La ciberseguridad en los sistemas eléctricos de potencia

1.260

Fuente: http://www.emb.cl . www.kaspersky.com

Dada la creciente convergencia entre los sistemas informáticos y las tecnologías operacionales, la ciberseguridad se ha transformado en un tema de suma importancia para el sector de las empresas eléctricas.

Las Políticas de Ciberseguridad publicadas, entregan varios lineamientos en este campo, como: gestión de riesgos, equipos de respuesta a incidentes (CSIRT) sectoriales, cooperación y generación de una cultura de Ciberseguridad, y desarrollo de un polo industrial en este ámbito. Basado en estas directrices y en la clasificación que hace acerca de los sectores que componen las Infraestructuras Críticas de la Información (ICI), donde uno de ellos es el de la Energía,¿qué duda cabe comenzar a ver la Ciberseguridad aplicada al sector eléctrico como un pilar clave en materia de planificación, diseño y operación, que hoy en día no puede obviarse?

Se observa con mucha atención lo que viene ocurriendo hace un tiempo a nivel mundial, acerca de las potenciales amenazas y ciberataques a los sistemas eléctricos. Un caso emblemático y de estudio que deberíamos analizar son los ciberataques de hace un par de años a los sistemas de la red eléctrica en la zona oeste de Ucrania, operada por empresas privadas de transmisión y distribución eléctrica.

Durante el primer ciberataque (diciembre de 2015), cayeron varias subestaciones eléctricas dejando cerca de 700.000 residentes sin electricidad por cerca de siete horas. Expertos indican que en este incidente se utilizó una variante del malware “KillDisk”, la que incluía funcionalidades adicionales que permitían al troyano de puerta trasera “BlackEnergy” no solo borrar archivos del sistema para evitar cualquier posibilidad de reinicio, sino que también portaba códigos específicos para sabotear sistemas industriales.

“Industroyer”, el primer malware modular y altamente personalizable que podría adaptarse a cualquier infraestructura crítica como suministro de luz, agua y gas, es el responsable de que Ucrania se quedara a oscuras nuevamente en diciembre de 2016. Una especie de ciber-arma que no se veía desde Stuxnet, Industroyer es una amenaza particularmente peligrosa, dado que es capaz de controlar los interruptores de una subestación eléctrica directamente, utilizando protocolos de comunicación industrial implementados mundialmente (estándares IEC 60870-5-101, IEC 60870-5-104, IEC 61850, y OLE for Process Control Data Access o OPC DA).

Motivaciones de un ciberataque

Entonces, debemos reflexionar sobre las motivaciones que originan la causa-raíz de cualquier tipo de ciberataques a infraestructuras críticas. Después de haber estudiado varios casos y juicios de especialistas, se pueden distinguir, al menos, tres tipos de causa-raíz que explican una buena parte de los ciberataques industriales:

 Dinero (por ejemplo, fraude electrónico, ciberespionaje industrial, clonación de tarjetas, entre otras actividades manejadas por el cibercrimen organizado a nivel mundial). 

 Poder (sabotaje informático, ciberespionaje gubernamental, ciber-armas usadas contra Estados). Atribuido a Estados que desean ejercer control y poder sobre otros. 

 Subversión (como hacktivismo y ciberterrorismo). Por lo general, se trata de grupos que buscan desestabilizar gobiernos o el sistema económico en pro de sus ideales. 

En los próximos años, los países deberán estar preparados a nivel tecnológico y legal, considerando muy bien que los ataques a las infraestructuras críticas vendrán por estos tres frentes. Asimismo, la importancia de entender hoy los sistemas ciber-físicos como el resultado de dotar a los componentes/objetos físicos de capacidades de computación y de comunicación para convertirlos en objetos inteligentes que pueden cooperar entre ellos, formando ecosistemas distribuidos y autónomos, permitirá también saber cómo protegerlos y hacia dónde debemos evolucionar de manera segura en campos tan disímiles como Smart Grid, Smart Transport, Smart Mining, etc.

Los sistemas ciber-físicos unen el Control, la Computación y las Comunicaciones en una sola Infraestructura; estas serán las infraestructuras críticas del mañana. Un ejemplo de ello es la recientemente inaugurada línea 6 del Metro de Santiago de Chile, cuyos trenes no requieren de un conductor humano para transportar pasajeros.

Vulnerabilidad de los PACS de
las infraestructuras eléctricas al
enfrentarse a amenazas de seguridad
de la información

El alto nivel de apertura e integración de los sistemas de energía eléctrica, en combinación con la incorporación de las TI y de Internet en la vida diaria, ha creado nuevos desafíos en el sector de la energía eléctrica. Los sistemas de protección y control automatizados actuales para las infraestructuras eléctricas son sistemas informáticos distribuidos e integrados que se comunican mediante protocolos abiertos. En dichos sistemas, la ciberseguridad no es una prioridad ya que los sistemas de control de energía eléctrica se han construido como soluciones aisladas. Sin embargo, para los sistemas de control actuales, integrados de forma global y conectados con servicios corporativos, hay grandes riesgos de ciberseguridad.

Según la norma IEC 62351 de «Gestión de sistemas de potencia e intercambio de información asociada. Seguridad de datos y comunicaciones», se resaltan los siguientes problemas de seguridad de la información en las instalaciones de energía eléctrica y sus causas

Comunicaciones abiertas

Líneas de comunicación abiertas y desprotegidas entre los componentes de los sistemas de protección y control, así como entre las infraestructuras energéticas.

Falta de concienciación sobre la ciberseguridad entre los empleados

Un número limitado del personal técnico mantiene un gran número de dispositivos que normalmente se distribuyen en un territorio y funcionan sin supervisión
constante. El personal de las instalaciones no suele tener un conocimiento básico
sobre ciberseguridad:

No se siguen los requisitos de seguridad

Los requisitos de seguridad de la información se tienen en cuenta en raras ocasiones en el diseño del dispositivo o de software y en los procesos de desarrollo para infraestructuras tecnológicas.

Complejidades de control de acceso del
contratista

Es frecuente hacer uso de contratistas para determinados tipos de trabajo de
mantenimiento. Como resultado, es muy importante proporcionar solo acceso temporal a una cantidad de equipos limitada que no tenga influencia en otros
componentes del sistema. La cancelación del acceso al finalizar el trabajo es fundamental.

Vida útil prolongada de los componentes
vulnerables

La vida útil de los dispositivos y sistemas de protección y control es de 20 a 30 años; los sistemas no seguros instalados actualmente solo se sustituirán en un par de décadas aproximadamente. La actualización parcial suele ser muy complicada, ya que las soluciones de seguridad (por ejemplo, las que utilizan cifrado) suelen ser incompatibles con las soluciones vulnerables estándar.

Soluciones técnicas para la prevención
de amenazas de ciberseguridad, la
detección y la mitigación

La IEC 62351 «Gestión de sistemas de potencia e intercambio de información
asociada. Seguridad de datos y comunicaciones» describe en detalle las
posibles herramientas para la prestación de seguridad de la información compleja en instalaciones de energía eléctrica. Sin embargo, la mayoría de las soluciones propuestas solo se pueden implementar con una sustitución total de los dispositivos de automatización, ya que requieren modificaciones del procedimiento del protocolo de comunicación y formato. Aunque una implementación total de IEC 62351 parece una posibilidad remota dadas las circunstancias, parte de los requisitos pueden cumplirse y aplicarse a los sistemas modernos. Kaspersky Industrial CyberSecurity (KICS) es una solución integral para infraestructuras industriales que cumple con estos requisitos.

La solución consta de dos componentes:
KICS for Nodes: un componente para la protección de endpoints de red industriales (como las estaciones de ingeniería, las estaciones de operadores, los servidores SCADA)
KICS for Networks: un componente para la supervisión de red industrial con comprobación de la integridad de red y capacidades exhaustivas de inspección del protocolo de aplicación (IEC 60870-5-104, IEC 61850, etc. para infraestructuras de energía eléctrica)

KICS for Nodes y KICS for Networks:
Un ejemplo de implementación en
una subestación de energía eléctrica
moderna

Un sistema de protección y control protegido incluye dos segmentos LAN de topología de anillo. El primer segmento de subestación de energía eléctrica es el bus de estación (según la IEC 61850), que proporciona comunicaciones entre IED. Además, los bus de subestación, los controladores de subestación y las pasarelas telemétricas se utilizan para la interacción informativa con mayores niveles de control de envío. El segmento
LAN proporciona acceso al equipo del sistema de protección y control mediante
software de ingeniería. Puede ofrecerse acceso al servicio tanto de forma local como remota. El acceso al servicio local se proporciona utilizando un notebook conectado directamente a IED o a la LAN del bus de estación. El acceso al servicio también puede realizarse desde una estación de trabajo remota. Las comunicaciones rápidas entre nodos de red durante el funcionamiento estable se llevan a cabo de acuerdo al protocolo IEC 61850 MMS. Las comunicaciones de servicio relacionadas con la parametrización de dispositivos del sistema de protección y control se establecen bajo los protocolos de aplicación interna del fabricante del equipo.

El segmento LAN físico del bus CAN es una red de anillo formada por dos conmutadores conectados. Todos los dispositivos se conectan a los conmutadores como nodos dobles adjuntos (DAN). Por lo tanto, no existe un punto único de fallo en el segmento que proporciona un mayor nivel de fiabilidad de red. Los IED cuentan con conmutadores integrados y se combinan en cadenas. Los extremos de las cadenas se conectan a los conmutadores de red de anillo; por lo tanto, el tráfico entre dispositivos de una cadena no se transmite a través de los conmutadores de red de anillo. El control de red de topología de anillo se ejecuta
mediante el RSTP. El conmutador de red está incluido para proporcionar acceso
de servicio remoto a la red industrial mediante una VPN.

El segundo segmento (segmento de red del operario) también se representa mediante una topología de red de anillo designada para las estaciones de trabajo de operadores y la interacción del servidor del sistema de control de procesos.

La interacción con el centro de control de red y el operador del sistema se proporciona directamente a través de un controlador de subestación conectado al sistema de automatización (consulte la imagen n.º 3). El intercambio se realiza a través del protocolo IEC 60870-5-104.

Se requiere la instalación de KICS for Networks en cada segmento de la red
seleccionada, con el fin de proporcionar una supervisión completa de la infraestructura de red tecnológica. Por tanto, deben instalarse tres servidores de
KICS for Networks para el diagrama especificado: uno para el segmento del bus de estación, otro para el segmento de red del operador y otro para la línea de comunicación a niveles superiores de control. Para conectar los servidores de KICS for Networks a la infraestructura, se requiere el cambio de la reconfiguración
del equipo para enviar todo el tráfico de SPAN de cada segmento de red al servidor correspondiente.

El servidor de KICS for Networks se conecta a los puertos de SPAN de los
conmutadores de red. Esta configuración ofrece oportunidades de recibir solo
tráfico industrial, sin afectar al proceso industrial. KICS for Networks procesa el
tráfico industrial y detecta eventos sospechosos. Los datos asociados a los eventos registrados se cifran y se almacenan de forma segura. Además, los eventos se transmiten a través de un canal cifrado a Kaspersky Security Center,
proporcionando así a los especialistas en seguridad una lista final de eventos
detectados.

El software de KICS for Nodes deberá instalarse en cada host industrial con el fin
de proteger la infraestructura de los equipos que ejecuten el SO Windows. KICS
for Nodes también envía los eventos detectados al servidor de Kaspersky Security Center. Los host industriales deben contener una interfaz de red adicional para conectarse al segmento de la red de control.

Todas las comunicaciones de la red de control están cifradas. En caso de fallo
en la red de control, los componentes de KICS for Networks y KICS for Nodes continuarán funcionando en el modo independiente. Los datos recopilados se
transmiten a Kaspersky Security Center cuando se restablezca el funcionamiento
del segmento de la red.

LICS admite la integración con sistemas SIEM. Kaspersky Security Center organiza
un canal cifrado con el sistema SIEM y transfiere eventos configurados a SIEM (HP
ArcSite, IBM QRadar y otros a través del formato Syslog). También pueden enviarse
notificaciones mediante correo electrónico y SMS.

Los comentarios están cerrados.

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More

Privacy & Cookies Policy