Системы РЗА современных подстанций оснащаются ИЭУ (IED), использующими технологию Ethernet и основанные на ней протоколы информационного обмена, в частности специализированные протоколы стандарта МЭК 61850: SV, GOOSE. Протоколы SV и GOOSE используют механизм многоадресных сетевых рассылок на канальном уровне модели OSI и служат для передачи данных реального времени (выборок токов и напряжений, дискретных сигналов).

Передача SV-потоками и GOOSE-сообщениями информации реального времени накладывает жесткие ограничения на время доставки пакетов.

Время гарантированной доставки GOOSE-сообщения, зависит от класса решаемых задач и требований по быстродействию РЗА. Например, в распределительных сетях необходимо обеспечить время доставки отключающего сигнала в рамках полупериода промышленной частоты (10 мс), в магистральных сетях необходимо обеспечить передачу отключающего сигнала за время, не превышающее четверть периода промышленной частоты (4 мс).

Время доставки выборок мгновенных значений зависит от частоты дискретизации. На данный момент производители реализуют в своих устройствах требования спецификации МЭК 61850-9-2LE, которая подразумевает использование 2-х частот: 4 кГц для реализации функций РЗА, коммерческого учета и 12,8 кГц для анализа качества электроэнергии. Существенная разница в формировании SV-потоков для 4 кГц и для 12,8 кГц заключается в следующем: пакеты для 4 кГц публикуются непосредственно с частотой дискретизации (интервал следования 250 мкс), для 12,8 кГц публикуются пакеты, содержащие по 8 выборок (интервал следования 625 мкс).

Современные системы РЗА строятся с применением шины процесса «Process Bus», которая играет роль своеобразной системы вторичной коммутации: обеспечивает надежную информационную связность устройств, входящих в состав системы РЗА, а также предоставляет специализированные сервисы для инжиниринга трафика.

Физически шина процесса представляет собой ЛВС c высоким коэффициентом готовности, построенную на промышленных сетевых коммутаторах с применением специализированных технологий резервирования. С точки зрения ИБ шина процесса не лишена уязвимостей.

Рассмотрим простую атаку, использующую уязвимость многоадресных сообщений канального уровня (SV и GOOSE). Для проведения атаки вредоносное ПО должно обладать доступом к шине процесса, для этого оно может быть скрытно развернуто на инженерных ПК, имеющих связь с шиной процесса, или к шине процесса должны быть подключены инфицированные ИЭУ.

Инфицирование инженерных компьютеров может происходить тривиальными путями, такими как: подключение инфицированных носителей информации, электронных писем.

Инфицирование ИЭУ может происходить на заводе-изготовителе при несоблюдении мер информационной безопасности. Современные ИЭУ представляют собой промышленные компьютеры, работающие под управлением ОС реального времени. Потенциально такие системы могут быть инфицированы из-за не предусмотренности в них на сегодняшний день специализированного антивирусного ПО. Примером такой ОС может служить «VxWorks», под управлением которой работают ИЭУ Siprotec 5 и ABB Relion 670 серии.

Рассматриваемая атака относится к виду спуфинг-атак (spoofing), основывается на маскировании атакующего под легитимного участника информационного обмена и использует модифицирование данных атакующим. Рассмотрим проведение подобной атаки на GOOSE-сообщения. Атака проводится в несколько фаз:

• Прослушивание легитимного информационного обмена – на данном этапе осуществляется захват сетевых пакетов и запись в хранилище для дальнейшего анализа.

• Анализ структуры захваченных сообщений – осуществляется выявление ключевых информационных полей в захваченных из сети сообщениях: адреса получателя/отправителя, типа кадра, контрольных счетчиков, атрибутов данных.

• Создание кадра с модифицированными ключевыми информационными полями по заранее запрограмированному алгоритму. Создается кадр- копия, в котором изменяется состояние счетчиков таким образом, чтобы устройство-подписчик приняло инфицированное GOOSE-сообщение за легитимный кадр, соответствующий смене значения какого-либо из атрибутов данных. Для этого счётчик состояний увеличивается на 1, а последовательный счетчик принимает значение 0, при этом атрибут данных меняет своё состояние на противоположное,  т.е. «true», что соответствует публикации, допустим, сигнала отключения от РЗ.

• Публикация модифицированных пакетов в сеть от имени легитимного издателя. Наилучшим с точки зрения проведения атаки является состояние «спокойной» передачи GOOSE-сообщений, когда сообщения идут с широким интервалом следования T0. Публикация инфицированных пакетов осуществляется внутри данного интервала, в полях отправителя и получателя указываются адреса легитимных участников обмена.

Очевидным результатом проведения атаки такого вида может быть публикация ложного сигнала отключения выключателя или группы выключателей, если речь идёт о спуфинге сигналов отключения от ДЗШ или ДЗТ. Учитывая информационную связанность подстанций в т.н. «умных сетях», атака может быть осуществлена, например, на GOOSE-сообщения, передающие сигналы телеотключения на соседние подстанции. В таком случае следует говорить о потенциальной опасности возникновения системной аварии.

Стоит отметить, что проведение спуфинг-атаки на GOOSE-сообщения не предъявляет высоких требований к производительности атакующей платформы, т.к. не сопряжено с обработкой большого объема данных и высокой информационной нагрузкой на сетевой интерфейс, атака на SV-потоки потребует больших вычислительных ресурсов.

В реальных условиях к шине процесса для оптимизации информационной нагрузки и обеспечения безопасности применяются методы ограничения широковещательного трафика: виртуальные сети (VLAN’s) и MAC-фильтрация. Применение этих технологий позволяет ограничить широковещательные домены  таким образом, чтобы в них не входили устройства или интерфейсы, которые получают информацию, но не являются её функциональными потребителями.

Оптимизация информационных потоков заметно усложняет проведение атаки, описанной выше, но не исключает возможность её проведения в совокупности с атакой направленной на преодоление ограничений, наложенных средствами инжиниринга трафика. Например, первой проводится атака на VLAN, целью которой является преодоление ограничений сегментирования шины процесса, далее проводится спуфинг-атака.

В реальных условиях для осуществления атак на электроэнергетические объекты могут применяться комплексы вредоносного ПО с гораздо большими функциональными возможностями, обладающие следующими качествами:

• Способностью к маскировке.
• Высокой проникающей способностью.
• Возможностью передачи полученных данных в центры управления через глобальные сети.
• Возможностью дистанционного управления.

Уже существующим примером подобного ПО является известный вирус «Stuxnet», перехватывавший управление промышленными установками в Иране и выводивший их из строя.

Основным нормативным документом, определяющим требования к информационной безопасности энергетических объектов, является стандарт МЭК 62351 «Защита информации и данных», 6-я глава которого посвящена в частности безопасности профилей обмена данными МЭК 61850 (SV, GOOSE).

Для защиты сообщений стандарт предполагает использование цифровой подписи, которая подтверждает целостность данных и однозначно определяет отправителя сообщения. Согласно МЭК 62361 цифровая подпись формируется по RSA-алгоритму и  применяется не ко всему сообщению, а к его хэш-сумме, вычисленной по SHA-256-алгоритму.

Проведенные исследования [2] показывают, что программная реализация алгоритма цифровой подписи с длиной ключа в 1024 бита, необходимой для обеспечения надежной защиты, вносит задержки, сравнимые с временем доставки GOOSE-сообщения даже на платформах обладающих значительно большей вычислительной мощностью чем ИЭУ (см. таблицу 2).

Если учесть тот факт, что подписчик может быть подписан на сообщения от нескольких издателей, то возникнет необходимость организации «параллельной» аутентификации подписей разных издателей, что приведет к еще большему увеличению времени сообщений.

Таблица 2. Задержки при программной реализации алгоритма цифровой подписи.

Для достижения приемлемого времени передачи защищенных сообщений реального времени необходимо использовать специализированные аппаратные модули шифрования. Наибольшей производительностью среди которых обладают специализированные крипто-чипы, созданные для быстродействующей реализации конкретного алгоритма шифрования, например, RSA-алгоритма.

Подобные решения позволяют снизить время необходимое на подпись/аутентификацию до 24 мкс [2], что является приемлемым для подписи как GOOSE-сообщений, так и SV-потоков. Однако внедрение подобных криптографических модулей приведет к необходимости серьезной переработки аппаратных платформ ИЭУ,  имеющих значительный срок эксплуатации и высокую стоимость.

Стоит отметить, что на сегодняшний день на рынке нет ИЭУ РЗА с заявленной производителем реализацией механизма цифровой подписи сообщений. В сложившейся ситуации основным методом обеспечения ИБ можно считать применение методов инжиниринга трафика шины процесса, а также использование средств обеспечения ИБ на уровне коммутационного оборудования сети Ethernet.

В целом же обеспечение информационной безопасности современных систем РЗА представляет собой комплексную задачу, решение которой должно происходить на протяжении всего жизненного цикла системы, начиная с этапа принятия основных технических решений, заканчивая экплуатацией готовой системы. Архитектура системы должна быть продумана таким образом, чтобы удовлетворять требованиям оптимальности как с точки зрения выполения основной технологической задачи – реализации функций РЗА, так и с точки зрения информационной безопасности.

СПИСОК ЛИТЕРАТУРЫ

1. J. Hoyos, M. Dehus, T. X Brown “Exploiting the GOOSE Protocol: A Practical Attack on Cyber-infrastructure” University of Colorado Boulder, Boulder, Colorado, USA.
2. F. Hohlbaum, M. Braendle, F. Alvarez “Cyber Security Practical consideration for implementing IEC 62351” ABB, Switzerland.
3. P. Weerathunga “Security aspects of smart grid communication” Western University, Canada.