Киберугрозы систем управления современной...
DESCRIPTION
В последнее время особое внимание уделяется кибербезопасности энергетической системы страны. Готовится законодательная и нормативная базы, изучается зарубежный опыт. В то же время сохраняется разрыв в понимании существующих проблем и задач между конечным заказчиком, инженерами интеграторов и специалистами по информационной безопасности. Это затрудняет поиск, создание и внедрение эффективных практических решений по усилению защиты промышленных систем. В докладе проанализированы реальные инциденты кибербезопасности и угрозы для систем управления современной электрической подстанции. Особенное внимание уделено уязвимостям стандарта IEC61850, и показаны практические способы их устранения. Описан, созданный в г. Чебоксары, полномасштабный полигон испытаний, имитирующий современную подстанцию высокого напряжения. Представлены результаты работы полигона в части проверки совместной устойчивой работы систем управления, релейной защиты и средств защиты от киберугроз. Предложена концепция развития кибербезопасности энергообъектов с учетом специфики работы систем управления и релейной защиты подстанции высокого напряжения/TRANSCRIPT
КИБЕРУГРОЗЫ СИСТЕМ УПРАВЛЕНИЯ СОВРЕМЕННОЙ ЭЛЕКТРИЧЕСКОЙ ПОДСТАНЦИИ:
ОПЫТ РАБОТЫ НА ПОЛИГОНЕ ИСПЫТАНИЙ
1
к.т.н., Никандров М.В.Май 2014 г.
ПОНЯТИЕ ЭЛЕКТРОЭНЕРГЕТИКИ
производство, ПЕРЕДАЧА и распределение
• возможности передачи её на большие расстояния
• относительной лёгкости распределения между потребителями
• возможности преобразования в другие виды энергии (механическую, тепловую, химическую, световую и др.)
• не возможно складировать!!!
самого большого механизма, созданного человеком
2
АВАРИЯ НА ПС 500 КВ
3
Каскадные аварииУрон экономике США от аварий в электроэнергетике около 100 млрд.$ в год
США 14 августа 2003 г. 4
Последствия каскадной аварии
5
Последняя авария – в Индии в 31.06.2012г. Оставили без энергии 10% населения планеты более чем на сутки!!! (самый большой «блекау»т в
истории. Погибли 32 человека.
Отключили электричество!?!
6
• Тотальный переход на IP и Ethernet
• Больше количество интеллектуальных устройств на один объект управления
• Необходимость передачи информации в реальном времени на вышестоящие уровни управления
• Терминалы РЗА и контроллеры управления никак не защищены, в 99% используются пароли по умолчанию
• Отсутствие культуры информационной безопасности на местах
Особенности современных систем управления электроэнергетикой:
Все это создает большую поверхность атаки, с возможностью несанкционированного захвата управления и получения конфиденциальной информации о состоянии объекта.
7
Статистика инцидентов по отраслям
8
Энергетика
Большинство инцидентов приходится на энергетику
Откуда ждать угрозу!
9
Раскрытие информации
10
Социальные сети
11
Вирусы и эксплойты на «флешках»
12
Блокеры и системы управления
13
Человеческий фактор
14Основная угроза все таки хакеры
Проблемы IEC 61850
15
Стандарт позволяет на основе абстрактных моделей легко объединить оборудования и ПО различных производителей
Основные протоколы: MMS и GOOSE
было
было
стал
о
стало
1. Подделываем MMS
Посылка ложного состояния выключателя в SCADA систему
• Подслушиваем
• Анализируем
• Генерируем
• Оправляем в SСADA
16
Подготавливаем сообщения
17
Посылаем в SCADA
http://youtu.be/MbxRhQP42N018
2. Подделываем MMS
Посылка ложной команды в терминал защиты
• Подслушиваем
• Анализируем
• Генерируем
• Оправляем в терминал
19
Посылаем в терминал
http://youtu.be/oh5IAN3euK420
РЕЗУЛЬТАТ ОТ НЕ САНКЦИОНИРОВАННОЙ КОМАНДЫ
21
3. GOOSE spoofing - легко!
• Подслушиваем • Анализируем
• Редактируем
• Публикуем
22
Посылка ложной команды в терминал защиты от другого терминала
Редактируем
23
Отправляем
http://youtu.be/fdnPkqIUWfA24
Авария в результате отказа блокировки
25
Подмена GOOSE сообщения 100% срабатывает со всеми терминалами, аттестованными в ОАО «Россети»
Стандарт IEC61850 предполагает использование электронной цифровой подписи, формируемой на основе RSA-алгоритма
Как защитится от этого?
26
На сегодняшний день на рынке нет ИЭУ РЗА с заявленной производителем реализацией механизма цифровой подписи
Антивирусы часто ложно срабатывают
27
Что предлагаем I этап: • перестать игнорировать проблему;
• ввести обязательный «ЛикБез» по ИБ среди персонала;
• начать применения стандартных методов уменьшение поверхности атаки;
II этап: • внедрение специализированных промышленные антивирусов;
• специализированные устройства контроля Ethernet трафика, устройства обнаружения вторжения и блокировки сетевых атак;
• средства контроля целостности участка технологической сети, позволяющей обнаруживать появление в ней новых сетевых устройств;
• средства контроля целостности прошивок защищаемых терминалов и контроллеров;
• постепенно переходить к шифрованному трафику.28
Немного о нас
В г. Чебоксары развернут испытательный полигон испытаний вторичного оборудования на котором планируется проводить тестирование и испытания
средств обеспечения кибербезопасности29
Выводы • Электроэнергетическая система – критически важный объект инфраструктуры, который
нуждается в специализированной защите с точки зрения ИБ;
• Текущее состояние ИБ плачевно и требует активных незамедлительных действий;
• Необходима корректировка и внедрение нормативно-технической документации в области ИБ электроэнергетических объектов;
• Необходим аудит существующих объектов и приведение их в соответствии с современными требованиями ИБ;
• Новые объекты необходимо проектировать с учетом требований ИБ с обязательной установкой средств защиты;
• Система защиты не должна быть опасной и деструктивной по отношению к РЗА и АСУ. Необходимо формирование механизмов тестирования и сертификации решений по информационной безопасности.
30
Спасибо за внимание!
Никандров Максим[email protected]
Выражаем особую благодарность ЗАО «Лаборатория Касперского» за помощь в подготовке презентации
31