Klaus-Mochalski, CEO de Rhebo
Klaus Mochalski CEO Rhebo

Ciberseguridad end-to-end en plantas de energía

La integración de sistemas, la red de distribución inteligente (Smart Grid) y la convergencia de IT y OT plantean nuevos retos de ciberseguridad en las infraestructuras energéticas. La monitorización continua de las redes OT con detección de anomalías y ataques puede cerrar la brecha entre la seguridad de TI y OT en infraestructuras según la norma IEC 61850.

La digitalización y la integración de los sistemas suponen un arma de doble filo para las empresas energéticas de toda Europa. Por un lado, se simplifican tanto los procesos como la cooperación transfronteriza, y se abren nuevas posibilidades de modelos de negocio. Por otro lado, el aumento de la integración en la red y de la tecnología operativa (OT) en IT, así como el desarrollo de la Smart Grid, aumentan la exposición al riesgo de las infraestructuras críticas.

La norma internacional IEC 61850 permite a las empresas energéticas intercambiar datos en redes OT sin errores. Sin embargo, no ofrece ninguna respuesta a incidentes de la ciberseguridad. Concretamente, las Smart Grid disponen de múltiples puntos por los cuales los atacantes pueden acceder a través de los medidores inteligentes de acceso público, estaciones de carga y sistemas de almacenamiento de energía. La implementación de normas de seguridad adicionales, como la IEC 62351-4 y la IEC 62351-6, son difícilmente  viables en la mayoría de infraestructuras críticas, ya que requieren una gran cantidad de trabajo de administración y en ocasiones sobrecargan los recursos disponibles de los componentes de la OT. Además, chocan con los requisitos de funcionamiento de operaciones de las plantas, por ejemplo, afecta a la velocidad requerida para las señales de control temporales. A su vez, las soluciones de seguridad de las IT clásicas solamente se pueden utilizar en las OT de manera limitada, ya que las IT y las OT siguen paradigmas diferentes.

Ninguna OT está exenta de sufrir un acceso no autorizado

Al mismo tiempo, las voces de alerta suenan cada vez más alto: guerras que estallan de repente, amenazas persistentes avanzadas orquestadas por Estados, revelación de antiguos puntos débiles de las OT y ataques a la cadena de suministro (como el de SolarWinds en 2020 y el de Log4j en 2022) son los ejemplos más actuales. A ello se añade que, sobre todo las amenazas persistentes avanzadas con mucho tiempo, conocimientos y recursos económicos encuentran tarde o temprano un modo de introducirse en la red de una empresa. Además, falta personal especializado en el ámbito de la seguridad de las OT. Por ello, las empresas energéticas requieren soluciones de seguridad capaces tanto de detectar como de neutralizar los nuevos ataques profesionales.

La ciberseguridad como una ciudad-Estado

La situación de riesgo y las graves consecuencias en caso de producirse un ciberataque en plantas de energía requieren la implementación de soluciones de tipo «Defense in Depth» en las empresas suministradoras de energía. Estas se basan en tres premisas:

  1. Los atacantes profesionales van siempre varios pasos por delante de los mecanismos de seguridad basados en firmas.
  2. Tarde o temprano, los atacantes profesionales consiguen acceder a la red.
  3. No existe la protección completa.

Los mecanismos de seguridad habituales, como los cortafuegos, las redes VPN y los métodos de autenticación, cumplen su utilidad y función. Sin embargo, necesitan «una segunda línea de defensa». Una OT moderna, altamente interconectada y distribuida, debe estar asegurada como un estado moderno o como una ciudad-estado. Las murallas de la ciudad y los guardianes (cortafuegos, diodos de datos, métodos de autentificación) protegen a la ciudad de los enemigos fácilmente detectables y reconocibles (firmas conocidas). De la seguridad interna de la ciudad se ocupa la policía, las autoridades de protección constitucional y el servicio secreto (detección de anomalías). Estos últimos detectan a los intrusos con éxito en una fase temprana a través de sus actividades, que suelen ser distintas de las de los habitantes normales.

Monitorización de la OT y detección de anomalías, ciberseguridad en plantas de energía, Rhebo

Actualmente, pocas redes OT disponen de mecanismos de seguridad interna, a causa de la falta de una arquitectura de seguridad que proteja toda la infraestructura crítica, desde los dispositivos edge, como los medidores inteligentes o los sistemas de almacenamiento de energía, pasando por las redes de transmisión y distribución. En la práctica, esta segunda línea de defensa puede establecerse de manera fácil y eficaz con un sistema completo de monitorización de seguridad industrial con detección de anomalías como el que ofrece Rhebo para la tecnología operativa, la infraestructura de medición avanzada y las redes críticas de (I)IoT.

Detección de anomalías en toda la infraestructura

El sistema vigila el interior de la fortaleza y examina y analiza continuamente el comportamiento de todos los dispositivos y sistemas dentro de las murallas para detectar comportamientos irregulares o sospechosos. De este modo, se obtiene visibilidad en toda la caja negra de la OT. Además, se identifican las anomalías en toda la OT –de un extremo a otro– y se documentan y comunican a los responsables en tiempo real. No importa si estas anomalías provienen de alguien «externo» (un atacante) o de un habitante de la ciudad (por ejemplo, un administrador). Las operaciones encubiertas, las nuevas técnicas de ataque y las complejas maniobras de distracción se detectan en tiempo real.

Captura de pantalla Rhebo Industrial Protector

Como la seguridad OT sigue siendo un nuevo campo para muchas empresas, Rhebo se centra en una seguridad simple y eficaz con el lema «OT Security Made Simple». Desde octubre de 2022, Rhebo ha simplificado todavía más la configuración y el manejo de la detección de anomalías en infraestructuras IEC 61850. De hecho, establecer las bases de referencia para la detección de anomalías conlleva un esfuerzo adicional para las empresas. Por este motivo, el sistema está entrenado y especializado para notificar únicamente las comunicaciones no deseadas o peligrosas, evitando así falsos positivos.

OT Security Made Simple

Aunque normalmente Rhebo establece las bases de referencia para sus clientes como parte del análisis de riesgos de la OT, desde la versión 3.3 del sistema de monitorización de la OT con detección de anomalías, las empresas suministradoras pueden utilizar el archivo Substation Configuration Data («.scd») de la norma IEC 61850 para establecer las bases de referencia en el sistema de seguridad. Este archivo constituye el modelo o gemelo digital de la instalación energética y define qué comunicaciones e intercambios de datos son legítimos y autorizados. Así, la importación del archivo «.scd» actualizado diariamente permite utilizar de forma inmediata la detección de anomalías, sin necesidad de dedicar tiempo al aprendizaje ni a la creación de una «lista blanca».

La combinación de la lista blanca y la detección de anomalías es capaz de combinar lo mejor de ambos mundos de la detección de ataques. Las listas blancas permiten restringir y delimitar con precisión las comunicaciones permitidas. La detección de anomalías cubre las lagunas que siguen existiendo debido a las dudas sobre la actualización del archivo «.scd» y a los errores de configuración.

Concretamente, en las infraestructuras industriales, las actualizaciones del sistema se retrasan a menudo porque la estabilidad del proceso tiene preferencia sobre la seguridad

Los errores de configuración pueden surgir del complejo flujo de trabajo de modelización de la norma IEC 61850, en el que los archivos de configuración de los dispositivos electrónicos inteligentes (IED) se envían una y otra vez entre diferentes herramientas de configuración para obtener finalmente el archivo «.scd» para la planta. Debido a la complejidad de este proceso recurrente, es probable que se produzcan incoherencias que pongan en peligro el funcionamiento correcto de las infraestructuras críticas. Tanto las incoherencias como los retrasos en la actualización pueden dar lugar a vulnerabilidades y brechas de seguridad que pueden ser aprovechadas por los atacantes, así como los estados de error técnico que comprometen la estabilidad del proceso. Ambos problemas se identifican y detectan en una fase temprana mediante la detección de anomalías.

A través de este sistema, las anomalías notificadas por la OT pueden remitirse a un Security Information and Event Management System (SIEM) y correlacionarse con más información. De este modo, los responsables de la seguridad no solo disponen de una imagen completa de la exposición al riesgo de la empresa y de los procesos industriales, sino que también está garantizada la seguridad interna de la OT de principio a fin.