José Manuel Ruiz García, Cybersecurity Technical Manager, Schneider Electric

José Manuel Ruiz García, Cybersecurity Technical Manager, Schneider Electric

Las redes eléctricas inteligentes o Smart Grids, como transmisoras de energía y datos, están expuestas a a las mismas vulnerabilidades y amenazas que los sistemas financieros o de telecomunicaciones. José Manuel Ruiz García, Cybersecurity Technical Manager, Schneider Electric, detalla los tipos de posibles ataques y las medidas para hacerlos frente. Además, el próximo 23 de noviembre, participará en una Mesa Redonda del IV Congreso Smart Grids sobre Ciberseguridad.

SMARTGRIDSINFO: Las redes eléctricas inteligentes implican la transmisión no solo de energía sino también de datos. ¿A qué tipo de vulnerabilidades se exponen y qué tipo de ataques han podido recibir?

José Manuel Ruiz: Las redes eléctricas y los sistemas de control industrial están dejando a un lado las conexiones serie y se han abierto a protocolos, sistemas operativos y hardware que antes eran dominio de sistemas financieros, telecomunicaciones e incluso sistemas operativos y software que todos usamos en nuestra casa. Por tanto, se exponen a las mismos amenazas que esos sistemas.

José Manuel Ruiz García, Cybersecurity Technical Manager, Schneider Electric.

Como en otros, tenemos al eslabón más débil frente al teclado, un operador que no está concienciado sobre las amenazas que existen cuando realiza su trabajo (phishing, descarga de malware al equipo de control, o simplemente mal uso del sistema), también se han registrado ataques de denegación de servicio voluntarios o no voluntarios provocados por no seguir los procedimientos o usar herramientas no validadas.

Un atacante puede modificar el firmware de una protección o de una remota para modificar los comandos recibidos desde un SCADA o bien para cambiar los límites de presión, temperatura, etc., de los sensores que controla.

SMARTGRIDSINFO: Existen estándares y regulaciones para proteger y hacer frente a estos posibles ataques a la red eléctrica. ¿Qué casos concretos se podrían destacar? ¿Qué requisitos tienen los clientes a la hora de regularizar en los diversos países?

José Manuel Ruiz: Existen tanto estándares como guías de buenas prácticas publicadas desde hace años. Organismos como INCIBE o el Centro Nacional de Protección de Infrastructuras Críticas (CNPIC) llevan años promocionando y publicando guías para mejorar la seguridad de SmartGrids, Sistemas de Control Industrial, etc., en España. En cuanto a normativas, a nivel Europeo se aprobó en el Parlamento Europeo, el pasado 6 julio de 2016 la Directive on security of network and information systems (llamada NIS Directive) la cual obliga a los países miembro a definir un equipo nacional de respuesta de incidentes de ciberseguridad (CSIRT), llama a cooperar entre países y a compartir información sobre posibles ataques, incidentes ocurridos y a fomentar una cultura de ciberseguridad con el objetivo de mitigar los riesgos que actualmente amenazan las infraestructuras vitales de Europa y sus países miembro.

España (y otros como Francia) ha definido un proceso, para identificar las Infraestructuras Críticas del país (Generación, Transporte y Distribución de Energía, Alimentación, Agua, Telecomunicaciones, Transporte, etc), y para cumplir en cuanto a ciberseguridad, dependiendo de la criticidad de la instalación. Se deberán hacer auditorías de ciberseguridad, implementar protección del perímetro físico, defensa del perímetro de red, monitorización, etc.

En cuanto a estándares, existen a nivel de comunicaciones (IEC 62351), desarrollo de un producto o parte de un sistema de control (IEC 62443-4-1) o del producto en sí, como Common Criteria o IEC 62443-4-2. El estándar IEC 62443 (anteriormente conocido como ISA 99) también define qué características necesita cumplir o implementar un sistema para defenderse de diferentes niveles de ataque, desde fallos no intencionados hasta grupos de hackers expertos financiados por estados.

La familia de estándares ISO 27000, contiene un reporte técnico: ISO 27019 con guías básicas de implementación de controles de seguridad en SmartGrids y Sistemas de Controls, basadas en la guía ISO 27002.

SMARTGRIDSINFO: En general, los dispositivos y aplicaciones para los sistemas energéticos no han sido diseñados teniendo en cuenta la ciberseguridad y su monitorización. ¿Qué problemas inherentes existen cuando no se plantea esta cuestión desde el diseño?

José Manuel Ruiz: Efectivamente, eran productos pensados para hacer una operación correcta, con sistemas operativos muy customizados o directamente creados desde inicio. Esto lleva a que con una pequeña ‘tormenta de paquetes’ dirigida contra la red o contra un dispositivo provocase fallos en la operación y a veces con consecuencias muy graves. He dicho eran porque muchos fabricantes, como Schneider Electric, llevan tiempo diseñando sistemas, protecciones, RTUs, PLCs, etc., teniendo la ciberseguridad presente desde las primeras fases de un proyecto. Ahora es común realizar revisiones de código para encontrar bugs, probar la resistencia del equipo ante situaciones no esperadas (bien con pruebas fuzzing o mediante certificaciones como Achilles) hacer pruebas de penetración o análisis de vulnerabilidades como parte de las pruebas FAT de un sistema etc.

José Manuel Ruiz García, Cybersecurity Technical Manager, Schneider Electric.

Tener presente la ciberseguridad desde fases iniciales de un proyecto permite incorporar procesos de actualización de un equipo, autenticación de usuarios, validación de comandos recibidos en una protección o un PLC, comprobación de la integridad de un firmware, etc. Todo esto no se puede hacer con un producto o sistema antiguo, nos encontramos con sistemas operativos sin soporte del vendor, passwords por defecto o simplemente sin password para acceder a las interfaces de gestión de esos dispositivos. Existe una falta de procesos para responder a una incidencia de seguridad y no se sabe por dónde empezar a restaurar un sistema después de un fallo ya que a veces no hay ni copia de seguridad.

SMARTGRIDSINFO: Los ciberataques a las redes eléctricas han podido afectar al suministro de los usuarios. ¿Qué caso de ciberataque ha sido más relevante y ha afectado a un gran sector de la población? ¿Existen ejemplos de brechas de seguridad en sistemas energéticos?

José Manuel Ruiz: Uno de los casos más conocidos ocurrió en Ucrania en diciembre del 2015 donde un grupo de atacantes lograron tomar control durante unas horas del sistema de control de varias operadoras, dejando sin luz a miles de ucranianos. Existe un excelente reporte sobre el incidente publicado por la empresa de seguridad Dragos.

Ucrania también recibió un ataque en su grid durante 2016, en el cual parece que se usó un framework de malware llamado CRASHOVERRIDE el cual tiene módulos preparados para atacar protocolos industriales como IEC 101, IEC 104, IEC 61850 y OPC.

Este framework podría ser usado contra la red eléctrica operando circuit breakers, afectando en el suministro de electricidad y obligando a operar manualmente la red.

SMARTGRIDSINFO:  Ante estos posibles ataques a las redes eléctricas, ¿qué acciones o quick wins se pueden adoptar y qué soluciones se pueden implementar? ¿Y qué ejemplos de planes de acción o escenarios posibles se pueden plantear?

José Manuel Ruiz: Existen medidas básicas que se pueden implementar incluso en redes eléctricas antiguas. Es fundamental conocer lo que tienes que proteger y hacer un análisis de riesgos donde se identifiquen los activos críticos de tu sistema, las amenazas existentes y se cree un plan para mitigar en distintas fases esos riesgos críticos.

En 2016, el departamento de Homeland Security de los EEUU presentó siete controles que hubiesen mitigado o prevenido los ataques a sistemas de control reportados durante 2015. Según este informe:

Con estos tres pasos, se hubiesen mitigado o parado un 84% de los ataques.

El resto de los controles:

La mayoría de pasos se pueden implementar en buen grado en cualquier sistema, quizás no se pueda autenticar un comando enviado a una remota antigua o al usuario que está haciendo una operación desde una consola, pero se deberían aprovechar las paradas de producción para implementar algún tipo de software que controle los programas permitidos en una estación de ingeniería o en una consola de operación, aplicar parches y actualizar software no soportado y mejorar la configuración por defecto que traen los sistemas, la cual suele ser no segura.

SMARTGRIDSINFO: El próximo 23 de noviembre se celebrará la cuarta edición del Congreso Smart Grids, del que Schneider Electric es Patrocinador Oro. ¿Cuál es el mensaje desde el punto de vista de la ciberseguridad que les gustaría transmitir al sector de las Redes Eléctricas Inteligentes?

José Manuel Ruiz: Es primordial reforzar la estrategia de seguridad dentro la empresa realizando un enfoque de seguridad específico para las compañías eléctricas que no sea el típico enfoque generalista que aportan las prácticas de ciberseguridad que desarrolla la industria informática. Hablamos de un enfoque organizacional que comprenda a personas, procesos y tecnologías.

Recomendamos desarrollar equipos interfuncionales que sean capaces de abordar los desafíos particulares de proteger la tecnología IT y OT. Debemos contemplar distintas áreas en las que converjan las competencias de ingenieros, administradores informáticos y administradores de seguridad.

De momento es imposible alcanzar un estado de ‘ciberseguridad ideal’. La minimización de los riesgos de ciberseguridad es un proceso continuo que consiste en: evaluar, diseñar, implementar y gestionar. Eso requiere un proceso de mitigación de riesgos circular e interativo que no solo contemple la tecnología si no que siga el ritmo de la tecnología informática y operativa. Y, de este modo, contrarrestar los intentos permanentes por debilitar los sistemas de seguridad e identificar vulnerabilidades.

 
 
PATROCINIO BRONCE
Salir de la versión móvil