Actualidad Info Actualidad

Entender los riesgos: ciberseguridad para la red eléctrica actual

Redacción Energía de Hoy16/10/2017
925
Imagen

Por Enric Vinyes. Automation & Advanced Grid Solutions Marketing & Business Development Manager. Schneider Electric Iberia

El sector eléctrico está evolucionando hacia una red de distribución moderna y automatizada.

En todos los sectores está creciendo la demanda de operaciones más digitalizadas, conectadas e integradas, así que las compañías eléctricas deben asegurar un suministro de energía fiable, con un enfoque basado en la eficiencia y en fuentes sostenibles.

Lo que está empujando este cambio es la imperiosa necesidad de mejorar el tiempo de actividad de las infraestructuras críticas de distribución de la energía. Pero a medida que las redes se fusionan y se vuelven "más inteligentes", junto a los beneficios de una mejor conectividad también aumentan los riesgos y amenazas de ciberseguridad.

Los sistemas de distribución eléctrica en Europa se construyeron originalmente pensando en una generación centralizada y cargas pasivas, no para gestionar un consumo cada vez más complejo y cambiante. Sin embargo, estamos encarando un nuevo mundo energético. Un mundo de generación energética descentralizada, fuentes renovables intermitentes como la solar y la eólica, un flujo bidireccional de energía descarbonizada, así como un creciente compromiso por parte de los usuarios.

La red está realizando una transición hacia un modelo más descentralizado, rompiendo con la distribución tradicional de energía y creando más oportunidades para que los consumidores y las empresas contribuyan a la red con energías renovables y otras fuentes de energía. Como resultado, en las próximas décadas veremos un nuevo tipo de consumidor de energía, que gestiona la producción y el uso de la energía para obtener los costes, la fiabilidad y la sostenibilidad que encajen con sus necesidades específicas.

El incremento de la energía distribuida aumenta la complejidad de la red. Está transformando el sector, que va pasando de una cadena de valor tradicional a un entorno más colaborativo. Un entorno en el que los clientes interactúan de forma dinámica con la red y con los proveedores de energía, así como con el mercado de la energía en general. Por eso, la tecnología y los modelos de negocio tendrán que evolucionar para que la industria energética pueda sobrevivir y prosperar.

La nueva red será considerablemente más digitalizada, más flexible y dinámica. Será cada vez más conectada, con mayores exigencias de rendimiento en un mundo donde la electricidad representa la mayor cuota del mix de generación. Habrá nuevos actores en el ecosistema energético, como los operadores de sistemas de transmisión (TSOs), los operadores de sistemas de distribución (DSOs), los operadores de generación distribuida, los agregadores y los prosumidores.

Regulación y cumplimiento

Las medidas de ciberseguridad deben cumplir con los estándares y con las normativas. Este enfoque beneficia al sector, aumentando la conciencia de los riesgos y los retos asociados a un ciberataque. A medida que la red eléctrica es más compleja, con la integración de recursos energéticos distribuidos y la automatización de la red de distribución, se requiere un nuevo enfoque orientado a la gestión de riesgos.

Actualmente, los stakeholders de las eléctricas están aplicando los procesos de ciberseguridad aprendidos del sector TI, lo que los está poniendo en riesgo. En una subestación, los dispositivos propietarios, una vez dedicados a aplicaciones especializadas, ahora son vulnerables. La información que describe cómo funcionan estos dispositivos está online y al alcance de cualquiera, incluyendo aquellos con malas intenciones.

Con los conocimientos adecuados, los malintencionados pueden hackear una instalación y dañar los sistemas que controlan la red. Al hacerlo, también arriesgan la economía y la seguridad de un país o región a la que sirve esa red.

Las entidades reguladoras han previsto la necesidad de un enfoque estructurado de ciberseguridad. En Estados Unidos, los requerimientos de Protección de Infraestructuras Críticas, de la Corporación de Seguridad Eléctrica Norteamericana (NERC CIP), establecen qué es necesario para asegurar el sistema eléctrico en Norteamérica. El Programa Europeo para la Protección de las Infraestructuras Críticas (EPCIP) hace lo mismo en Europa. Cada día nos enfrentamos a nuevos ataques y más complejos, algunos de los cuales están organizados por entidades estatales, lo que está llevando a una reconsideración de todo el enfoque de seguridad para el sector.

Integración IT-OT

Debido al cambio hacia plataformas de comunicación abiertas, como Ethernet e IP, los sistemas que gestionan las infraestructuras críticas se han vuelto cada vez más vulnerables. Cuando los operadores de infraestructuras críticas de las compañías eléctricas buscan la manera de asegurar sus sistemas, a menudo quieren prácticas de ciberseguridad más maduras. Sin embargo, el enfoque informático de la ciberseguridad no siempre es apropiado con las limitaciones operacionales a las que se enfrentan las compañías eléctricas.

Esto significa que las soluciones en ciberseguridad del sector TI son a menudo inadecuadas para aplicaciones de tecnología operativa (OT). Los sofisticados ataques de hoy en día saben aprovechar los servicios colaborativos, como las TI y las telecomunicaciones. A medida que las compañías eléctricas experimentan una convergencia entre TI y OT, es cada vez más necesario desarrollar equipos multifuncionales para abordar retos únicos de tecnología segura que abarquen ambos mundos.

Proteger contra las ciberamenazas actuales requiere una mayor colaboración entre ingenieros, responsables de TI y responsables de seguridad, que deben compartir sus conocimientos para identificar los posibles problemas y ataques que afectan a sus sistemas.

Evaluar, diseñar, implementar, administrar

Los expertos en ciberseguridad coinciden en que los estándares por sí mismos no aportarán el nivel de seguridad adecuado. No se tratar de haber "conseguido" un nivel de ciberseguridad. Una protección adecuada contra las ciberamenazas requiere todo un conjunto de medidas, procesos, medios técnicos y una organización apropiada.

Es importante que las compañías eléctricas tengan en cuenta cómo evolucionarán las estrategias de ciberseguridad. Se trata de mantenerse al día contra las amenazas conocidas de una manera planificada e iterativa. Contar con una buena defensa contra ciberataques es un proceso continuo y requiere un esfuerzo constante y una inversión anual recurrente. La ciberseguridad implica a personas, procesos y tecnologías. Las compañías eléctricas deben implementar un programa completo que integre una buena organización, unos procesos y unos procedimientos adecuados, para aprovechar al máximo las tecnologías de ciberseguridad.

Para establecer y mantener sus sistemas ciberseguros, las compañías eléctricas pueden seguir un enfoque basado en cuatro puntos:

1. Realizar una evaluación de riesgos
El primer paso consiste en llevar a cabo una evaluación integral del riesgo basada en amenazas internas y externas. Al hacerlo, los especialistas en OT y otros stakeholders de las compañías eléctricas podrán entender cuáles son sus puntos más vulnerables, y documentar la creación de políticas de seguridad y migración de riesgos.

2. Diseñar una política y procesos de seguridad
La política de ciberseguridad de una compañía eléctrica proporciona un conjunto de reglas a seguir. Estas deben ir encabezadas por el conjunto de estándares (ISO27k) de la Organización Internacional de Estandarización (ISO) y de la Comisión Electrotécnica Internacional, que proporcionan recomendaciones y buenas prácticas sobre gestión de la seguridad de la información. El propósito de la política de una compañía eléctrica es informar a los empleados, proveedores y otros usuarios autorizados de sus obligaciones con respecto a la protección de los activos tecnológicos y de la información. Describe la lista de activos que deben protegerse, identifica las amenazas a dichos activos, describe las responsabilidades de los usuarios autorizados y los privilegios de acceso asociados, y describe las acciones no autorizadas y la consiguiente responsabilidad en caso de violación de la política de seguridad. También es importantes contar con procesos de seguridad bien diseñados. A medida que las bases del sistema de seguridad cambian para abordar nuevas vulnerabilidades, los procesos del sistema de ciberseguridad deben ser revisados ??y actualizados regularmente, para seguir esta evolución. Una de las claves para mantener una base efectiva es realizar una revisión una o dos veces al año.

3. Ejecutar proyectos que implementen el plan de mitigación de riesgos
Es importante seleccionar una tecnología de ciberseguridad que se base en estándares internacionales, para asegurar que se puede seguir una política de seguridad apropiada y las acciones de mitigación de riesgo propuestas. Un enfoque de "seguridad desde el diseño" basado en estándares internacionales como IEC 62351 e IEEE 1686 puede ayudar a reducir aún más el riesgo, al asegurar los componentes del sistema.

4. Gestionar el programa de seguridad
Una gestión eficaz de los programas de ciberseguridad no implica sólo tener en cuenta los tres puntos anteriores, sino también la gestión de los ciclos de vida de los activos de información y comunicación. Para ello, es importante mantener una documentación rigurosa y “viva” sobre el firmware de los activos, los sistemas operativos y las configuraciones. También requiere conocer de forma exhaustiva la previsión de las actualizaciones y de la obsolescencia tecnológica, además de ser consciente de las vulnerabilidades conocidas y los parches existentes. La gestión de la ciberseguridad también requiere que ciertos eventos provoquen una evaluación, como determinados puntos en los ciclos de vida de los activos o como las amenazas detectadas.

Para las compañías eléctricas, la seguridad es asunto de todos. Los políticos y los ciudadanos son cada vez más conscientes de que la seguridad nacional depende también de que la energía eléctrica local sea robusta. Para mitigar riesgos y anticipar ataques en las redes y sistemas eléctricos no basta con instalar tecnología. Las compañías eléctricas también deben implementar procesos organizativos para hacer frente a los retos de una red descentralizada. Esto significa evaluar de forma regular y mejorar continuamente su proceso de ciberseguridad y seguridad física, para salvaguardar nuestro nuevo mundo energético.

Suscríbase a nuestra Newsletter - Ver ejemplo

Contraseña

Marcar todos

Autorizo el envío de newsletters y avisos informativos personalizados de interempresas.net

Autorizo el envío de comunicaciones de terceros vía interempresas.net

He leído y acepto el Aviso Legal y la Política de Protección de Datos

Responsable: Interempresas Media, S.L.U. Finalidades: Suscripción a nuestra(s) newsletter(s). Gestión de cuenta de usuario. Envío de emails relacionados con la misma o relativos a intereses similares o asociados.Conservación: mientras dure la relación con Ud., o mientras sea necesario para llevar a cabo las finalidades especificadasCesión: Los datos pueden cederse a otras empresas del grupo por motivos de gestión interna.Derechos: Acceso, rectificación, oposición, supresión, portabilidad, limitación del tratatamiento y decisiones automatizadas: contacte con nuestro DPD. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar reclamación ante la AEPD. Más información: Política de Protección de Datos

REVISTAS

TOP PRODUCTS

NEWSLETTERS

  • Newsletter Energía

    18/04/2024

  • Newsletter Energía

    11/04/2024

ENLACES DESTACADOS

Solar Promotion International GmbHProfei, S.L.Lisbon Energy SummitLeader AssociatesAsociación Ibérica del Gas Natural para la MovilidadiClimaEnergética XXI - Ecoconstrucción - Industria Cosmética - Omnimedia, S.L.Salón de gas renovableSolar Promotion International GmbHiENER24

ÚLTIMAS NOTICIAS

EMPRESAS DESTACADAS

OPINIÓN

Entrevista a Raúl García, director de Asealen

"En Asealen llevamos ya tres años trabajando para que el desarrollo de las instalaciones de almacenamiento sea una realidad, para que sean parte propia del proceso de descarbonización del sector energético, no solo del sector eléctrico"

ENTIDADES COLABORADORAS

OTRAS SECCIONES

SERVICIOS