2014 12-02 2 nikandrov-mv_bragutamv

22
КИБЕРУГРОЗЫ СИСТЕМ УПРАВЛЕНИЯ СОВРЕМЕННОЙ ЭЛЕКТРИЧЕСКОЙ ПОДСТАНЦИИ: ОПЫТ СОВМЕСТНОЙ РАБОТЫ С ЛАБОРАТОРИЕЙ КАСПЕРСКОГО 1 Никандров М.В., Брагута М.В. Декабрь 2014 г.

Upload: maxim-nikandrov

Post on 17-Jul-2015

64 views

Category:

Engineering


0 download

TRANSCRIPT

Page 1: 2014 12-02 2 nikandrov-mv_bragutamv

КИБЕРУГРОЗЫ СИСТЕМ УПРАВЛЕНИЯ СОВРЕМЕННОЙ

ЭЛЕКТРИЧЕСКОЙ ПОДСТАНЦИИ: ОПЫТ СОВМЕСТНОЙ

РАБОТЫ С ЛАБОРАТОРИЕЙ КАСПЕРСКОГО

1

Никандров М.В., Брагута М.В.Декабрь 2014 г.

Page 2: 2014 12-02 2 nikandrov-mv_bragutamv

ПОНЯТИЕ ЭЛЕКТРОЭНЕРГЕТИКИ

производство, ПЕРЕДАЧА и распределение

• возможности передачи её на большие расстояния

• относительной лёгкости распределения между потребителями

• возможности преобразования в другие виды энергии (механическую, тепловую, химическую, световую и др.)

• не возможно складировать!!!

самого большого механизма, созданного человеком

2

Page 3: 2014 12-02 2 nikandrov-mv_bragutamv

ЭНЕРГОСИСТЕМА - КРИТИЧЕСКИ ВАЖНАЯ ИНФРАСТРУКТУРА ГОСУДАРСТВА

2005 Г. АВАРИЯ НА ПС 500КВ ЧАГИНО

КАСКАДНАЯ АВАРИЯ В Г.МОСКВА

Ущерб 1,7 млрд. руб.

04 НОЯБРЯ 2014 Г. АВАРИЯ НА OPУ 500КВ РОСТОВСКОЙ АЭС

Без электричества остались в Северной Осетии, Чечне, Ингушетии, а также в других регионах Северного Кавказа.

Ущерб устанавливается

Без электричества остались половина города Курск.

Ущерб устанавливается

01 ДЕКАБРЯ 2014 Г. АВАРИЯ НА ПС В Г. КУРСК

Отказ элементов системы характеризуется высоким ущербом

Page 4: 2014 12-02 2 nikandrov-mv_bragutamv

Каскадные аварииСША 14 августа 2003 г.

4

Вывод: электроэнергетическая система весьма чувствительна к потере оперативного управления!!!

Page 5: 2014 12-02 2 nikandrov-mv_bragutamv

1. Больше количество интеллектуальных устройств на один объект управления и тотальный переход на IP и Ethernet

2. Необходимость передачи информации в реальном времени на вышестоящие уровни управления

3. Терминалы РЗА и контроллеры управления никак не защищены, в 99% используются пароли по умолчанию

4. Отсутствие культуры информационной безопасности на местах

Особенности современных систем управления электроэнергетикой

Все это создает большую поверхность атаки, с возможностью несанкционированного захвата управления и получения конфиденциальной информации о состоянии объекта.

5

Page 6: 2014 12-02 2 nikandrov-mv_bragutamv

Откуда ждать угрозу!

6

internet

Терминал РЗА

Терминал РЗА

Терминал РЗА

Терминал РЗА

объект управления

Маршрутизатор (основной)

АРМ Оператора 1

Коммутаторы

Серверсвязи+данных(Резервный)

ВЛ 220 кВW2E

K2E

QSG3.2

QW2E QS3QS2

QSG 2 QSG3.1

Маршрутизатор (резервный)

АРМ Оператора 2 АРМ инженера АСУ АРМ инженера РЗА

Серверсвязи+данных

(Основной)

Сеть ETHERNET

Сеть ETHERNET

В корпоративнуюсеть

Диспетчерское управление

Page 7: 2014 12-02 2 nikandrov-mv_bragutamv

ВИРУСЫ И ЭКСПЛОЙТЫ НА

ПЕРЕНОСНЫХ НОСИТЕЛЯХ

ИНФОРМАЦИИ

7

БЛОКЕРЫ И

СИСТЕМЫ УПРАВЛЕНИЯ

Случайное заражение

Page 8: 2014 12-02 2 nikandrov-mv_bragutamv

Уязвимость BadUSB !!!

8

ВТОРЖЕНИЕ В КОНТУРУПРАВЛЕНИЯ:

РАЗВЕДКА – ОТКАЗ - …

Page 9: 2014 12-02 2 nikandrov-mv_bragutamv

Современные терминалы снабжены и используют порты USB !

9

С проблемой USB надо бороться как техническими средствами, так и административными

Page 10: 2014 12-02 2 nikandrov-mv_bragutamv

10

Аналоговые сигналы

Стандарт IEC61850 – новый вызов

Электромагнитное управление

Направление развития

Цифровое управление

Информационный обмен на основе

IEC61850

Низкий уровень проработки с позиции информационной безопасности

Page 11: 2014 12-02 2 nikandrov-mv_bragutamv

Раскрытие информациипротокольный уровень

11

Коммутационный аппарат

Тип терминала РЗА

Тип сигнала: управление

Устройство источник сигнала

Устройство назначение сигнала

Page 12: 2014 12-02 2 nikandrov-mv_bragutamv

IEC 61850: Spoofing атаки

• Подслушиваем

• Анализируем

• Редактируем

• Публикуем

12

Легко реализуемо:

1. Посылка ложной GOOSE коммуникации

2. Посылка ложного положения выключателя

3. Посылка ложной команды управления в терминал

4. Изменение уставок терминала при его параметрировании

Page 13: 2014 12-02 2 nikandrov-mv_bragutamv

Передача ложного команды по средством GOOSE

13

Page 14: 2014 12-02 2 nikandrov-mv_bragutamv

http://youtu.be/fdnPkqIUWfA14

Передача ложного команды по средством GOOSE

Page 15: 2014 12-02 2 nikandrov-mv_bragutamv

15

Передача ложного положения выключателя и команды управления

Page 16: 2014 12-02 2 nikandrov-mv_bragutamv

Обманываем SCADA

http://youtu.be/MbxRhQP42N016

Page 17: 2014 12-02 2 nikandrov-mv_bragutamv

Обманываем терминал

http://youtu.be/oh5IAN3euK417

Page 18: 2014 12-02 2 nikandrov-mv_bragutamv

РЕЗУЛЬТАТ ОТ НЕ САНКЦИОНИРОВАННОЙ КОМАНДЫ

18

Page 19: 2014 12-02 2 nikandrov-mv_bragutamv

Использование шифрования практическине возможно из за жестких требований побыстродействию.

Печальные выводы

19

На сегодня информационная инфраструктура

современных подстанций никак не контролируется!

Page 20: 2014 12-02 2 nikandrov-mv_bragutamv

1. Требования по ИБ при аттестации сетевогооборудования

2. Рекомендации к инжинирингу трафикаинформационной инфраструктуры

3. Типовые структуры построенияинформационных сетей

Достигнутые результаты

20

В результате совместной работы разработана концепция построения комплекса кибербезопасности

информационной инфраструктуры современных объектов электросетевого хозяйства

Разработаны:

Page 21: 2014 12-02 2 nikandrov-mv_bragutamv

Honey Pot Energy

В развернут испытательный стенд «Honey Pot Energy»

21

АРМ ОП

Сервер связи +

Скада

Сетевое

оборудование

РДУ

Вспомогат.,

такие как FTP

сервер и прочее Вспомогательные

системы для

мониторинга

Терминалы РЗА

Маршрутизатор Маршрутизатор

D

MZ

IEC61850

IEC60870-5-104

FTP

VPN

Интернет

iGRIDS

Page 22: 2014 12-02 2 nikandrov-mv_bragutamv

Спасибо за внимание!

22

iGRIDSООО «Интеллектуальные Сети»

www.igrids.ruЗАО «Лаборатория Касперского»

www.kaspersky.ruOАО «НТЦ ФСК ЕЭС» www.ntc-power.ru