A villamosenergia-rendszer méltán keveset emlegetett elemei az alállomások, az alállomásokon pedig a védelmek, amiknek elsődleges feladata, hogy megvédjék a nagyobb értékű alállomási berendezéseket (főként transzformátorokat) attól, hogy a feszültség-szint változások miatt károk keletkezzenek ezekben.

Ahogy minden más berendezés a villamosenergia-rendszerben, úgy a védelmeknél is egyre nagyobb a digitális berendezések részaránya, ezek a digitális védelmek pedig célpontjai lehetnek kibertámadásoknak. Ezt már láttuk legkésőbb 2016-ban, amikor a Sandworm néven (is) ismert, szinte már bizonyítottan orosz (katonai) titkosszolgálati hátterű APT-csoport az Ukrenergo ukrán TSO Kijev melletti alállomása ellen indított kibertámadást. Ennek során egyes elemzők (elsősorban Joe Slowik) szerint a támadás egyik fő célja a digitális védelmek kiiktatása volt - ez végül nem sikerült, egy már-már banális programozás hiba miatt.

A mai poszt tárgya az a Mandiant/Google Cloud munkatársai által írt tanulmány, aminek egyetlen témája a villamosenergia-rendszer alállomási berendezéseinek kiberbiztonsága. A cikkben bemutatják az alállomási berendezések alapvető eszköztípusait, a jellemző alállomási hálózati architektúrát, a kommunikáció egyes rétegeit, a digitális védelmek működését, a támadók jellemző technikáit és a védelmek sérülékenységeinek kihasználási példáit. Külön fejezet foglalkozik azzal, a támadók hogyan lehetnek képesek támadni a védelmek TR logikáját és azzal is, hogy a mik a leggyakoribb tévedések az alállomási környezetekben. Végül pedig bemutatnak egy Top10 intézkedést, amivel javítani lehet az alállomási digitális rendszerek biztonsági helyzetet.

A "Protecting the Core: Securing Protection Relays in Modern Substations" című publikáció a Google weboldalán érhető el.