Кибербезопасность устройств SIPROTEC 5
Помимо общих рекомендаций по обеспечению информационной безопасности, в документе содержится описание программных средств защиты, реализованных в микропроцессорных устройствах РЗА серии SIPROTEC 5.
Так, отмечается, что устройства работают на операционной системе VxWorks, под которую не распространено вирусное программное обеспечение – соответственно, в рамках этой ОС не применяются антивирусы. Также отмечается, что в каждом устройстве реализован брэндмауэр для обеспечения защиты от атак по коммуникационных интерфейсам устройства. Он находится во включенном состоянии по умолчанию.
Обычно для установления соединения и загрузки параметров уставок в устройство из настроечного программного обеспечения DIGSI требуется ввод пароля. Теперь пароль должен удовлетворять требованиям стандарта NERC CIP-007-4: он должен содержать не менее 6 символов и являться комбинацией чисел, букв и специальных символов.
Также в устройствах серии SIPROTEC 5 теперь реализован специальный журнал событий, регистрирующий не успешные попытки авторизации с использованием неправильного пароля, факты успешной/неуспешной смены пароля и др. После 3 последовательных не успешных попыток ввода пароля доступ к устройству блокируется на 5 минут. Пользователь не может очистить содержимое данного журнала событий. Также стоит отметить, что все перечисленные выше события могут быть переданы в систему АСУ ТП подстанции, как и любой другой формируемый устройством сигнал.
Еще одно нововведение – различные роли пользователей с различным уровнем доступа (право на изменение значение уставок функций РЗА и чтение данных с устройства, право на оперирование коммутационными аппаратами с учетом текущего состояния оперативных блокировок, право на оперирование коммутационными аппаратами без учета текущего состояния оперативных блокировок и т.д.).
Что касается передачи данных по протоколам стандарта МЭК 61850 – то все остается как прежде. GOOSE-сообщения формируются/принимаются без цифровой подписи, сообщения по протоколу MMS передаются без использования механизма TLS (в соответствии с МЭК 62351).