Het opladen van je telefoon 's nachts voordat je gaat slapen, het laten draaien van je laptop tijdens colleges en het monitoren van de hartslag van een patiënt in een ziekenhuis. Al deze processen worden als vanzelfsprekend beschouwd in welvarende landen, maar zijn afhankelijk van goed functionerende elektriciteitsnetwerken. Wanneer de stroomvoorziening in een land wordt onderbroken door een cyberaanval op het netwerk, stopt de samenleving in dat land met functioneren zoals gewoonlijk. Omdat toegang tot stroom zo kritiek is, moet het sterk worden beschermd. Om deze reden besloot Quincy Abel, masterstudent Complex Systems Engineering and Management (CoSEM), te kijken naar de staat van beveiliging van elektriciteitsnetwerken tegen cyberaanvallen van kwaadwillende actoren (lees: hackers), en hoe ze beter beschermd kunnen worden met goed doordachte cybersecurity-investeringen.

Hoe kwam dit onderzoek naar de beveiliging van elektriciteitsnetwerken bij jou terecht?

Ik hoorde voor het eerst over de Control Room of The Future tijdens de online DelftX-cursus "Digitalization of Intelligent and Integrated Energy Systems". In deze cursus werd onder andere gesproken over de cybersecurity van het elektriciteitsnetwerk. Hier hoorde ik voor het eerst hoe het moderne elektriciteitsnetwerk werd beschermd tegen kwaadwillende actoren en hoe deze bescherming in veel gevallen tekortschoot vanwege verouderde infrastructuur en verouderde protocollen. Deze specifieke lezing werd gegeven door assistent-professor Alex Stefanov. Ik voltooide de cursus en leerde veel, maar richtte me niet meer op dit onderwerp. Dit veranderde toen ik de cursus Cyber Risk Management van professor van Gelder volgde en we werden getrakteerd op een gastcollege gepresenteerd door niemand minder dan Alex Stefanov. Dit gastcollege ging over het onderwerp cyberbeveiliging van elektriciteitsnetwerken. Aan het einde van het gastcollege werd vermeld dat ze op zoek waren naar multidisciplinaire studenten om een masterproef over dit onderwerp te schrijven, en vanaf dat moment was ik overtuigd. Dus ik nam de volgende dag contact op met de professoren, en de rest is geschiedenis.

Wat was je onderzoeksvraag en hoe heb je die beantwoord?

Mijn onderzoeksvraag was: "In hoeverre kunnen cybersecuritymaatregelen het risico op cyberaanvallen op CPPS-onderstations verminderen?" en die werd beantwoord door twee literatuurreviews, het modelleren van de digitale onderstationsindeling en het uitvoeren en analyseren van bepaalde scenario's voor cyberaanvalsverdediging.

Kun je meer vertellen over het onderzoek dat je hebt uitgevoerd?

Om mijn hoofdvraag te beantwoorden, moest ik de (digitale) infrastructuur van een modern onderstation modelleren, bepalen hoe hackers dit onderstation konden binnendringen en hoe lang het zou duren voordat ze hun einddoel zouden bereiken. Gelukkig werkte ik nauw samen met Ioannis Semertzis, een promovendus bij de Control Room of The Future. Hij had eerder een vergelijkbaar systeem gemodelleerd en was buitengewoon behulpzaam tijdens mijn scriptieperiode. In de Control Room of The Future, een geavanceerde simulatiecontrolekamer in het EWI-gebouw, besteedden veel onderzoekers hun tijd en moeite aan het simuleren van onder andere het Europese elektriciteitsnetwerk en zijn gedrag onder verschillende omstandigheden. De kennis die in die kamer wordt opgedaan, is zeer nuttig voor de daadwerkelijke bescherming van het elektriciteitsnetwerk in het dagelijks leven. Bijvoorbeeld: Een van de simulaties die ze hebben getoond, is het scenario van de Rolling Blackout. In dit scenario kun je zien (op alle vele schermen in de kamer) hoe een heel gedeelte van het elektriciteitsnetwerk kan worden uitgeschakeld als slechts een handvol specifieke onderstations gelijktijdig worden aangevallen. Dit was erg indrukwekkend om te zien, aangezien de kamer is gebouwd om heel erg op de controlekamer van een van de grote Transmission System Operators in Europa te lijken.

Wat was je belangrijkste focus in dit project en hoe heb je dit onderzocht?

De belangrijkste focus van mijn project was om te zien hoe (digitale) onderstations beter beschermd konden worden tegen kwaadwillende actoren, rekening houdend met de budgettaire beperkingen van organisaties voor de exploitatie van distributiesystemen. Ik heb onderzocht welke soorten bescherming (bijvoorbeeld firewall, tweefactorauthenticatie, enz.) de beste bescherming zouden bieden tegen cyberaanvallen, en waar deze tegenmaatregelen geplaatst moesten worden. De plaatsing van de tegenmaatregelen was een groot deel van het onderzoek, omdat er veel manieren/methoden (lees: exploits) zijn die door een kwaadwillende acteur kunnen worden gebruikt om zijn einddoel te bereiken. Laten we een eenvoudig beveiligingsvoorbeeld nemen: stel je voor dat je een huis wilt beschermen tegen inbraak. Je zou een dure deur kunnen kopen met titanium versterking en oogscan-technologie om de inbrekers buiten te houden. Maar deze tegenmaatregel zou nutteloos zijn om inbrekers af te schrikken als er een raam openstaat vlak naast de deur. In dat geval heb je geld verspild aan een opvallende tegenmaatregel, maar is het effect ervan verminderd door het alternatief dat aan de inbreker wordt geboden. Dit is in feite wat ik aan het modelleren en onderzoeken was tijdens mijn masterproef.

Herkende je onderwerpen uit je mastercursus tijdens het veldwerkproject?

Absoluut, ik herkende veel onderwerpen uit mijn Master CoSEM tijdens het scriptieproject. Ik zal me richten op de twee meest opvallende onderwerpen die ik heb herkend. Het eerste onderwerp was System-of-Systems. Dit komt er in feite op neer dat systemen (in mijn geval onderstations) niet geïsoleerd werken, maar vaak deel uitmaken van een veel groter systeem (in mijn geval het bredere elektriciteitsnetwerk). Bij het omgaan met System-of-Systems was het belangrijk om regelmatig in en uit te zoomen om het juiste abstractieniveau te behouden om de uitdagingen aan te pakken. Dit System-of-Systems-denken is een van de overkoepelende thema's die CoSEM behandelt. Het tweede onderwerp was netwerken. Dit is vrij voor de hand liggend; het elektriciteitsnetwerk is in feite een groot netwerk van koperen kabels waar de stroom doorheen vloeit, en de (digitale) onderstations maken deel uit van het communicatienetwerk dat het gedrag van het elektriciteitsnetwerk regelt. En binnen de onderstations heb je een netwerk van routes die een kwaadwillende acteur kan nemen om het onderstation uit te schakelen of te verstoren. Het laatste netwerk, het netwerk binnen het onderstation, is waar ik me op heb gericht. Ik gebruikte algoritmen die ik had geleerd tijdens de cursus Design in Networked Systems om een model te bouwen dat kon berekenen hoe snel een heel onderstation kon worden gecompromitteerd. En het ging sneller dan verwacht.

Waar keek je het meest naar uit voorafgaand aan het project?

Ik keek ernaar uit om samen te werken met getalenteerde mensen van The Control Room of The Future en om alle kennis van mijn studie toe te passen op deze cybersecurity-uitdaging.

Wat is het belangrijkste dat je hebt geleerd?

Ik heb geleerd dat je nooit bang moet zijn om uit je comfortzone te stappen en een uitdaging aan te gaan die bijna onmogelijk lijkt om te overwinnen. Want, met de juiste begeleiding, volharding en geduld kun je veel meer bereiken dan je dacht dat je in staat was. Mijn grootste uitdaging was eigenlijk het coderen van mijn model, omdat ik Python niet echt veel had gebruikt voordat ik aan mijn scriptie begon. Maar toen mijn model eindelijk resultaten opleverde waar ik mee kon werken na weken van coderen, was ik super blij.

Hoe zal het project verdergaan?

Mijn scriptie was slechts een klein onderdeel van het bredere onderzoek dat wordt uitgevoerd bij de Control Room of The Future. De bevindingen werden gebruikt om mijn hoofdvraag te beantwoorden. Sommige bevindingen zullen mogelijk worden gepubliceerd in een artikel dat ik schrijf voor het International Journal of Security and Networks.

Wat zijn je eigen plannen?

Op dit moment ben ik werkzaam als Business Engineer voor Oxand in Nederland. Ik werk aan een groot infrastructureel project op de "Zuidas" en ook aan een kleiner risicobeheerproject voor de Gemeente Amsterdam.