В этих соревнованиях первое место заняла команда RuGrid из Чебоксар в составе трех специалистов. В команду вошли: Алексей Александров – ведущий инженер ООО «НПП «Селект», Владимир Степанов – руководитель технического отдела ООО «НПП «Селект» (капитан команды), Дмитрий  Смирнов – технический директор ООО «РелГрид».
команда RuGrid
Слева на право: Владимир, Алексей, Дмитрий
То, что мы разбираемся в релейной защите и МЭК 61850 дало нам преимущество перед конкурентами и позволило победить в этом конкурсе.
ЦПС: Привет, ребята! Во-первых, поздравляю вас с победой в конкурсе! Расскажите чем вы занимаетесь. Как вы работаете в команде? Кто за что у вас отвечает? АА: Привет! Спасибо! Мы с Владимиром специалисты в области РЗА, работаем в одной компании, только я чуть больше занимаюсь программированием. ВС: Вообще, основная область нашей деятельности – это инжиниринг устройств РЗА (проектирование и наладка). Мы, конечно, хорошо знакомы с оборудованием компании Siemens и других вендоров. А то, что мы разбираемся в релейной защите и стандарте МЭК 61850, на мой взгляд, дало нам преимущество перед конкурентами, что в первую очередь и позволило победить в этом конкурсе. ДС: Я программист и в ходе конкурса отвечал за практическую реализацию идей. ЦПС: Поделитесь секретом вашего успеха. Как вы организовали работу своей команды? Какой у вас был подход к поставленным задачам? АА: Мы сперва предполагали определённую стратегию, которая впоследствии себя оправдала. Но в первый момент мы допустили ошибку. Мы получили первый результат гораздо раньше, чем узнали о нём. ВС: До того момента, как всем открыли файервол, мы, видя GOOSE-сообщения (с помощью программы для анализа сети) и стенд перед собой, генерировали свои GOOSE с другими данными и запускали их обратно в сеть, тем самым мы отключили оперативные блокировки, но управления коммутационными аппаратами у нас не было. В тот момент мы попросили «оперативный персонал» - организаторов - управлять разъединителями и заземляющими ножами. В результате, в зависимости от того, где и какую блокировку коммутационного аппарата мы разрешали, к управлению теми аппаратами и был доступ. ДС: Мы уже знали какую реакцию ожидать, при спурфинге GOOSE-сообщений, и контролировали её. До того, как нам открыли файервол, мы уже выполнили несколько заданий, просто не видели этого.
Наличие настроенного файервола осложнило бы проведение атак.
ЦПС: Если идти по хронологии событий, какие у вас были исходные данные? ВС: Каждой команде раздали по белому пакету с несколькими группами заданий. Первая группа - это разведка, вторая группа - взлом, третья - диверсия и четвёртая - промо. Сначала не все задания для нас показались понятными. За диверсию - включение заземляющего ножа или отключение защит во время предполагаемых аварий из-за природных катаклизмов, например, ураганов или шаровой молнии - присваивалось максимальное количество баллов, и мы приступили к реализации заданий этой группы. Очень неожиданным было первое включение ЗН, когда сработала сигнализация и начала гореть модель линии. ЦПС: Вы знали, что она загорится? ВС: Да, знали, но не знали каким конкретно образом, поэтому всё равно это было очень неожиданно и эффектно.
Мы радеем за безопасность и надёжность электроэнергетических и цифровых систем. Можно сказать, что мы - «белые хакеры».
ЦПС: Давайте сравним с реальными условиями. Если представить, что вы собрались втроём и решили взломать реальную цифровую подстанцию. Насколько проще здесь всё-таки были условия? АА: Наличие настроенного фаервола значительно бы осложняло проведение атак. ВС: Мы всё таки на другой стороне, мы радеем за безопасность и надёжность электроэнергетических и цифровых систем. Можно сказать, что мы - «белые хакеры». ЦПС: А если, например, Kaspersky Lab, предложит вам работу в качестве специалистов по кибербезопасности. Вы бы согласились? Вообще это интересное для вас направление или это больше увлечение, которое принесло вам первое место благодаря вашим знаниям? ДС: Я всё таки в первую очередь программист, а не специалист по кибербезопасности. А этим должны заниматься специально обученные люди. АА: Мы специалисты по РЗА. Здесь мы можем дать только свои рекомендации по построению сети или настройке оборудования.
Любой специалист по кибербезопасности электроподстанций в определённой степени должен разбираться в МЭК 61850.
ЦПС: Как вы думаете, специалисты по кибербезопасности должны знать МЭК 61850 для защиты цифровой подстанции? АА: Разумеется, любой специалист по кибербезопасности электроподстанций в определённой степени должен разбираться в МЭК 61850. ВС: На мой взгляд, должны быть чёткие инструкции по настройке сети и оборудования. Если бы всё было настроено так, как должно быть, то ни у кого не возникало бы проблем. В процессе разговора с победителями, к нам присоединился Максим Никандров - один из организаторов мероприятия и технический директор компании iGrids. МН: Минуточку! Что не так настроено? Что сейчас конкретно в этой настройке отличается от ваших типовых? ЦПС: Добрый день, Максим! Присоединяйтесь к нашей беседе. ВС: Мне кажется, что нужно было заменить все пароли. МН: А что бы вы настроили по другому? Какие настройки вы применяете на реальных объектах? ВС: Например, когда мы настраивали систему на одной из подстанций, то мы организовали сеть, используя VLAN и таблицу MAC адресов, таким образом, чтобы GOOSE-сообщения передавались между определенными портами коммутаторов. И если бы у вас на файерволе стоял не дефолтный пароль, то вряд ли кому-то удалось бы что-то сделать. Только ОБР попортили бы и всё. МН: А какой там был пароль, admin - admin? Кстати другая команда нашла захардкоженный пароль, так что смена пароля не помогла бы. ВС: Да, но она нашла пароль только на второй день. МН: Мы не сильно усложняли задачу, иначе дело бы сильно затянулось. ЦПС: Подводя итоги, можно сказать, что основное слабое место - это архитектура и настройка ЛВС на энергообъекте, и это первое, на что нужно обратить внимание при проектировании цифровой подстанции? ВС: Да, недостаточно вытащить из коробки сетевой коммутатор и подключить к нему провода как это некоторые делают.
Недостаточно вытащить из коробки коммутатор и подключить к нему провода как это некоторые делают.
МН: Хорошо, а что ещё вы настроили бы иначе? ВС: Конечно, ещё должна быть сигнализация о наличии параллельных GOOSE-сообщений. АА: Интересно, если было бы возможно посмотреть на отчёт системы кибербезопасности, как бы она сигнализировала о взломах, попытках, если бы такие существовали. МН: То есть претензий к постройке стенда у вас нет. А всё таки, если бы вы делали стенд, какой бы он был? ВС: Чтобы никто никогда не проник в систему, мы бы вручную пробрасывали GOOSE-сообщения с каждого коммутатора. МН: Хорошо, вы спрятали бы GOOSE-сообщения и это усложнило бы работу с блокировками. ВС: SCADA систему можно было бы спрятать в отдельный VLAN. МН: То есть пришлось бы сначала коммутатор ломать, чтобы добраться до VLAN. АА: SCADA систему мы вам в последний день сломали. ЦПС: Как говорилось на конференции, главная проблема - это человеческий фактор, никто не меняет пароли. ВС: На это у организаторов ушло бы много времени. МН: В следующий раз постараемся учесть ваши пожелания, можно даже опрос провести на тему: как усложнить задачу. Мы приходим к тому, что нужна внешняя система IDS - Intrusion Detection System. Без неё дальше развиваться невозможно. ЦПС: Давайте подведём итоги за 2 дня. Что вам удалось хакнуть? ВС: У нас, если честно, остались невыполненным только задания с SNTP сервером времени и измерительными преобразователями. ЦПС: А почему? Просто времени не хватило или задание стоило мало баллов? ВС: В последний день образовалась очередь из других команд, в него кто только не «лез». ЦПС: У вас в связи с этим не возникло желание хакнуть соперников? АА: Вообще было. Мы вежливо уступили свою очередь по просьбе одной из команд, а потом только поняли, что очень зря.
Мы обманули блокировки с помощью GOOSE-сообщений, а потом, управляя по MMS терминалом, подали команду на замыкание заземляющих ножей, установленных на линии.
МН: Я хочу отметить, что ребята выполнили самое дорогостоящее и сложное задание: многоходовые атаки, которые привели к отключению защит. ЦПС: А какие это были ходы? ВС: Сперва мы обманули блокировки с помощью GOOSE-сообщений, а потом, управляя по MMS терминалом, подали команду на замыкание заземляющих ножей, установленных на линии. ЦПС: И последний вопрос: по вашему мнению МЭК 61850 с точки зрения кибербезопасности надёжный стандарт? АА: Да, сам стандарт достаточно надежен, однако требуется грамотно его использовать! Применение же шифрования приведёт к неоправданному увеличению стоимости и увеличению временных задержек. ЦПС: Спасибо! Удачи!