Applying cybersecurity for IEC 60870-5-104 communication between control station and substation

IEC 60870-5-104 is a communication protocol used in telecontrol of electric power systems. Despite the critical nature of electric power systems IEC 60870-5-104 itself does not implement security measures such as encryption and authentication making it vulnerable for cybersecurity threats such as eavesdropping and spoofing. The intention of this thesis is to investigate three techniques to provide security for IEC 60870-5-104 communication in different layers of networking and data communication. The investigated techniques are IEC 62351-3 standard providing TLS protection for IEC 60870-5-104, IPsec VPN tunnel, and an application layer authentication mechanism for IEC 60870-5-104 defined by IEC 62351-5 standard. Investigations were based on literature review and empiric testing. Literature review focused on standards and definitions defining the protection mechanisms and IEC 60870-5-104 with the support of field specific literature. Also researches regarding attack simulations against IEC 60870-5-104 were studied. In the empiric investigations all protection mechanisms were tested and demonstrated using a SCADA server running on a virtual machine and a physical RTU. Wireshark packet analyzer was used for analyzing traffic when IEC 60870-5-104 communication was protected using the investigated techniques. An understanding was formed how IEC 60870-5-104 can be protected on different layers of networking and data communication using the investigated protection techniques. Each technique acts independently from each other enabling protection of IEC 60870-5-104 communication in multiple layers. Solutions to be used for protecting IEC 60870-5-104 depends on the protection requirements, network architectural restrictions, and support of the used equipment. Important aspects regarding protection of transferred data is to provide end-to-end protection between endpoints and to isolate access to sensitive control system endpoints from untrusted networks directly or indirectly. TLS provides protection for transferred application data but does not provide network level isolation of endpoint hosts. Therefore, the most suitable use case for TLS would be to protect IEC 60870-5-104 communication in a trusted network. The advantage of an IPsec tunnel is the isolation of endpoint networks and data exchanged between them making it most suitable for protecting T104 communication in untrusted networks. IEC 62351-5 is not a networking technique but a set of functionalities added in the application layer of IEC 60870-5-104. As IEC 62351-5 is implemented in the application layer it can provide security measures which cannot be achieved by the protection techniques affecting in the lower layers. The most important security measure that IEC 62351-5 adds is linking and authenticating application layer users between a controlling station and a controlled station which provides security for application processes.IEC 60870-5-104 on sähkönjakelujärjestelmien kaukokäytössä käytetty kommunikaatioprotokolla, joka ei itsessään toteuta tietoturvamekanismeja kuten salausta tai autentikaatiota. Tämä tekee siitä haavoittuvan erinäisille tietoturvauhkille, esimerkiksi salaamattoman kommunikaation sisältöä voidaan salakuunnella ja viestien alkuperä väärentää. Tämän diplomityön tarkoituksena on tutkia kolmea tekniikkaa IEC 60870-5-104 -kommunikaation tietoturvan parantamiseksi, joista kukin vaikuttaa tiedonsiirron eri kerroksissa. Tarkastellut menetelmät ovat IEC 62351-3 -standardin tarjoama TLS-suojaus IEC 60870-5-104 -protokollalle, IPsec VPN -tunnelointi sekä IEC 62351-5 -standardin määrittelemä autentikaatiomekanismi IEC 60870-5-104 -protokollalle. Tutkimusmenelminä käytettiin kirjallisuuskatsausta sekä empiiristä tutkimusta. Kirjallisuuskatsauksessa perehdyttiin tietoturvatekniikoita ja IEC 60870-5-104 -protokollaa määritteleviin standardeihin sekä käytettiin tukena alan kirjallisuutta. IEC 60870-5-104 -protokollan tietoturvaan perehdyttiin hyökkäyssimulaatioita käsittelevien tutkimusten kautta. Empiirisissä tutkimuksissa jokaista tietoturvatekniikkaa testattiin ja demonstroitiin virtuaalialustalla pyörivän SCADA-palvelimen ja fyysisen RTU-laitteen muodostamassa testiympäristössä. Wireshark-pakettianalysaattoria käytettiin laitteiden välisen IEC 60870-5-104 -kommunikaation suojauksen analysointiin. Diplomityön tuloksena saavutettiin käsitys siitä, miten tutkituilla suojaustekniikoilla voidaan suojata IEC 60870-5-104 -kommunikaatiota tiedonsiirron eri kerroksissa. Kukin tekniikka on toisistaan riippumaton, mikä mahdollistaa IEC 60870-5-104 -kommunikaation suojauksen usealla eri tiedonsiirron tasolla. Kommunikaation suojaukseen käytetyn tekniikan valinta riippuu suojauksen vaatimuksista, verkkoarkkitehtuurisista rajoitteista sekä laitteiston tukemista tekniikoista. Tärkeä näkökulma koskien siirrettävän tiedon suojausta on suojauksen toteuttaminen koko matkalta lähettäjältä ja vastaanottajalle. Lisäksi kriittisiin ohjausjärjestelmiin ei tulisi olla suoraa tai epäsuoraa yhteyttä epäluotettavista verkoista. TLS tarjoaa applikaatiodatan suojausta, mutta ei luo suojaavaa verkkokerrosta kommunikoiville laitteille. Siten TLS soveltuu parhaiten IEC 60870-5-104 -kommunikaation suojaamiseen luotetuissa verkoissa. IPsec-tunnelointi puolestaan luo suojaavan verkkokerroksen kahdelle yhdistettävälle sisäverkolle ja niiden väliselle tiedonsiirrolle yhdistävän verkon näkökulmasta soveltuen tiedonsiirron suojaukseen avoimissa verkoissa. IEC 62351-5 -standardin implementaatio ei ole tiedonsiirtotekniikka vaan applikaatiotason tietoturvaa parantava toiminnallisuus, jolla voidaan linkittää ja autentikoida valvomo- ja ala-asemalaitteiden välisiä käyttäjiä, mitä ei voida toteuttaa matalammilla tiedonsiirtokerroksilla