Белые хакеры ЦПС: Любой специалист по кибербезопасности энергообъектов должен знать МЭК 61850

Корреспондент ЦПС пообщался с командой, занявшей первое место в конкурсе по взлому ЦПС, в попытке выяснить, насколько реальна киберугроза для энергообъектов.

В этих соревнованиях первое место заняла команда RuGrid из Чебоксар в составе трех специалистов. В команду вошли: Алексей Александров – ведущий инженер ООО «НПП «Селект», Владимир Степанов – руководитель технического отдела ООО «НПП «Селект» (капитан команды), Дмитрий  Смирнов – технический директор ООО «РелГрид».

команда RuGrid
Слева на право: Владимир, Алексей, Дмитрий

То, что мы разбираемся в релейной защите и МЭК 61850 дало нам преимущество перед конкурентами и позволило победить в этом конкурсе.

ЦПС: Привет, ребята! Во-первых, поздравляю вас с победой в конкурсе! Расскажите чем вы занимаетесь. Как вы работаете в команде? Кто за что у вас отвечает?
АА: Привет! Спасибо! Мы с Владимиром специалисты в области РЗА, работаем в одной компании, только я чуть больше занимаюсь программированием.
ВС: Вообще, основная область нашей деятельности – это инжиниринг устройств РЗА (проектирование и наладка). Мы, конечно, хорошо знакомы с оборудованием компании Siemens и других вендоров. А то, что мы разбираемся в релейной защите и стандарте МЭК 61850, на мой взгляд, дало нам преимущество перед конкурентами, что в первую очередь и позволило победить в этом конкурсе.
ДС: Я программист и в ходе конкурса отвечал за практическую реализацию идей.

ЦПС: Поделитесь секретом вашего успеха. Как вы организовали работу своей команды? Какой у вас был подход к поставленным задачам?
АА: Мы сперва предполагали определённую стратегию, которая впоследствии себя оправдала. Но в первый момент мы допустили ошибку. Мы получили первый результат гораздо раньше, чем узнали о нём.
ВС: До того момента, как всем открыли файервол, мы, видя GOOSE-сообщения (с помощью программы для анализа сети) и стенд перед собой, генерировали свои GOOSE с другими данными и запускали их обратно в сеть, тем самым мы отключили оперативные блокировки, но управления коммутационными аппаратами у нас не было. В тот момент мы попросили «оперативный персонал» – организаторов – управлять разъединителями и заземляющими ножами. В результате, в зависимости от того, где и какую блокировку коммутационного аппарата мы разрешали, к управлению теми аппаратами и был доступ.
ДС: Мы уже знали какую реакцию ожидать, при спурфинге GOOSE-сообщений, и контролировали её. До того, как нам открыли файервол, мы уже выполнили несколько заданий, просто не видели этого.

Наличие настроенного файервола осложнило бы проведение атак.

ЦПС: Если идти по хронологии событий, какие у вас были исходные данные?
ВС: Каждой команде раздали по белому пакету с несколькими группами заданий. Первая группа – это разведка, вторая группа – взлом, третья – диверсия и четвёртая – промо. Сначала не все задания для нас показались понятными. За диверсию – включение заземляющего ножа или отключение защит во время предполагаемых аварий из-за природных катаклизмов, например, ураганов или шаровой молнии – присваивалось максимальное количество баллов, и мы приступили к реализации заданий этой группы. Очень неожиданным было первое включение ЗН, когда сработала сигнализация и начала гореть модель линии.

ЦПС: Вы знали, что она загорится?
ВС: Да, знали, но не знали каким конкретно образом, поэтому всё равно это было очень неожиданно и эффектно.

Мы радеем за безопасность и надёжность электроэнергетических и цифровых систем. Можно сказать, что мы – «белые хакеры».

ЦПС: Давайте сравним с реальными условиями. Если представить, что вы собрались втроём и решили взломать реальную цифровую подстанцию. Насколько проще здесь всё-таки были условия?
АА: Наличие настроенного фаервола значительно бы осложняло проведение атак.
ВС: Мы всё таки на другой стороне, мы радеем за безопасность и надёжность электроэнергетических и цифровых систем. Можно сказать, что мы – «белые хакеры».

ЦПС: А если, например, Kaspersky Lab, предложит вам работу в качестве специалистов по кибербезопасности. Вы бы согласились? Вообще это интересное для вас направление или это больше увлечение, которое принесло вам первое место благодаря вашим знаниям?

ДС: Я всё таки в первую очередь программист, а не специалист по кибербезопасности. А этим должны заниматься специально обученные люди.
АА: Мы специалисты по РЗА. Здесь мы можем дать только свои рекомендации по построению сети или настройке оборудования.

Любой специалист по кибербезопасности электроподстанций в определённой степени должен разбираться в МЭК 61850.

ЦПС: Как вы думаете, специалисты по кибербезопасности должны знать МЭК 61850 для защиты цифровой подстанции?
АА: Разумеется, любой специалист по кибербезопасности электроподстанций в определённой степени должен разбираться в МЭК 61850.
ВС: На мой взгляд, должны быть чёткие инструкции по настройке сети и оборудования. Если бы всё было настроено так, как должно быть, то ни у кого не возникало бы проблем.

В процессе разговора с победителями, к нам присоединился Максим Никандров – один из организаторов мероприятия и технический директор компании iGrids.

МН: Минуточку! Что не так настроено? Что сейчас конкретно в этой настройке отличается от ваших типовых?

ЦПС: Добрый день, Максим! Присоединяйтесь к нашей беседе.
ВС: Мне кажется, что нужно было заменить все пароли.

МН: А что бы вы настроили по другому? Какие настройки вы применяете на реальных объектах?
ВС: Например, когда мы настраивали систему на одной из подстанций, то мы организовали сеть, используя VLAN и таблицу MAC адресов, таким образом, чтобы GOOSE-сообщения передавались между определенными портами коммутаторов. И если бы у вас на файерволе стоял не дефолтный пароль, то вряд ли кому-то удалось бы что-то сделать. Только ОБР попортили бы и всё.

МН: А какой там был пароль, admin – admin? Кстати другая команда нашла захардкоженный пароль, так что смена пароля не помогла бы.
ВС: Да, но она нашла пароль только на второй день.

МН: Мы не сильно усложняли задачу, иначе дело бы сильно затянулось.

ЦПС: Подводя итоги, можно сказать, что основное слабое место – это архитектура и настройка ЛВС на энергообъекте, и это первое, на что нужно обратить внимание при проектировании цифровой подстанции?
ВС: Да, недостаточно вытащить из коробки сетевой коммутатор и подключить к нему провода как это некоторые делают.

Недостаточно вытащить из коробки коммутатор и подключить к нему провода как это некоторые делают.

МН: Хорошо, а что ещё вы настроили бы иначе?
ВС: Конечно, ещё должна быть сигнализация о наличии параллельных GOOSE-сообщений.
АА: Интересно, если было бы возможно посмотреть на отчёт системы кибербезопасности, как бы она сигнализировала о взломах, попытках, если бы такие существовали.

МН: То есть претензий к постройке стенда у вас нет. А всё таки, если бы вы делали стенд, какой бы он был?
ВС: Чтобы никто никогда не проник в систему, мы бы вручную пробрасывали GOOSE-сообщения с каждого коммутатора.

МН: Хорошо, вы спрятали бы GOOSE-сообщения и это усложнило бы работу с блокировками.
ВС: SCADA систему можно было бы спрятать в отдельный VLAN.

МН: То есть пришлось бы сначала коммутатор ломать, чтобы добраться до VLAN.
АА: SCADA систему мы вам в последний день сломали.

ЦПС: Как говорилось на конференции, главная проблема – это человеческий фактор, никто не меняет пароли.
ВС: На это у организаторов ушло бы много времени.
МН: В следующий раз постараемся учесть ваши пожелания, можно даже опрос провести на тему: как усложнить задачу. Мы приходим к тому, что нужна внешняя система IDS – Intrusion Detection System. Без неё дальше развиваться невозможно.

ЦПС: Давайте подведём итоги за 2 дня. Что вам удалось хакнуть?
ВС: У нас, если честно, остались невыполненным только задания с SNTP сервером времени и измерительными преобразователями.

ЦПС: А почему? Просто времени не хватило или задание стоило мало баллов?
ВС: В последний день образовалась очередь из других команд, в него кто только не «лез».

ЦПС: У вас в связи с этим не возникло желание хакнуть соперников?
АА: Вообще было. Мы вежливо уступили свою очередь по просьбе одной из команд, а потом только поняли, что очень зря.

Мы обманули блокировки с помощью GOOSE-сообщений, а потом, управляя по MMS терминалом, подали команду на замыкание заземляющих ножей, установленных на линии.

МН: Я хочу отметить, что ребята выполнили самое дорогостоящее и сложное задание: многоходовые атаки, которые привели к отключению защит.

ЦПС: А какие это были ходы?
ВС: Сперва мы обманули блокировки с помощью GOOSE-сообщений, а потом, управляя по MMS терминалом, подали команду на замыкание заземляющих ножей, установленных на линии.

ЦПС: И последний вопрос: по вашему мнению МЭК 61850 с точки зрения кибербезопасности надёжный стандарт?
АА: Да, сам стандарт достаточно надежен, однако требуется грамотно его использовать! Применение же шифрования приведёт к неоправданному увеличению стоимости и увеличению временных задержек.

ЦПС: Спасибо! Удачи!

Цифровая подстанция

(close)