В последнее время особое внимание уделяется кибербезопасности энергетической системы страны. Готовится законодательная и нормативная базы, изучается зарубежный опыт. В то же время сохраняется разрыв в понимании существующих проблем и задач между конечным заказчиком, инженерами интеграторов и специалистами по информационной безопасности. Это затрудняет поиск, создание и внедрение эффективных практических решений по усилению защиты промышленных систем. В докладе проанализированы реальные инциденты кибербезопасности и угрозы для систем управления современной электрической подстанции. Особенное внимание уделено уязвимостям стандарта IEC61850, и показаны практические способы их устранения. Описан, созданный в г. Чебоксары, полномасштабный полигон испытаний, имитирующий современную подстанцию высокого напряжения. Представлены результаты работы полигона в части проверки совместной устойчивой работы систем управления, релейной защиты и средств защиты от киберугроз. Предложена концепция развития кибербезопасности энергообъектов с учетом специфики работы систем управления и релейной защиты подстанции высокого напряжения/

1. КИБЕРУГРОЗЫ СИСТЕМ УПРАВЛЕНИЯ СОВРЕМЕННОЙ
ЭЛЕКТРИЧЕСКОЙ ПОДСТАНЦИИ: ОПЫТ РАБОТЫ НА
ПОЛИГОНЕ ИСПЫТАНИЙ
1
к.т.н., Никандров М.В.
Май 2014 г.

2. ПОНЯТИЕ ЭЛЕКТРОЭНЕРГЕТИКИ
производство, ПЕРЕДАЧА и распределение
• возможности передачи её на большие расстояния
• относительной лёгкости распределения между потребителями
• возможности преобразования в другие виды энергии (механическую,
тепловую, химическую, световую и др.)
• не возможно складировать!!!
самого большого механизма, созданного человеком
2

3. АВАРИЯ НА ПС 500 КВ
3

4. Каскадные аварии
Урон экономике США от аварий в электроэнергетике около 100 млрд.$ в год
США 14 августа 2003 г.
4

5. Последствия каскадной аварии
5
Последняя авария – в Индии в 31.06.2012г. Оставили без энергии 10%
населения планеты более чем на сутки!!! (самый большой «блекау»т в
истории. Погибли 32 человека.

6. Отключили электричество!?!
6

7. • Тотальный переход на IP и Ethernet
• Больше количество интеллектуальных устройств на
один объект управления
• Необходимость передачи информации в реальном
времени на вышестоящие уровни управления
• Терминалы РЗА и контроллеры управления никак не
защищены, в 99% используются пароли по
умолчанию
• Отсутствие культуры информационной безопасности
на местах
Особенности современных систем
управления электроэнергетикой:
Все это создает большую поверхность атаки, с возможностью
несанкционированного захвата управления и получения
конфиденциальной информации о состоянии объекта.
7

8. Статистика инцидентов по отраслям
8
Энергетика
Большинство инцидентов приходится на энергетику

9. Откуда ждать угрозу!
9

10. Раскрытие информации
10

11. Социальные сети
11

12. Вирусы и эксплойты на «флешках»
12

13. Блокеры и системы управления
13

14. Человеческий фактор
14
Основная угроза все таки хакеры

15. Проблемы IEC 61850
15
Стандарт позволяет на основе абстрактных
моделей легко объединить оборудования
и ПО различных производителей
Основные протоколы:
MMS и GOOSE

16. 1. Подделываем MMS
Посылка ложного состояния выключателя в SCADA систему
• Подслушиваем
• Анализируем
• Генерируем
• Оправляем в SСADA
16

17. Подготавливаем сообщения
17

18. Посылаем в SCADA
http://youtu.be/MbxRhQP42N018

19. 2. Подделываем MMS
Посылка ложной команды в терминал защиты
• Подслушиваем
• Анализируем
• Генерируем
• Оправляем в терминал
19

20. Посылаем в терминал
http://youtu.be/oh5IAN3euK4
20

21. РЕЗУЛЬТАТ ОТ НЕ САНКЦИОНИРОВАННОЙ КОМАНДЫ
21

22. 3. GOOSE spoofing - легко!
• Подслушиваем
• Анализируем
• Редактируем
• Публикуем
22
Посылка ложной команды в терминал защиты от другого
терминала

23. Редактируем
23

24. Отправляем
http://youtu.be/fdnPkqIUWfA24

25. Авария в результате отказа блокировки
25
Подмена GOOSE сообщения 100% срабатывает со всеми терминалами,
аттестованными в ОАО «Россети»

26. Стандарт IEC61850 предполагает
использование электронной цифровой подписи,
формируемой на основе RSA-алгоритма
Как защитится от этого?
26
На сегодняшний день на рынке нет ИЭУ
РЗА с заявленной производителем реализацией
механизма цифровой подписи

27. Антивирусы часто ложно срабатывают
27

28. Что предлагаем
I этап:
• перестать игнорировать проблему;
• ввести обязательный «ЛикБез» по ИБ среди персонала;
• начать применения стандартных методов уменьшение
поверхности атаки;
II этап:
• внедрение специализированных промышленные антивирусов;
• специализированные устройства контроля Ethernet трафика,
устройства обнаружения вторжения и блокировки сетевых атак;
• средства контроля целостности участка технологической сети,
позволяющей обнаруживать появление в ней новых сетевых
устройств;
• средства контроля целостности прошивок защищаемых
терминалов и контроллеров;
• постепенно переходить к шифрованному трафику.
28

29. Немного о нас
В г. Чебоксары развернут испытательный полигон испытаний вторичного
оборудования на котором планируется проводить тестирование и испытания
средств обеспечения кибербезопасности
29

30. Выводы
• Электроэнергетическая система – критически важный объект инфраструктуры, который
нуждается в специализированной защите с точки зрения ИБ;
• Текущее состояние ИБ плачевно и требует активных незамедлительных действий;
• Необходима корректировка и внедрение нормативно-технической документации в
области ИБ электроэнергетических объектов;
• Необходим аудит существующих объектов и приведение их в соответствии с
современными требованиями ИБ;
• Новые объекты необходимо проектировать с учетом требований ИБ с обязательной
установкой средств защиты;
• Система защиты не должна быть опасной и деструктивной по отношению к РЗА и АСУ.
Необходимо формирование механизмов тестирования и сертификации решений по
информационной безопасности.
30

31. Спасибо за внимание!
Никандров Максим
nixmak@mail.ru
Выражаем особую благодарность ЗАО «Лаборатория Касперского»
за помощь в подготовке презентации
31