IEC 61850 Security: স্মার্ট গ্রিড এবং সাবস্টেশন অটোমেশনের সাইবার নিরাপত্তা প্রোটোকল!

IEC 61850 মূলত একটি comprehensive standard যা substation-এর ভেতরে এবং control center-এর সাথে communication-এর জন্য designed। এটি traditional protocol যেমন Modbus, DNP3-এর alternative হিসেবে এসেছে, যেগুলো একটি ভিন্ন যুগের জন্য তৈরি হয়েছিল।

এর architecture তিনটি প্রধান layer-এ বিভক্ত। Station Level-এ থাকে HMI, gateway, এবং SCADA front-end। Bay Level-এ থাকে protection relay, bay controller, এবং metering IED। Process Level-এ থাকে merging unit, smart sensor, এবং actuator যা সরাসরি high-voltage equipment-এর সাথে যুক্ত।

এই layer-গুলোর মধ্যে communication তিনটি প্রধান protocol-এর মাধ্যমে হয়। MMS বা Manufacturing Message Specification client-server communication-এর জন্য — যেমন HMI থেকে IED-তে command, বা IED থেকে SCADA-তে measurement।

GOOSE বা Generic Object Oriented Substation Event peer-to-peer fast messaging-এর জন্য। যখন একটি protection relay fault detect করে, এটি অন্যান্য relay-কে GOOSE message-এর মাধ্যমে instantly জানায় (typical latency ৪ ms-এর কম)। এই speed circuit breaker tripping-এর জন্য অপরিহার্য।

Sampled Values বা SV merging unit থেকে protection IED-তে real-time analog measurement (current, voltage waveform) পাঠানোর জন্য ব্যবহৃত হয়। প্রতি সেকেন্ডে ৪০০০-৪৮০০টি sample পাঠানো হয়, যা টেকনোলজির দিক থেকে চ্যালেঞ্জিং।

IEC 61850 এই protocol-গুলোকে object-oriented data model-এর মাধ্যমে standardize করে। একটি common information model-এর কারণে বিভিন্ন vendor-এর equipment interoperate করতে পারে — যা smart grid-এর সবচেয়ে বড় অর্জনগুলোর একটি।

IEC 61850-এর প্রথম version (২০০৩) cybersecurity-কে কেন্দ্রীয় বিষয় হিসেবে treat করেনি। এটি ছিল ইতিহাসের একটি সাধারণ ভুল — OT environment-কে "isolated" ধরে নেওয়া হয়েছিল এবং security ছিল আগের চিন্তা।

ফলশ্রুতিতে, base protocol-এ কোনো built-in authentication, integrity protection, বা encryption ছিল না। MMS message plaintext-এ travel করত, GOOSE এবং SV-এর কোনো cryptographic protection ছিল না।

এই গ্যাপ purnāl করার জন্য IEC 62351 standard family তৈরি করা হয়েছে। বিশেষভাবে IEC 62351-3 (TLS for MMS), IEC 62351-6 (GOOSE এবং SV security), এবং IEC 62351-9 (key management) IEC 61850 implementation-এ security যোগ করে।

কিন্তু adoption ধীর। অনেক utility-এ legacy IED রয়েছে যেগুলো IEC 62351 support করে না। নতুন installation-এও cost, complexity, এবং performance impact-এর কারণে অনেক সময় security feature disable করা থাকে।

GOOSE spoofing সবচেয়ে dangerous attack-গুলোর একটি। GOOSE message-এ originator-এর কোনো cryptographic authentication নেই (default-এ)। একজন attacker যদি substation LAN-এ access পায়, সে craft করা GOOSE message inject করতে পারে যা মনে হবে একটি legitimate protection relay পাঠাচ্ছে।

এই false message অন্য relay-কে breaker open বা close করতে trigger করতে পারে। ভুল breaker operation transmission line trip, generator separation, বা cascade failure ঘটাতে পারে। ২০১৯ সালে গবেষকরা একটি testbed-এ এই ধরনের attack demonstrate করেছিলেন।

GOOSE replay attack-এ legitimate GOOSE message capture করে পরে replay করা হয়। যদিও GOOSE-এ stNum এবং sqNum field থাকে যা replay detect করার কথা, অনেক implementation-এ এই check inadequate।

Sampled Values manipulation আরো subtle কিন্তু সমান বিপজ্জনক। SV stream-এ inject করা false data protection relay-কে ভুল operate করাতে পারে। উদাহরণস্বরূপ, একটি transformer-এর actual current rating-এর চেয়ে বেশি দেখানো হলে protection trip হয়ে যাবে, যদিও আসলে কোনো fault নেই।

MMS-এ traditional attack — credential theft, unauthorized command, এবং data exfiltration — সবই সম্ভব যদি TLS enable না থাকে। অনেক IED-তে default credential থাকে যা change করা হয়নি।

PRP/HSR network redundancy protocol-এ attack করে network availability disrupt করা যায়। এই protocol-এ duplicated frame হ্যান্ডলিংয়ে vulnerability পাওয়া গেছে যা DoS-এর সুযোগ দেয়।

Time synchronization attack-ও critical। IEC 61850 system-এ PTP বা IRIG-B দিয়ে time sync হয়। যদি time spoofing হয়, তবে sequence of events recording অর্থহীন হয়ে যায় এবং কিছু protection scheme malfunction করতে পারে।

IEC 62351-3 MMS-এর জন্য TLS-based protection প্রদান করে। সমস্ত TCP-based 61850 communication-কে TLS দিয়ে wrap করা হয়, যাতে confidentiality এবং integrity উভয়ই নিশ্চিত হয়।

IEC 62351-6 GOOSE এবং SV-এর জন্য authentication mechanism দেয়। প্রতিটি message-এ digital signature বা MAC যোগ করা হয়, যাতে spoofing প্রতিরোধ হয়। চ্যালেঞ্জ হলো — GOOSE-এর latency requirement (৪ ms) অত্যন্ত strict, এবং cryptographic operation এই budget exceed করতে পারে।

সর্বশেষ revision-এ Group Domain of Interpretation বা GDOI-based group key management প্রস্তাবিত হয়েছে, যা multicast GOOSE/SV-এর জন্য efficient। তবে real-world deployment এখনো সীমিত।

IEC 62351-8 role-based access control define করে। বিভিন্ন user role যেমন operator, engineer, security administrator-এর জন্য আলাদা permission set।

IEC 62351-9 PKI infrastructure এবং key management cover করে। Substation environment-এ certificate lifecycle management একটি জটিল operational challenge।

IEC 62351-11 XML data file (যেমন SCD file)-এর জন্য digital signature requirement specify করে। Configuration file-এর integrity protection একটি গুরুত্বপূর্ণ defense।

একটি secure IEC 61850 substation-এর network architecture কয়েকটি principle-এর উপর ভিত্তি করে design করতে হবে।

Process bus এবং station bus আলাদা physical network হওয়া উচিত। Process bus SV traffic বহন করে যা latency-sensitive এবং volume-heavy। Station bus MMS এবং less critical traffic-এর জন্য।

Substation-এর internal network এবং WAN-এর মধ্যে strict separation থাকতে হবে। SCADA gateway DMZ-এ থাকা উচিত যা substation এবং control center-এর মধ্যে বসে।

Inter-substation communication (যেমন teleprotection) dedicated, encrypted channel-এ হওয়া উচিত। MPLS-TP বা dedicated fiber সাধারণত ব্যবহৃত হয়। IEC 61850-90-5-এর R-GOOSE এবং R-SV protocol routable wide-area communication-এর জন্য designed।

VLAN segmentation এবং proper VLAN tagging GOOSE/SV traffic-কে isolate করে। কিন্তু VLAN security alone-এ নির্ভর করা ভুল — VLAN hopping attack সম্ভব।

Industrial firewall যেমন Hirschmann EAGLE, Siemens SCALANCE, এবং Cisco IE series IEC 61850 protocol-aware। এগুলো deep packet inspection করতে পারে এবং anomalous traffic block করতে পারে।

Traditional substation automation থেকে smart grid-এ IEC 61850-এর role বিস্তৃত হয়েছে। Distribution automation, distributed energy resources, এবং microgrid management — সব ক্ষেত্রেই এই standard ব্যবহৃত হচ্ছে।

R-GOOSE এবং R-SV (IEC 61850-90-5) IP-based wide-area communication enable করে। এর fan-out factor অনেক বেশি — একটি message hundred substation-এ পৌঁছাতে পারে। এই scale-এ security চ্যালেঞ্জ exponentially বাড়ে।

PMU (Phasor Measurement Unit)-এর সাথে IEC 61850 integration wide-area protection এবং control enable করে। কিন্তু GPS-based time sync vulnerability এই system-কে spoofing-এর কাছে exposed করে।

EV charging infrastructure-এ IEC 61850 (Edition 2.1) integrated হয়েছে। Vehicle-to-Grid communication-এর সাথে multiple cybersecurity consideration আসছে।

Ukraine power grid attack ২০১৬ (Industroyer) IEC 61850-এর সাথে directly যুক্ত। Industroyer ম্যালওয়্যারে IEC 60870-5-101/104 এবং IEC 61850 — উভয় protocol-এর module ছিল। আক্রমণকারীরা substation IED-এর সাথে direct communication establish করে breaker open commands পাঠিয়েছিল।

Industroyer2 (২০২২) Ukraine-এর বিরুদ্ধে ব্যবহৃত next generation — এতে IEC 60870-5-104 protocol-এ focused module ছিল কিন্তু analyst-রা IEC 61850 capability-ও suspect করেছিলেন।

বাংলাদেশের power sector-এ এখন পর্যন্ত কোনো confirmed IEC 61850-targeted attack publicly disclosed হয়নি। কিন্তু regional tension এবং critical infrastructure-এর geopolitical importance-এর কারণে threat real।

Academic research-এ অসংখ্য vulnerability demonstration হয়েছে। Idaho National Laboratory, KTH (Sweden), এবং অন্যান্য prominent institution বিভিন্ন IED-এ practical attack publish করেছে।

২০২১ সালে একটি famous research-এ Rapid7-এর গবেষকরা multiple major vendor-এর protection relay-তে CVE-quality vulnerability খুঁজে পেয়েছিলেন — buffer overflow, authentication bypass, এবং hardcoded credential।

IEC 61850 environment-এ penetration testing extremely carefully করতে হয়। Production substation-এ কোনো intrusive test করা উচিত নয় — শুধু testbed বা hardware-in-the-loop environment।

OPENMUC এবং libIEC61850 open-source library দিয়ে test framework তৈরি করা যায়। এগুলো ব্যবহার করে custom GOOSE/MMS message craft করা সম্ভব।

Specialized tool যেমন GOOSE Sniffer, smv_pub/sub IEC 61850 traffic analysis এবং injection capability প্রদান করে। কিছু commercial tool যেমন Triangle MicroWorks IED test set comprehensive testing capability দেয়।

Vulnerability scanning-এ Nessus, Rapid7 Nexpose-এর কিছু ICS-aware plugin আছে। বিশেষায়িত scanner যেমন Tenable.ot, Claroty CTD আরো comprehensive coverage প্রদান করে।

Threat modeling exercise নিয়মিত করতে হবে। STRIDE বা PASTA framework apply করে substation-specific threat scenario document করুন।

প্রথমত, IEC 62351 compliance prioritize করুন। নতুন procurement-এ এটি mandatory requirement হওয়া উচিত। বিদ্যমান installation-এ retrofit possible কিনা assess করুন।

দ্বিতীয়ত, network segmentation rigorously implement করুন। Process bus, station bus, এবং WAN access-এর জন্য আলাদা security zone। Industrial firewall এই boundary-তে deploy করুন।

তৃতীয়ত, default credential ১০০% change করুন। Every IED, every gateway, every workstation-এ unique, strong credential থাকতে হবে। PAM solution ব্যবহার করুন privileged access management-এর জন্য।

চতুর্থত, OT-aware monitoring deploy করুন। Claroty xDome, Dragos Platform, এবং Nozomi Networks Guardian-এর মতো সলিউশন IEC 61850 traffic decode এবং anomaly detect করতে পারে।

পঞ্চমত, patch management discipline বজায় রাখুন। Vendor security advisory subscribe করুন এবং patch testing/deployment lifecycle establish করুন। PSIRT contact maintain করুন।

ষষ্ঠত, physical security অবহেলা করবেন না। অনেক attack vector physical access-এর সাথে শুরু হয়। Substation-এ access control, video monitoring, এবং tamper detection essential।

সপ্তমত, regular cybersecurity exercise চালান। GridEx (NERC-organized) মতো large-scale exercise-এ participate করুন। Tabletop scenario-এ team-কে train করুন।

অষ্টমত, supply chain security focus করুন। IED, relay, এবং gateway procurement-এ vendor-এর security maturity assess করুন। ISO 27001, IEC 62443 certification check করুন।