Van centrale verwarming tot energiecentrales - de onderliggende controlesystemen garanderen de juiste of zelfs optimale werking van elk fysiek systeem dat op onvoorspelbare omstandigheden moet reageren. Door hier op fysica geïnspireerde AI aan toe te voegen, hoopt Riccardo Ferrari dat ze daarnaast ook een volgende-generatie verdedigingslinie kunnen vormen tegen kwaadaardige, geavanceerde cyberaanvallen.
Eén van de ontwerpvereisten voor controlesystemen is dat ze dynamische systemen beschermen tegen onopzettelijke fouten, zoals systeemfouten en (te snelle) slijtage. Maar beheer op afstand via een internetverbinding is steeds meer de regel in plaats van de uitzondering, met cyber-fysieke systemen als gevolg en cybersecurity een toenemende zorg. Dit geldt met name voor grote cyber-fysieke systemen die tot de vitale infrastructuur behoren – zoals dijken en energiecentrales – omdat deze bij sabotage de samenleving kunnen ontwrichten.
“Nu ook nationale overheden zich tot cyberaanvallen wenden is het niet langer afdoende om ongewenste toegang tot controlesystemen te voorkomen, of om deze te monitoren op onverwachte communicatiepatronen tussen apparaten,” zegt Riccardo Ferrari, universitair hoofddocent Fault Tolerant Control bij het Delft Center for Systems and Control. “Denk aan het Stuxnet virus dat Iraanse ultracentrifuges normale data liet doorgeven terwijl ze juist te snel of te langzaam draaiden. Ik denk dat op fysica geïnspireerde AI hier het verschil kan maken omdat de natuurwetten nooit liegen.”
Fysica en watermerken
De op fysica-gebaseerde cybersecurityverdediging waar Ferrari onderzoek naar doet, bestaat uit twee lagen. De eerste laag zijn controle-algoritmes op basis van een fysieke representatie van het systeem. “Dit model controleert of sensordata in het systeem vanuit fysisch perspectief kan kloppen, of deze logisch is,” zegt Ferrari. “Het zal ons ook precies vertellen wát er niet klopt. Zo kan de ene sensor aangeven dat het water uit een reservoir wordt geloosd, terwijl een andere sensor aangeeft dat het waterniveau stijgt.”
Zeer geavanceerde cyberaanvallen kunnen echter meerdere sensoren tegelijk compromitteren en zo de impressie geven dat het systeem als geheel nog steeds naar behoren werkt. De tweede laag bestaat daarom uit het toevoegen van een watermerk, een kleine aanpassing, aan signalen die verzonden worden. “Het watermerk wordt nét voor gebruik uit het signaal verwijderd, en beïnvloedt zo de werking van het systeem niet,” zegt Ferrari. “Bovendien evolueert het watermerk in de tijd op een manier die alleen bekend is bij de systeembeheerders. Zo kunnen we geavanceerde cyberaanvallen ontmaskeren die bijvoorbeeld gebruik maken van schijnbaar geloofwaardige sensorgegevens, of van echte meetdata die een tijd geleden zijn opgenomen.”
Real-time aansturing
De vereiste van real-time aansturen maakt het tegen cyberaanvallen beschermen van cyber-fysieke systemen wezenlijk anders dan bij “gewone” computers. Een vertraging van slechts enkele milliseconden kan immers dramatische gevolgen hebben bij een vliegtuiglanding of het aansturen van een kerncentrale. “Defensieve maatregelen mogen daarom niet ten koste gaan van de responstijd van het controlesysteem. Het idee van watermerken bij controlesystemen is eerder geopperd, maar wij hebben nu een methode daarvoor ontwikkeld die de systeemprestaties niet beïnvloedt.” Een hieraan gerelateerd onderzoeksthema van Ferrari is het ontwikkelen van end-to-end encryptie met een geringe rekenlast waardoor beveiligde bediening met een hoge updatefrequentie mogelijk is.
Zijn onderzoek is breed toepasbaar, en met name relevant voor grote cyber-fysieke systemen die tot de kritieke infrastructuur behoren. “Ik specialiseer me in windparken omdat Nederland van plan is er meerdere in de Noordzee te bouwen. Ze zullen op afstand worden bediend via een kabel, die mogelijk gecompromitteerd kan worden. Cyberterroristen kunnen vervolgens proberen het elektriciteitsnet te overbelasten of om de nuttige levensduur van de windturbines te verkorten door de operationele parameters aan te passen.”
AI voor het model
Een op fysica gebaseerd model als basis voor het detecteren van zowel onopzettelijke fouten als cyberaanvallen vereist natuurlijk wel dat zo’n model beschikbaar is. En alhoewel er nauwkeurige wiskundige modellen bestaan voor een enkele windturbine, is dat voor een geheel windpark nog een stap te ver. Dat komt omdat turbines daar in elkaars wake (“wind-schaduw”) staan, wat tot moeilijk te berekenen luchtstromen leidt.
“Het is duur om een nauwkeurig natuurkundig model op basis van louter fundamentele principes te ontwikkelen,” zegt Ferrari. “Maar we hebben ontdekt dat we bepaalde types neurale netwerken kunnen trainen om de fysieke achteruitgang van bijvoorbeeld de batterijen in elektrische auto’s te representeren. We onderzoeken nu hoe we dit kunnen uitbreiden naar het modelleren van cyber-fysieke systemen als basis voor het opsporen van onregelmatigheden.”
Het belang van onderwijs
Ferrari is recent een project gestart waarin Computer Science masterstudenten een compleet windpark moeten modelleren met behulp van AI en grote hoeveelheden data. “Het is heel belangrijk dat we hen vragen zich ook in natuurkunde en werktuigbouwkunde te verdiepen omdat we cyber-fysieke systemen alleen kunnen beveiligen door samenwerking tussen verschillende disciplines. Er is sowieso al een groot tekort aan ingenieurs die controlesystemen voor kritieke toepassingen kunnen ontwerpen.” Hij moedigt TU Delft ingenieurs dan ook van harte aan zijn keuzevak, Fault Diagnosis and Fault Tolerant Control, te volgen, met daarin een stuk cybersecurity.
Een stap voorblijven
Het draait voor Ferrari niet alleen om het ontwikkelen van nieuwe theorieën en algoritmes voor controlesystemen, hij wil ze ook heel graag toegepast zien worden. “Via Europese onderzoeksprojecten, waar ook exploitanten van windparken aan deelnemen, komen wij aan waardevolle data voor onze vele computersimulaties,” zegt hij. “We hebben zelfs enkele kleinschalige windturbines in ons laboratorium. Maar het is nog beter om onze ontwikkelingen in een echt windpark te kunnen testen.”
De succesvolle praktische toepassing van zijn op fysica gebaseerde techniek voor het detecteren van afwijkingen zou, enigszins verrassend, betekenen dat er helemaal niks bijzonders gebeurt met de vitale infrastructuur. Deze preventieparadox is waarom controlesystemen ook wel de onzichtbare technologie worden genoemd. Maar hoewel de natuurwetten nooit liegen, en dus een sterke(re) verdediging bieden, zal er ooit een hacker opstaan die dit toch weet te omzeilen. “We hebben nog meer slimme mensen en nieuwe ideeën nodig. We kunnen het ons niet veroorloven om achter de feiten aan te lopen.”