Las infraestructuras energéticas, un activo estratégico que hay que proteger

El contexto geopolítico nos recuerda que proteger los sistemas de control de las infraestructuras energéticas se ha convertido en un reto estratégico. Dos son los principios que deben guiar una estrategia de ciberseguridad sólida: “zero trust” y “defense in depth”.

«Las infraestructuras energéticas están cada vez más en el punto de mira», lo que pone en riesgo la continuidad del suministro.

La pasada primavera conocimos comunicaciones que agitaron el mundo de la ciberseguridad. El 17 de abril, el Gobierno de los Estados Unidos, a través de la Agencia Estadounidense de Ciberseguridad y de Seguridad de Infraestructuras (CISA), invitaba a todos los operadores de infraestructuras críticas a reforzar inmediatamente la seguridad de sus sistemas y redes ICS/SCADA (sistemas de control industrial / control supervisor y adquisición de datos) tras el ataque de un software malicioso dirigido a sistemas industriales.

Unos días antes, las autoridades ucranianas habían anunciado que habían impedido un gran ataque contra la red eléctrica del país. Ucrania sospechó enseguida del servicio de inteligencia militar ruso. “Todos los proveedores de energía […] deberían interesarse por este ataque y preguntarse si las infraestructuras de los Estados Unidos o de otros países podrían ser objetivo de la piratería”, declaró entonces Andrii Bezverkhyi, presidente-director general y fundador de SOC Prime, empresa especializada en la detección de amenazas.

“Proteger una infraestructura energética es un proceso que debe adaptarse a la estrategia, la arquitectura y el entorno de red de cada cliente”.

Más allá de la guerra en Ucrania, “es importante subrayar que no solo Ucrania y los Estados Unidos figuran en la lista de objetivos, sino también otros miembros actuales y/o potenciales de la OTAN, así como otros países que apoyan a esta organización internacional”, valora Naiara Pabo Busto, International Business Development Manager de Axians, la marca de TIC de VINCI Energies.

La energía, en primera línea

Pabo Busto constata que “las infraestructuras energéticas están cada vez más en el punto de mira”, y de ello concluye que “la seguridad energética está en riesgo, al igual que la continuidad del suministro, y que existen otros factores de riesgo asociados”. Esta amenaza creciente nos recuerda hasta qué punto la seguridad de las infraestructuras energéticas es un reto crucial, con independencia del país.

Las redes de transmisión y de distribución de energía utilizan tecnologías operativas y comunicaciones críticas (SCADA, teleprotección…) que gestionan hardware y software destinados al control de equipos industriales.

“La digitalización de la red ofrece ventajas comerciales y operativas sin precedentes, en especial, la automatización de la red y la incorporación de nuevas aplicaciones con valor añadido. La norma IEC 61850* aporta interoperabilidad y ventajas considerables gracias a la digitalización. No obstante, con la digitalización y la estandarización, los sistemas quedan expuestos a ataques maliciosos, ya que todos los aparatos, equipos, software y procesos están conectados a la red. Por lo tanto, son más vulnerables a los ciberataques”, explica Naiara Pabo Busto.

Protección a medida

Para proteger una infraestructura energética, aparte de su propia resiliencia, es conveniente conocer y entender en profundidad los diferentes procesos, los activos y las comunicaciones que pone en funcionamiento, desde la producción hasta el contador.

“Proteger una infraestructura energética es un proceso que debe adaptarse a la estrategia, la arquitectura y el entorno de red de cada cliente”, destaca Naiara Pabo Busto. Para ello, recomienda recurrir a una metodología etapa por etapa conforme a las normas vigentes, como la IEC 62443**, y a marcos de ciberseguridad como el del Instituto Nacional de Normas y Tecnología (NIST) estadounidense.

“La primera etapa consiste en auditar todo el entorno de la infraestructura energética para contar con una visibilidad completa de la red”, detalla la experta de Axians. “Se trata de un reto considerable, ya que muchos aparatos instalados en las subestaciones son obsoletos y no hay ningún modo de reforzar su seguridad (encriptación, autenticación…)”.

Dos pilares estratégicos

Una estrategia de ciberseguridad sólida, orientada a reforzar la robustez y la seguridad de las infraestructuras energéticas, se basa en dos grandes principios: “zero trust“ y “defense in depth“.

“Un enfoque zero trust implica que solo se autorizan de forma explícita los aparatos informáticos de IoT y TO conocidos y legítimos, así como las comunicaciones de sus usuarios”, explica Naiara Pabo Busto. “Defense in depth es un concepto que tiene sus orígenes en el ejército, pero se ha exportado con éxito al ámbito de la ciberseguridad, que requiere numerosos mecanismos y capas de protección para proteger los datos, los activos y las comunicaciones críticos. Defense in depth proporciona mecanismos de redundancia y de resiliencia que permiten impedir un amplio abanico de ciberataques”.

Para Laurent Chilaud, responsable de desarrollo e ingeniería en SDEL Contrôle Commande (VINCI Energies – Omexom), “esta protección en profundidad, destinada a incorporar capas sucesivas para hacer más complejo el acceso de potenciales ataques, puede recurrir a multitud de soluciones: sistemas de cortafuegos, IDS/IPS (sistemas de detección de intrusiones / de prevención de intrusiones), control de acceso basado en roles, VLAN, encriptación…”. El especialista recuerda, no obstante, que “es esencial realizar previamente un análisis de riesgo/coste con el fin de adaptar lo mejor posible el sistema de protección para que su eficacia sea máxima”.

* Norma internacional que define los protocolos de comunicación de los aparatos electrónicos inteligentes en las subestaciones eléctricas.

** Conjunto de recomendaciones estándar para la ciberseguridad de las instalaciones industriales.

14/12/2022