ru
ru en

Человеческий фактор при обеспечении кибербезопасности объектов электроэнергетики

В работе предлагается подход к анализу киберугроз, с классификацией возможных последствий и ущербов, с прослеживанием причинно-следственной связи по всей цепочке. Предлагается выделить группу киберугроз не связанных со злонамеренными действиями, а также группу киберугроз связанных со злонамеренными действиями отдельных лиц, конкурирующих бизнес-групп и даже враждебных действий некоторых стран.

Учитывая тот факт, что заинтересованными сторонами в кибератаке могут быть, в том числе, государства, основным способом по недопущению кибератак со значимыми последствиями и ущербами, по мнению авторов, является применение специальных технических решений при проектировании цифровых систем. Данные технические решения должны на структурно-функциональном уровне исключить саму возможность успешной кибернетической атаки.

Новые проблемы

По существу, данные факты можно квалифицировать как непрерывные кибернетические атаки на государственные органы власти, причем данные атаки не были выявлены органами безопасности атакованных государств, а стали известны только благодаря шпионскому скандалу. С тех пор геополитическая обстановка в мире только накаляется.

В 2013 году, на фоне скандальных событий с Эдвардом Сноуденом, были озвучены факты информационного слежения посредством цифровых технологий за государственными органами власти многих стран со стороны спецслужб США.

Когда мы говорим о кибернетической безопасности, то часто возникает вопрос, не подвержены ли (сейчас или в будущем) данным атакам наши наиважнейшие инфраструктурные объекты, в том числе, объекты электроэнергетики? Возможно, не так страшно, если угроза состоит только лишь в несанкционированном мониторинге. Однако какие могут быть последствия в том случае, если существуют скрытые каналы несанкционированного управления?

Особенности цифровых подстанций

Первая ключевая особенность, отличающая цифровую подстанцию от традиционной – замена большинства физических аналоговых и дискретных связей (токовые цепи, цепи напряжения, оперативные цепи) цифровыми. При организации аналоговых связей для передачи одного сигнала ранее требовалась как минимум одна жила медного кабеля определенного сечения. При использовании цифрового кабеля по паре оптических волокон можно передавать тысячи и даже десятки тысяч различных сигналов, что при правильной организации позволяет существенно упростить кабельное хозяйство интеллектуальной цифровой подстанции.

Второй ключевой особенностью цифровой подстанции является то, что любое микропроцессорное устройство располагает вычислительным ресурсом. На современной подстанции располагаются десятки или сотни различных микропроцессоров, зачастую выполняющих однотипные функции. Степень загрузки микропроцессоров на разных устройствах разная, но в любом случае, как правило, имеется большое количество неиспользуемой вычислительной мощности. В традиционных подстанциях, функционал шкафа РЗА или ПА был ограничен количеством вмещаемых внутри него устройств вторичных коммутаций (клемм, реле, ключей, испытательных блоков и т.п.). В цифровой подстанции, имеется возможность одновременного выполнения на мощном современном микропроцессорном устройстве большего количества функций, чем было ранее.

И наконец, третья ключевая особенность цифровой подстанции – появление цифровых и оптических трансформаторов тока (ТТ) и напряжения (ТН). Данные устройства могут быть реализованы с использованием различных принципов, иметь различное конструктивное исполнение. Однако их общими свойствами являются повышенная точность не только в номинальном, но и в аварийных режимах, а также возможность преобразования аналоговых параметров в цифровую форму непосредственно в комплексе технических средств, относящихся к цифровому трансформатору тока или напряжения.

В функциональном плане цифровая подстанция – это принципиально новый объект с позиции систем управления. В ней обеспечивается глубокий мониторинг первичного оборудования и всех вторичных систем. Существенно упрощается процесс внедрения новых функций контроля и управления, так как для этого требуется только лишь установка программного обеспечения, и достаточный вычислительный ресурс (сервера, контроллеры, терминалы). При этом не потребуется организации аналоговых и дискретных цепей. С позиции концепции Smart Grid, цифровая подстанция – это эффективный электросетевой элемент, обладающий свойствами наблюдаемости, адаптивности и интеллекта.

Создание цифровых подстанций в российских энергосистемах вызывает большое количество вопросов. Наиболее острые и не до конца решенные – это вопросы кибербезопасности.

Рассматривая с позиции надежности и безопасности элементы цифровых подстанций, следует отметить, что здесь любая подсистема содержит типовые интеллектуальные микропроцессорные программируемые компоненты. С одной стороны, это обеспечивает гибкость, функциональность, совместимость и взаимозаменяемость при относительно низкой цене. С этой точки зрения построение цифровой подстанции, безусловно, является эффективным мероприятием. С другой стороны, специалист-электроэнергетик не в состоянии глубоко вникнуть в аспекты реального функционирования таких кибернетических компонентов, более того, даже специалист-кибернетик не в состоянии досконально изучить функциональные схемы всех микропроцессоров и программного обеспечения. Поэтому следует обратить внимание на то, что неизбежным следствием развития цифровых и микропроцессорных технологий на объектах электроэнергетики является существенное усложнение внутренних алгоритмов работы элементов цифровых подстанций.

Таким образом, можно отметить, что при построении цифровых подстанций на основе стандарта МЭК 61850 возникает системное противоречие: по сути, предлагается существенно упростить физическую (аппаратную) часть цифровой подстанции за счет принципиального усложнения алгоритмической и программной частей. При этом ослабление кибербезопасности – неизбежное следствие увеличения объема системного и коммуникационного программного обеспечения, которое раньше выполняло вспомогательные функции, а теперь станет ключевым элементом.

Сравнение цифровых и традиционных подстанций с позиции надежности и живучести

Сопоставим задачи обеспечения надежности и способы их решения для традиционных и цифровых подстанций. Для традиционных подстанций существенных проблем с кибербезопасностью не возникает, поэтому для них будем рассматривать лишь общие вопросы надежности и живучести.

Ключевые элементы, которые могут быть подвержены кибератаке с последующим нарушением функционирования цифровой подстанции:

  • внешние цифровые каналы, по которым осуществляется технологическая и оперативная связь с другими энергообъектами и диспетчерскими пунктами;
  • коммуникационные сети энергообъекта, включая коммутаторы и маршрутизаторы;
  • шины процессов и шины объектов (в соответствии с МЭК-61850), которые в цифровой подстанции являются неотъемлемыми элементами любой функции РЗА, ПА, мониторинга и оперативного управления;
  • цифровые устройства РЗА, ПА, управления и мониторинга электрооборудованием.

Таким образом, именно коммуникационные сети и каналы являются «узким местом» цифровой подстанции. Для сравнения отметим, что в традиционных подстанциях, таким «узким местом» являлись системы оперативного постоянного тока (СОПТ). Отказ СОПТ приводил к полной утрате управляемости энергообъекта. Все остальные подсистемы автоматического, автоматизированного или оперативного управления выполнялись достаточно независимыми друг от друга, поэтому отказ одной подсистемы не влиял на функционирование другой.

Классический подход для повышения надежности и живучести технической системы требует поиска возможных угроз (возмущающих факторов), и исследования влияния этих угроз на технологические процессы, т.е. оценивание устойчивости к ним. В качестве возможных угроз (возмущающих факторов) с позиции кибербезопасности для цифровых подстанций можно отметить следующие:

  • кибератаки извне, через внешние цифровые каналы связи энергообъекта;
  • невыявленные ошибки в программном обеспечении устройств цифровой подстанции;
  • злонамеренные программные дефекты (закладки), встроенные в программное обеспечение микропроцессорных устройств цифровой подстанции, с целью управляемого вывода из строя системы;
  • ошибки оперативного и эксплуатационного персонала энергообъекта.
  • Средствами повышения надежности и живучести являются:
  • дублирование – установка нескольких одинаковых устройств;
  • функциональное резервирование – реализация одинаковых или схожих функций с использованием разных физических принципов;
  • декомпозиция – разделение различных функций между разными устройствами, физическое разнесение кабелей и устройств;
  • упрощение – применение простых, понятных и однозначных алгоритмов управления.

При переходе от традиционных подстанций к цифровым на основе МЭК-61850 происходит отказ от:

  • функционального резервирования, т.к. коммуникационные сети (включая коммутаторы и маршрутизаторы) работают на одном и том же принципе;
  • декомпозиции, т.к. коммуникационные сети (включая коммутаторы и маршрутизаторы), обеспечивающие шины процессов и шины объектов, выполняют функции доставки информации до любых устройств мониторинга и управления;
  • упрощения, т.к. алгоритмы передачи и обработки цифровой информации по коммуникационным сетям сложны.

Для обеспечения надежности и живучести цифровых подстанций применяют только:

  • дублирование устройств;
  • дублирование сетей и каналов связи;
  • функциональное резервирование и декомпозицию исключительно на уровне электроэнергетических функций, но не на уровне цифровых технологий.

Коммуникационные сети и микропроцессорные устройства цифровых подстанций универсальны, и без существенной переделки могут решать любые информационные задачи, например, выполнять заведомо зловредные функции в процессе кибератаки, чего нельзя было сказать об устройствах на традиционных подстанциях (особенно на электромеханической базе).

Человеческий фактор при обеспечении кибербезопасности объектов электроэнергетики

Совершенствование технических и программных средств, выполняющих коммуникационные функции на цифровых подстанциях, а также применение специальных технических и программных средств, предназначенных для защиты от кибератак, снижает вероятность атаки извне и последствия от возможных невыявленных ошибок в программном обеспечении.

Ключевая проблема заключается в том, что одно и то же устройство или программное обеспечение может быть настроено так, чтобы обеспечивать кибербезопасность и недопускать кибератаки, а может быть настроено по-другому, т.е. способствовать кибератакам. Внешний вид устройств при этом не меняется, однако их функциональность в части кибербезопасности принципиально разная. Отличие исключительно в настройках, причем отличаться может незначительное число параметров из тысячи совпадающих. Неспециалист в вопросах кибербезопасности вообще не сможет выявить проблему путем каких-то периодических осмотров оборудования. Значит, требуется привлечение специально обученных специалистов, которые способны решать подобные задачи.

Соответственно, важнейшим требованием к специалисту по кибербезопасности является требование правильного и добросовестного выполнения своих обязанностей. Однако, учитывая масштаб последствий, а также то, что заинтересованными сторонами в кибератаке могут быть иностранные государства, на первый план выходят вопросы политической и бизнес лояльности, патриотизма, эффективности спецслужб и т.п. То есть вопросы, выходящие за рамки техники и энергетики. Если подобным образом, можно говорить о том, что любая цифровая подстанция должна превращаться в некий закрытый и секретный объект, наподобие военных и ядерных объектов, со всеми вытекающими затратами. Но готов ли электроэнергетический бизнес к такому?

Альтернативный путь – пересмотр структурной и функциональной схем цифровых подстанций таким образом, чтобы в принципе исключить многие из потенциально возможных киберугроз.

Например, традиционные электромеханические реле, традиционные устройства вторичных коммутаций не подвержены кибератакам в виду отсутствия какой-либо цифровой части. Поэтому некоторое совмещение цифровых, аналоговых и механических устройств может являться простым и эффективным средством обеспечения кибербезопасности, причем полностью понятным электроэнергетикам.

Предложения по обеспечению кибербезопасности цифровых подстанций

Если все устройства РЗА, ПА, системы управления первичным оборудованием будут выполнены на цифровой базе и будут объединены в единую информационно-управляющую систему, то результатом кибератаки может быть полная потеря управляемости энергообъектом или заведомо ложное управление.

Если несколько смежных подстанций подвергнется целенаправленной кибератаке, то вполне возможны случаи полного обесточивания значительной группы потребителей (включая ответственных). Также возможны случаи повреждения дорогостоящего первичного оборудования вследствие неустраненного КЗ или длительной неустраненной перегрузки. При этом классические средства дальнего резервирования на смежных цифровых подстанциях могут быть также неработоспособны по все той же причине.

Как было отмечено выше, успешность кибератаки зависит не только от качества технических средств, но и от слабоуправляемых процессов, таких как лояльность и человеческий фактор. Поэтому одним из наиболее важных аспектов, который необходимо обеспечивать с позиции кибербезопасности цифровых подстанций, является то, чтобы успешная кибератака не приводила к повреждению дорогостоящего или сложно ремонтируемого оборудования. Соответственно, необходимо хотя бы в минимальном объеме сохранять средства защиты и управления, выполненные без использования цифровых технологий, и не вовлеченные в сферу управления цифровых устройств.

В частности, газовые, дуговые и прочие подобные защиты оборудования могут легко быть построены на независимой от цифровых подсистем базе, и напрямую действовать на отключение выключателей, минуя цифровые системы управления. Сложностей с такой реализацией нет никаких, значительного числа медных кабелей это не потребует, зато надежность и живучесть энергообъекта повышается на порядок.

Применение цифровых технологий существенно расширяет возможности, может повышать быстродействие, чувствительность и селективность основных и резервных защит.

Не хотелось бы жертвовать этими достоинствами в угоду защиты от гипотетических кибератак. Данное противоречие можно было бы решить путем реализации на цифровых подстанциях дополнительных степеней защит с большими выдержками времени, выполненных, возможно даже, на электромеханической базе. Например, установка классической МТЗ с заведомо большой выдержкой (больше, чем у традиционных резервных защит дальнего резервирования), отстроенной от термической стойкости оборудования, которая должна быть последним рубежом, защищающим оборудование от повреждения.

Важно также обеспечить независимые от цифровых подсистем элементы защиты и управления, независимым оперативным током, где сама СОПТ не должна управляться от централизованной цифровой системы управления.

Авторами предлагаются следующие мероприятия по повышению кибербезопасности цифровых подстанций и объектов электроэнергетики в целом:

  • разделение информационных потоков различных подсистем на физически не связанные сегменты коммуникационных сетей передачи данных внутри подстанции, т.е. предлагается создание независимых друг от друга шин процессов и шин объектов для каждой функции автоматического или автоматизированного управления, требующей повышенной надежности;
  • отказ от монотехнологичности в коммуникационных сетях передачи данных внутри подстанции (чтобы Ethernet и TCP/IP не были единственными коммуникационными технологиями цифровой подстанции);
  • применение симплексных каналов с односторонней передачей информации там, где это достаточно для выполнения прикладной функции, например, односторонняя передача информации от цифрового ТТ (ТН) к устройствам РЗА, исключающая возможность кибератаки на сам ТТ (ТН) от неисправного устройства РЗА;
  • создание выделенных сегментов коммуникационных сетей, использующихся для настройки и переконфигурирования микропроцессорных и коммуникационных устройств, причем в процессе эксплуатации данные сегменты должны быть нормально отключены (снято питание с коммуникационных устройств или разобраны разъемы);
  • применение межсетевых экранов, разделяющих различные сегменты коммуникационных сетей на физическом (аналоговом) уровне, которые не должны допускать выполнение несанкционированных функций (сегодня межсетевые экраны реализуются на уровне программного обеспечения);
  • применение специальных межсетевых экранов, предназначенных для передачи GOOSE сообщения между физически разделенными сегментами коммуникационных сетей с возможностью физического вывода из работы любого сигнала (аналог традиционного ключа/накладки для традиционной подстанции);
  • применение для ответственных функций упрощенных узкоспециализированных протоколов обмена информации, которые не позволяют передавать несанкционированную информацию (в отличие от Ethernet и TCP/IP, которые поддерживают передачу любой информации).

Для реализации предлагаемых мероприятий необходима разработка и внедрение новых технологий, ранее не применявшихся для построения цифровых подстанций.

На организационном уровне необходимо принципиально переработать подходы к сертификации оборудования и лицензированию специалистов. С позиции кибербезопасности, функционал микропроцессорного устройства цифровой подстанции определяется исключительно его программным обеспечением. Поэтому сертификат соответствия должен быть на конкретную аппаратную версию и конкретную программную прошивку устройства. Чтобы реализовать это на практике, необходимо упростить организационно-бюрократическую сторону сертификации, сосредоточившись на проверке функций. Учитывая общую сложность цифровых технологий и применяемых алгоритмов цифровой коммуникации, необходимо обратить внимание на персональное лицензирование конкретных специалистов.

Сейчас допуск на определенные виды работ выдается организации в целом, а необходимо этот допуск давать конкретным специалистам,  тогда существенно повышается персональная ответственность специалиста и снижается административное давление.

Следует отметить, что подобный способ лицензирования специалистов успешно применяется в США.

Авторы считают, что необходимо расширять дискуссии по вопросам кибербезопасности цифровых подстанций в свете концепций ИЭС ААС и Smart Grid [3]. Формировать коллективные экспертные мнения, которые необходимо доводить как до разработчиков оборудования и программного обеспечения, так и до субъектов электроэнергетики, надзорных и контролирующих органов.

С одной стороны, имеется необходимость развития технологий, в том числе, цифровых, которые дают широчайшие возможности. С другой стороны, имеются угрозы надежности энергообъектов и даже энергобезопасности регионов и государств. Вместо поиска компромисса (как сочетание некоторого уровня новых технологий и некоторого уровня каберзащищенности), необходима гармонизация всех аспектов. Необходимо, чтобы новые цифровые технологии повышали, а не снижали кибербезопасность электроэнергетических объектов и систем. Авторы считают, что такое вполне осуществимо.

Заключение

В статье сформулированы некоторые актуальные проблемы в области кибербезопасности электроэнергетических объектов и систем, что становится важным в связи с появлением принципиально новых объектов – цифровых подстанций. В свете возможности дальнейшей реализации концепций ИЭС ААС и Smart Grid, значение обозначенных проблем существенно возрастет.

Авторами показывается, что наибольшую угрозу кибербезопасности для важных инфраструктурных систем, какой является электроэнергетическая отрасль, представляет собой человеческий фактор, причем главным образом среди специалистов, которые должны обеспечивать эту самую кибер­без­опасность.

Предлагается на цифровой подстанции выделять критические функции защит от повреждения оборудования, и реализовывать их не на цифровой базе, тем самым, исключая саму возможности кибератаки на эти критически важные защиты.

Предлагается на цифровой подстанции разделять информационные потоки на физическом уровне с целью исключения самой возможности распространения кибератаки на весь энергообъект в случае успешного взлома отдельных подсистем.

В работе предложен ряд подходов, которые, по мнению авторов, позволят решить часть обозначенных проблем. Данная работа, расширяя проблемы и уточняя предложения, ранее обозначенные в работе [2, 4], все-таки является постановочной и рассматривается нами как повод к активизации дискуссии среди специалистов по данной тематике.

ЛИТЕРАТУРА

  1. Горелик Т.Г., Кириенко О.В., Дони Н.А. Цифровая подстанция. Подходы к реализации // Сборник докладов XXI конференции «Релейная защита и автоматика энергосистем», Москва, 29–31 мая 2012, с. 10–17.
  2. Осак А.Б, Панасецкий Д.А., Бузина Е.Я. Аспекты надежности и безопасности при проектировании цифровых подстанций // Сборник докладов международной конференции «Современные направления развития систем релейной защиты и автоматики энергосистем», Екатеринбург, 3–7 июня 2013 г.
  3. Нудельман Г.С. О требованиях кибербезопасности систем РЗА при использовании МЭК 61850 // Сборник докладов XXI конференции «Релейная защита и автоматика энергосистем», Москва, 29–31 мая 2012, с. 10–17.Осак А.Б., Панасецкий Д.А.,
  4. Бузина Е.Я. Кибербезопасность объектов электроэнергетики. Угрозы и возможные последствия. // Сборник докладов XXII конференции «Релейная защита и автоматика энергосистем», Москва, 27–29 мая 2014, с. 417–23.