Information Security in Smart Electricity Metering

Abstract

Finnish government wants that before the end of the year 2013, at least 80 percentage of electricity metering is made by meters capable of remote reading, so called smart meters. As most of the Finnish electricity utilities have installed the needed amount of meters, other kinds of topics have been left open. When the installing process is almost over, there have been rising questions of the likelihood of someone trying to get advantage of the information the meters hold and who might be able to use that information.

In this research I will check the security issues of smart metering for my client company, which is selling remote reading services for one Finnish electricity utility. I will also take a look at how large devastation it might cause if someone is able to break in to the systems of metering service provider. This research will be used by the company to make their processes and systems more secured and to ensure as secured metering system as possible. Because this research is about information security and there are also topics of holes in the systems, there will be some classified data left out of it. For the same reason I will not talk about the company with its name. The research is not looking only at the meter level. It will take a look at every step the data goes from the meter to the utilities systems.

During the research I found out few problems. Even though the smart meters have become common and there are lots of researches about them, it is really hard to get a research of their security.

I have made interviews with two smart metering experts and also used researches and news that some international press have published in internet as my background data while doing my research.

Etäluettavien sähkömittareiden tietoturva

Suomen valtio haluaa, että kuluvan vuoden loppuun mennessä 80 prosenttia ihmisten sähkömittareista on etäluettavia. Vaikka lähes kaikki Suomessa toimivat sähköyritykset ovat asentaneet vaadittavan määrän mittareita, muunlaisia asioita on jäänyt auki. Asennusprojektin ollessa jo näin pitkällä on noussut kysymyksiä muun muassa siitä, kuinka todennäköistä on mittareiden välittämän tiedon hyväksikäyttö ja kuka siitä voi hyötyä.

Tässä tutkimuksessa selvitän mittareiden tietoturvallisuutta asiakkaanani toimivalle, etälukupalveluita kotimaiselle sähköntuottajalle tarjoavalle yritykselle. Käyn läpi myös sen, kuinka suurta vahinkoa voidaan tuottaa, mikäli mittaripalveluita tuottavan yrityksen järjestelmiin kyetään murtautumaan. Tämän pohjalta kyseinen yritys tulee parantamaan omia järjestelmiään ja käytäntöjään mahdollistaakseen mahdollisimman suojatun järjestelmän. Koska tutkimus tarkastelee aukkoja asiakasyrityksen tietoturvassa, kaikkia yksityiskohtia ei voida tuoda julkisesti esille. En myöskään tuo julki asiakkaanani toimivan yrityksen nimeä. Tutkimus ei koske pelkästään mittareilla olevaa tietoa vaan kaikkia pisteitä mittarilta sähköntuottajan järjestelmiin.

Tutkimuksen aikana kohtasin joitain vaikeuksia. Vaikka etäluettavat mittarit ovat yleistyneet maailmanlaajuisesti ja niitä koskevaa tutkimustietoa löytyy kohtalaisen paljon, niistä tehtyjen tietoturvatutkimusten saaminen on erittäin vaikeaa.

Tutkimusta tehdessä on käytetty hyväksi kahden kahden asiantuntijan haastatteluja, tutkimuksia mittareiden tietoturvasta sekä kansainvälisen median internetissä julkaisemia uutisia mittareista ja niiden tietoturvasta.