資訊科技與網路資安解決方案 |
安全且可靠的資訊使用管道 |
|
持續提升資訊安全相關部署 |
辨識:提升業界管理資安風險之量能 |
|
保護:發展、實施企業控制俾利降低風險、提升韌性;透過勞動力發展與訓練強化企業資安意識 |
|
|
偵測:開發加速通報資安威脅之工具與流程 |
|
|
因應:對系統異常與可疑事件之快速分析與因應措施 |
|
|
復原:為控制暨消除資安威脅,發展與實施事件分類、並按分類執行因應措施、啟動復原流程 |
|
|
為強化用戶導向,推動資訊業者(owner)轉型為資訊代理者(broker) |
用戶導向(Customer focus)的資訊安全 |
|
善用納稅人稅金資源 |
風險本位(Risk-Based)方法 |
由表三可看出目前美國能源部已規劃一套完整政策框架,其中,以區塊鏈技術來預防駭客竄改電廠等能源關鍵措施運轉訊號,強化面對網路資安攻擊的風險因應能力,可歸屬於上述政策框架之計畫願景「持續提升資訊安全相關部署」任務目標的「因應:對系統異常與可疑事件之快速分析與因應措施」。
目前我國區塊鏈技術應用情形:
我國目前區塊鏈發展情況是否具備前述美國資安策略中所規劃的能源領域資安防護?本文盤點我國區塊鏈應用情狀,今(2019)年區塊鏈開始融入實體產業,本研究參考2019區塊鏈產業地圖,將目前我國區塊鏈應用領域、企業/組織等彙整如表四:
表四、我國區塊鏈應用情形[13]
|
應用領域 |
參與企業/組織 |
|
交易平台 |
Max、數寶、KTrade等13個交易平台 |
|
新創 |
區塊鏈:Bitmark、Dexon等7個企業/組織 軟體:ioeX、FST Network等7個企業/組織 硬體錢包:庫幣科技、CHELPIS 技術服務:DTCO、圖靈鍊、Pelith等7個企業/組織 其他應用:奧丁丁、BSOS等15個企業/組織 晶片設計:鯨鏈先進 |
|
社群 |
Bithub、EOS Taiwan等10個社群/組織 |
|
加速器 |
APPWork等5個企業/組織 |
|
對沖基金 |
Kyper Capital、恆新資本等6個企業/組織 |
|
公部門&智庫 |
資策會、工研院 |
|
既有產業 |
北醫附醫、華碩、中國信託、遊戲橘子、富邦產險……等13個企業/組織 |
按表四,可見台灣目前區塊鏈技術實際運用於產業,仍以加密貨幣交易等相關技術、服務為主,其他包括金融、保險、醫學、遊戲、飲食、旅宿管理等領域。應用於能源領域則有綠資產交易平台(由台灣碳交易公司擔任主要推手),尚未有資安層面的進一步運用。[14]
我國台電可參考美國應用區塊鏈技術針對智慧電網、電廠等能源設施的資安風險進行控管,利用目前產學界研發量能擴張趨勢,與業界合作推行相關試點計畫。對能源安全的改善,主要建議如下:
區塊鏈技術可能為能源三難提供潛在解方:透過優化能源供給過程降低成本,改善能源可負擔性風險;透過強化能源關鍵設施資訊安全及協助再生能源併網、輔助分散式發電系統等途徑,提升能源供應穩定安全、亦可緩解區域供電瓶頸;也透過協助再生能源擴大併網,降低碳排、為環境永續作出貢獻。
為提升電力系統效率、供電品質及可靠度,我國正在推行智慧電網總體規劃方案,台電可參考前述各國針對智慧電網應用區塊鏈相關技術,以進行電費即時結算、輔助社區分散式微電網運作之外,亦可參考美國對與智慧電網、電廠等能源設施的資安風險進行控管;並透過與產學界研發單位合作推行相關試點計畫,以強化能源關鍵設施資安風險之應對能力。
參考資料
[1]Khatri, Y. (2019). US Energy Department Eyes Blockchain to Prevent Power Plant Cyberattacks - CoinDesk.,https://www.coindesk.com/us-energy-department-eyes-blockchain-to-prevent-power-plant-cyberattacks
[2]NETL (2019). Managed Project to Help Protect Modern Electric Grid from Cyberattacks.,https://www.netl.doe.gov/node/8684
[3]Simmons, D. (2019). Hack attacks 'damage' key infrastructure, BBC News.,https://www.bbc.com/news/technology-47812479
[4]Murray, M. (2019). Blockchain explained, Reuters.,http://graphics.reuters.com/TECHNOLOGY-BLOCKCHAIN/010070P11GN/index.html
[5]沈煒翔(2017). 全球應用區塊鏈技術建構分散式能源交易之實例與效益探討─案例顯示能源區塊鏈有助於促進電力交易的自由化與安全性
[6]王立崗(2019). 淺談區塊鏈,電力工會通訊,https://tplumag.wordpress.com/2018/01/02/%E6%B7%BA%E8%AB%87%E5%8D%80%E5%A1%8A%E9%8F%88/
[7]Malik, N. (2019). Clearway Energy sets up blockchain test to trade renewable energy credits.,https://www.renewableenergyworld.com/articles/2019/07/clearway-energy-sets-up-blockchain-test-to-trade-renewable-energy-credits.html
[8]Andoni, M. et al. Blockchain technology in the energy sector: A systematic review of challenges and opportunities. Renewable and Sustainable Energy Reviews, 2019, 100: 143-174.
[9]Desaraud, G. (2019). Cyberattack and Energy Infrastructure: Anticipating Risk.,https://www.ifri.org/sites/default/files/atoms/files/desarnaud_cyber_attacks_energy_infrastructures_2017_2.pdf
[10]Center for Strategic and International Studies (2019). Significant Cyber Incidents Since 2006.,https://csis-prod.s3.amazonaws.com/s3fs-public/190813_Significant_Cyber_Events_List.pdf
[11]World Energy Council (2019). New cyber resilience report : energy sector prime target for cyber-attacks.,https://www.worldenergy.org/news-and-media/press-releases/new-cyber-report-energy-sector-prime-target-for-cyber-attacks/
[12]Department of Energy (2019). U.S. Department of Energy Cybersecurity Strategy 2018 – 2020.,https://www.energy.gov/sites/prod/files/2018/07/f53/EXEC-2018-003700%20DOE%20Cybersecurity%20Strategy%202018-2020-Final-FINAL-c2.pdf
[13]動區動趨(2019). 2019台灣區塊鏈產業指南.,https://tw-blockchain-industry.blocktempo.com/#contributors
[14]郭文正 (2019). 台灣碳交易 區塊鏈助陣 打造綠能交易平台 - 產業特刊.中時電子報. https://www.chinatimes.com/newspapers/20190124000536-260210?chdtv