Вопросы применения систем,

основанных на знаниях, для

целей моделирования угроз
кибербезопасности
индустриальных систем

© Карантаев В.Г., Карпенко В.И.

Авторы: к.т.н. Карантаев В.Г., Карпенко В.И.
Центр НТИ МЭИ

1
Образ будущего «Цифровой электроэнергетики» в 2025 гг.
«В энергетике проведена необходимая модернизация,
преодолен разрыв между скоростью старения оборудования
и внедрением нового оборудования на основе цифровых
технологий. Потребителям предоставляется
электроэнергия по оптимальному тарифу с
прогнозируемым необходимым качеством и надежностью.
Создана система готовая противостоять многообразию

© Карантаев В.Г., Карпенко В.И.

рисков: технологической зависимости, рисков нарушения
надежного, безопасного, эффективного функционирования»

http://digitenergy.ru/wp-content/themes/energy/img/pdf/0.pdf
2
 Предпосылки к организации исследования
Возрастающие риски кибербезопасности вторичных подсистем объектов
электроэнергетики в условиях цифровой трансформации отрасли.
Методическая неопределенность в области оценки угроз безопасности
функционирования вторичных подсистем объектов электроэнергетики.
Востребованность прикладных исследований на уровне международных
экспертных организаций CIGRE и IEEE.
Приоритетные тематики:

© Карантаев В.Г., Карпенко В.И.

• Кибербезопасность вторичных подсистем объектов электроэнергетики при
построении Smart Grid.
• Повышение ситуационной осведомленности в условиях проведения
компьютерных атак на вторичные системы объектов электроэнергетики.

3
 Цели и задачи работы:
Цели научно-прикладной работы:
• Разработать способ моделирования угроз кибербезопасности вторичных
подсистем цифровых подстанций в условиях методической неопределенности.
Задачи научно-прикладной работы:
• Анализ основных технологических тенденций развития электроэнергетического
комплекса.
• Обзор исследований и публикаций, посвященных анализу угроз

© Карантаев В.Г., Карпенко В.И.

кибербезопасности вторичных подсистем объектов электроэнергетики и
последствий их реализации.
• Разработка демонстрационного прототипа экспертной системы.
• Разработка частной модели угроз для подсистемы РЗА подстанции с высшим
классом напряжения 500 кВ.

4
 Терминология определяет если не все, то многое

© Карантаев В.Г., Карпенко В.И.

Миссиоцентрический подход к Немного о кибербезопасности Особенности анализа кибербезопасности
кибербезопасности АСУ ТП АСУ ТП на железнодорожном транспорте
https://tb-inform.ru/wp-
https://cyberrus.com/wpcontent/uploads/2 content/uploads/2016/03/Makarov- Безродный Борис Федорович Доклад ITSF
015/05/vkb_10_09.pdf SHubinskij-1-statya-v-AIS.pdf

Дано около десятка определений кибербезопасность и кибербезопасность АСУ ТП.

5
 Отраслевые исследования
РНК СИГРЭ
Результаты деятельности объединенной проблемной рабочей группы №2 комитетов B5/D2
опубликованы:
• Сборник докладов международная выставка РЗА 2017
• Обзор деятельности ПРГ РНК СИГРЭ "Кибербезопасность РЗА и систем управления
современных объектов электроэнергетики" Генгринович Е.Л., Гуревич А.Ю., Карантаев
В.Г., Никандров М.В. Релейщик №2, 2019 стр. 27-29
CIGRE
• TB 790 Cybersecurity requirements for PACS and the resilience of PAC architectures WG
B5.66

© Карантаев В.Г., Карпенко В.И.

• WG D 2.51 «Implementation of Security Operations Centers (SOC) in Electric Power Industry
as Part of Situational Awareness System»
Лаборатория Касперского: Дащенко Ю. «Моделирование угроз в условиях методической
неопределенности»
Исследование Лаборатории кибербезопасности АСУ ТП «Анализ возможных
нарушений работоспособности в результате деструктивных воздействий компьютерных атак
на цифровые системы управления и защиты объектов электроэнергетического комплекса».
Connect Карантаев В.Г., Карпенко В.И. Анализ нарушений работоспособности объектов
электроэнергетики вследствие кибератак/Connect 2020 г./ № 1–2 11–12 стр 6
 Результаты работы ПРГ №2 РНК СИГРЭ

© Карантаев В.Г., Карпенко В.И.

Тип исполнения вторичного оборудования электрических подстанций и распредустройств
генерации:
- электромеханические;
- микропроцессорные 1 типа;
- микропроцессорные 2 типа (МЭК 61850).

Журнал Релейщик №2-2019 27 с. 7

 Общий принцип объединения подходов ИБ и ФБ
Исследование РНК СИГРЭ. Объединенная группа ПРГ-2 исследовательских комитетов B5/D2

© Карантаев В.Г., Карпенко В.И.

8
Моделирование угроз кибербезопасности в разрезе функциональной
безопасности объектов электроэнергетики.
Д. Даренский http://rza-expo.ru/doc/rza_materialy3.pdf
 Актуальные угрозы или история одного НИР
Результаты исследования отражают
экспертную позицию авторского
коллектива.
Наиболее значимый практический
результат работы – это следующий
вывод: нарушение устойчивости
функционирования объектов
электроэнергетики с высоким

© Карантаев В.Г., Карпенко В.И.

уровнем цифровизации
вторичных систем из-за
воздействия на них кибератак
возможно.
Достигнутый результат заставляет по
иному воспринимать риски цифровой
трансформации Презентация МФЭС 2019 Карантаев В.Г.
«Вопросы реализации киберзащищенной цифровой подстанции на основе
электроэнергетической отрасли. российских технологий»
Connect Карантаев В.Г., Карпенко В.И. Анализ нарушений работоспособности
объектов электроэнергетики вследствие кибератак/Connect 2020 г./ № 1–2 11–12
стр 9
Вопросы развития РЗА

© Карантаев В.Г., Карпенко В.И.

А.В. Жуков 5-я Международная научно-техническая конференция
«Современные направления развития систем релейной защиты и автоматики
энергосистем» 10
 Классические свойства РЗА

• селективность (избирательность)
• чувствительность
• быстродействие

© Карантаев В.Г., Карпенко В.И.

• надежность

(Чернобровов Н.В. «Релейная защита») 11

Методики моделирования угроз кибербезопасности РЗА ЦПС

• CWE Library • Cyber • STRIDE • Проект

KillChain методики

© Карантаев В.Г., Карпенко В.И.

• CVE Library
• ICS Cyber МУиН 2020
• CAPEC Library
KillChain
• ATT&CK Matrix
for Enterprise
• ICS ATT&CK
Matrix
12
Способ моделирования угроз кибербезопасности РЗА ЦПС

АРМ РЗА

Компонент
подсистемы

Результат
Последствие Воздействие реализации Киберугроза Уязвимость
киберугрозы

© Карантаев В.Г., Карпенко В.И.

Нарушитель
Отключение Ложное Изменение НСД АРМ CVE-2018-
оборудования срабатывание конфигурации РЗА xxxx
РЗ ИЭУ РЗА
Внешний
хакер

13
 Реализация частной модели угроз
Для проверки разработанного способа моделирования угроз кибербезопасности
были выбраны компоненты подсистемы РЗА и проведена разработка МУиН в
выбранных детерминированных условиях.
Авторами было предположено, что будет рассмотрена ЦПС с высшим классом
напряжения 500кВ и последствия, которые могут быть вызваны отключением или
повреждением ЛЭП 500кВ или АТ. Далее было зафиксировано, что данные ИЭУ
производства наиболее популярного в России иностранного вендора.
Дополнительные условия:

© Карантаев В.Г., Карпенко В.И.

• ЦПС 3-й архитектуры с децентрализованной системой РЗА. Рассматриваются два
терминала:
• Комплект основной и резервной защиты ЛЭП 500 и основная защита АТ 500/220/10.
• Также рассмотрению подлежит АРМ РЗА

ПАО «ФСК ЕЭС» СТО 56947007-29.240.10.299-2020

Цифровая подстанция. Методические указания по проектированию ЦПС
26.02.2020 14
 Первичная схема присоединения
~

Приведена первичная схема

присоединения и фрагмент схемы
ИТС для ИЭУ РЗА (показаны
ДЗЛ+СЗ ТА-1-500
ЛЭП В-W1C
IED1
точки подключения к B-W1C

измерительным трансформаторам
тока и напряжения).
B-АТ1C
На ней присутствуют ЛЭП 500кВ

© Карантаев В.Г., Карпенко В.И.

TV-1-500

(С), 220кВ(Е), 10кВ(K); ДТЗ АТ1

ТА-2-500
TV-1-220

Автотрансформатор 500/220/10кВ;
IED 2 ТА-2-220 ТА-1-220

B-АТ1E B-W1E
~
Коммутационная аппаратура. TV-1-10

ТА-1-10

B-АТ1K

TV-2-10 15
 Схема распределения по ПАС, ПДС
Так как рассматривается ЦПС , то необходимо распределение ИЭУ РЗА
(IED) по УСО (MU)
ТА-1-500 ПАС РУ ДЗЛ+СЗ ПДС В-
TV-1-500 500 ЛЭП W1C W1C
MU IED1 MU
ТА-2-500 ПДС В-
ПАС АТ1 ДТЗ АТ1

© Карантаев В.Г., Карпенко В.И.

ТА-2-220 АТ1C
ТА-1-10 MU IED2 MU
ПДС В-
АТ1E
MU
ПДС В-
АТ1K
MU
16
 Схема ЛВС моделируемой ЦПС
Межсетевой экран

Граница Подстанции АРМ Контроллер среднего

инженера РЗА уровня

GPS/ГЛОНАСС
Сервер СОЕВ
Коммутатор
Маршрутизатор

Сетевое
оборудование
Шина подстанции

© Карантаев В.Г., Карпенко В.И.

ДЗЛ+СЗ ПДС В- ПДС В- ПДС В- ПДС В-
ДТЗ АТ1
ЛЭП W1C W1C АТ1C АТ1E АТ1K
Сетевое IED1 IED2 MU MU MU MU
оборудование
Шина процесса

ПАС РУ

17
ПАС АТ1
500
MU MU
Представление входных данных для экспертной системы
Фрагмент таблицы информационных потоков
Отправитель Получатель Информация Протокол
ПАС РУ 500 ИЭУ 1 (ДЗЛ W1C) Поток мгновенных значения SV
токов и напряжений
ПАС АТ1 ИЭУ 2 (ДТЗ АТ1) Поток мгновенных значения SV
токов и напряжений
ПДС В-W1C ИЭУ 1 (ДЗЛ W1C) Положение выключателя В-W1C GOOSE
ИЭУ 1 (ДЗЛ W1C) ПДС В-W1C Сигнал срабатывания защиты GOOSE
ЛЭП
ПДС В-АТ1C ИЭУ 2 (ДТЗ АТ1) Положение выключателя В-АТ1C GOOSE

Фрагмент таблицы анализа известных уязвимостей компонентов подсистемы РЗА ЦПС

© Карантаев В.Г., Карпенко В.И.

Компонент Составная Уязвимости Комплексность Рейтинг Вид доступа Киберугрозы
подсистемы часть CVSS
АРМ Аппаратное CVE-2019- Low 6.8 (V 3.1) Сетевой Модификация кода
обеспечение 6322 BIOS
(BIOS UEFI) CVE-2019- Low 7.2 (V 3.1) Сетевой Модификация кода
6321 BIOS
CVE-2019- Low 6.8 (V 3.1) Физический Модификация кода
18913 BIOS
CVE-2012- Low 7.2 (V 2.0) Физический Подмена загружаемой
5218 (Локальный) ОС

18
 Описание ЭС для МУиН
Эксперт
Инженер знаний

Машина Информация об объекте,

Подсистема Лингвистический Книги, ан. налы
логического последствия, воздействия,
объяснений процессор предметной области
вывода результаты реализации
угроз, нарушитель
Техническая
документация
объекта (*.scd)

Интерфейс
Интерфейс пользователя База знаний (БЗ) инженера
знаний
База CVE

© Карантаев В.Г., Карпенко В.И.

База CWE
Система Уязвимости, угрозы,
Редактор БЗ
управления БЗ тактики, техники

Пользователь БДУ
ФСТЭК

ICS Mitre
ATT&CK

19
База
САРЕС
 Описание ЭС для СППР
Эксперт
Инженер знаний
Машина Информация об объекте,
Подсистема Лингвистический Книги, ан. налы
логического последствия, воздействия,
объяснений процессор предметной области
вывода результаты реализации
угроз, нарушитель
Техническая
документация
объекта (*.scd)

Интерфейс
Интерфейс
База данных База знаний (БЗ) инженера
пользователя
знаний
База CVE

© Карантаев В.Г., Карпенко В.И.

Логи База CWE
Система Уязвимости, угрозы,
Industrial Редактор БЗ
управления БЗ тактики, техники
IDS
API
Пользователь загрузки
БДУ
БДУ
ФСТЭК
ФСТЭК

ICS Mitre
ATT&CK

API

20
База
загрузки
САРЕС
САРЕС
 Разработка прототипа

Написано на java

Модель угроз Pellet Файл онтологии

Машина
Система
Результат логического База знаний (БЗ) Редактор БЗ
управления БЗ
вывода

© Карантаев В.Г., Карпенко В.И.

Файл Файлы
База CVE описания экспертн.
системы знаний

21
 Проект онтологии
Изв.
уязвимост Угроза
и АО (CVE) 1
Результат
Воздействи
реализации
е1
Угроза угрозы 1
ZeroDay 2 Последствие 1
АО
Аппаратное
обеспечение
Результат
Воздействи
реализации
е2
угрозы 2
Изв.
уязвимост Угроза
создает
и Сис. ПО 1
(CVE) Последствие 2
Результат
Воздействи
Угроза реализации
е3
2 угрозы 3
Системное ПО ZeroDay
Сис. ПО

© Карантаев В.Г., Карпенко В.И.

Компонент
подсистемы Результат
Воздействи Последствие 3
реализации
Изв. Угроза е4
угрозы 4
уязвимост 1
и Приклад.
Прикладное ПО (CVE)
ПО Угроза
2
ZeroDay
Приклад.
ПО

Угроза
1
Результат
Воздействи
реализации Приводит_к Последствие N
Угроза еN
Сетевой стек угрозы N
Уязвимост 2

22
и
протокола
 Онтограф в Protégé 5.5.0

© Карантаев В.Г., Карпенко В.И.

23
 Частная модель угроз
В результате работы написанного кода и данных, полученных на вход программы
была воспроизведена модель угроз для компонентов подсистемы РЗА ЦПС.
Результат приведен на рисунке ниже. В итоге при двух ИЭУ и их уязвимостях
получено 210 вариантов угроз

© Карантаев В.Г., Карпенко В.И.

24
 Уникальность текущих результатов
• Сформирована гипотеза о недостаточности обеспечения классических свойств подсистемы
РЗА для ее устойчивого функционирования;

• Впервые предложен способ моделирования угроз кибербезопасности на основе проекта

методики МУиН ФСТЭК России 2020 с учетом отраслевой специфики электроэнергетики;

• Задействованы подходы инженерии знаний для моделирования угроз кибербезопасности

подсистемы РЗА ЦПС;

© Карантаев В.Г., Карпенко В.И.

• Разработан прототип экспертной системы, учитывающий возможную комбинаторику в
детерминированных условиях;

• Результаты данного исследования имеют возможность масштабирования при дальнейшем

развитии за счет разработки референсных моделей угроз для каждого типа компонента
подсистемы РЗА.

25
 Продолжение следует…
• Изучение угроз кибербезопасности вторичных подсистем ЦПС
помимо РЗА;
• Изучение угроз кибербезопасности ИЭУ разных архитектурных
принципов построения;
• Сравнительный анализ влияния угроз кибербезопасности на

© Карантаев В.Г., Карпенко В.И.

функционирование ЦПС в зависимости от выбранной архитектуры
построения в соответствии с СТО отраслевых организаций;
• Организация и проведения исследований по полунатурному
моделированию угроз кибербезопасности ЦПС.

26
Спасибо за внимание

© Карантаев В.Г., Карпенко В.И.

To be continued…

27