Cyber Security Assessment of Distribution System Operators Using the Meta Attack Language: Effect of Sharing Data with Third Party Networks
2024 (English)Independent thesis Advanced level (degree of Master (Two Years)), 20 credits / 30 HE credits
Student thesisAlternative title
Cybersäkerhetsbedömning för distributionsnätsoperatörer med hjälp av Meta Attack Language : Effekten av att dela data med tredje parts nätverk (Swedish)
Abstract [en]
The electrical grid is going through a digital transformation to solve the complexity issues that arise from integrating Distributed Energy Resources (DERs) like renewables and Electrical Vehicles (EVs). At the same time, cyber attacks are evolving in sophistication and becoming more regular. As a direct consequence of this, the Network and Information Security (NIS) directive was set up to ensure grid-responsible entities, such as Distribution System Operators (DSOs), implement suitable countermeasures. By utilising threat modelling methodologies to analyze a system and pinpoint its weaknesses, decisions guaranteeing optimal cyber security can be taken. Therefore, this project aims to evaluate different data-sharing technologies and how they affect the cyber security of DSOs and any involved 3rd Party Networks (3PNs). The Meta Attack Language (MAL) is used as a tool to perform this evaluation. The cyber security evaluation can be conducted using attack simulations, which can be generated by MAL through a Domain Specific Language (DSL). The proposed method uses coreLang, a DSL describing general IT infrastructure, to create a model of a DSO IT network that shares confidential metering data with a 3PN. By alternating the data-sharing technology and simulating cyber attacks on this model, the Time To Compromise (TTC) can be obtained and compared between different configurations. The results illustrate that the use of encryption, present in both OneDrive and the Secure File Transfer Protocol (SFTP), increases the TTC for an attacker to reach the confidential metering data. In these encrypted cases, attackers who perform social engineering on the user are shown to have the lowest TTC. Hence, the choice of data-sharing technology is critical since sharing data over OneDrive or SFTP requires more TTC by attackers than unencrypted email. The results and conclusions can be used by DSOs to decide how to best share their confidential data with 3PNs. It also demonstrates that 3rd Party Application companies (3PACs) who take steps to safeguard their communication infrastructure may be preferable to DSOs over those who do not.
Abstract [sv]
Det elektriska nätet går igenom en digital transformation för att lösa komplexitetsproblemen som uppstår från integrationen av distribuerade energikällor så som förnyelsebara energikällor och elektriska fordon. På samma gång, så blir cyber attacker alltmer sofistiskerade och allt vanligare. Som en direkt konsekvens av detta, så har Nätverk och Information Säkerhet (NIS) direktivet etablerats för att garantera att organisationer som är ansvariga för elnätet, så som distributionssystemoperatörer, implementerar passande motåtgärder. Genom att nyttja hotmodelleringsmetoder för att anlysera ett system och precisera dess svagheter så kan val tas som garanterar optimal cybersäkerhet. Därför, siktar det här projektet på att utvädera olika datadelningsteknologier och hur dessa påverkar cybersäkerheten för distributionssystemoperatörer och de involverade tredjeparts nätverken. Meta Attack Language används som ett verktyg för utföra denna utvärdering. cybersäkerhetsutvärderingen kan genomföras genom attacksimuleringar, vilket kan genereras med MAL genom ett domänspecifikt språk. Den föreslagna metoden använder coreLang, ett domänspecifikt språk som beskriver generell IT infrastruktur, för att skapa en model av ett distribu- tionsnätsoperatörs nätverk som delar konfidentiell data till ett tredjeparts nätverk. Genom att växla mellan datadelningsteknologierna och simulera cyber attacker på denna modell, så kan tiden att kompromettera erhållas och jämföras mellan konfigurationerna. Resultatet illustrerar att användandet av kryptering, närvarande för både SFTP och OneDrive, höjer tiden att kompromettera för en attacker att nå meterdatan. I dessa krypterade fall, attackers som utför sociala manipule- ringstekniker på användaren visar på lägst tid att kompromettera. Därför är valet av datadelningteknologi kritisk eftersom att dela data med OneDrive eller SFTP kräver mer tid att kompromettera av en attacker än okrypterad email. Resultaten och slutsatserna kan användas av distributionsnätsoperatörer för att bestämma hur de på bästa sätt kan dela deras konfidentiella data med tredjeparts nätverk. Det visar även att de tredjepartsapplikationsföretagen som tar steg för att säkra deras kommunikations infrastruktur kan vara att föredra för distributionsnätsoperatörer framför dem som inte.
Place, publisher, year, edition, pages
2024. , p. 86
Series
TRITA-EECS-EX ; 2024:826
Keywords [en]
Threat modelling, Domain-specific languages, cyber security, Critical infrastructure, Cyber-physical systems, Information sharing
Keywords [sv]
Hotmodellering, Domänspecifika språk, Cybersäkerhet, Kritisk infrastruktur, Cyber-fysiska system, Informationsdelning
National Category
Electrical Engineering, Electronic Engineering, Information Engineering
Identifiers
URN: urn:nbn:se:kth:diva-360334OAI: oai:DiVA.org:kth-360334DiVA, id: diva2:1940033
External cooperation
Plexigrid AB
Supervisors
Examiners
2025-02-272025-02-252025-02-27Bibliographically approved