Protege de las ciberamenazas al sistema eléctrico: un enfoque holístico

Un hacker sólo necesita encontrar un «agujero» en un sistema, en un momento determinado, para infiltrarse con éxito. Lo que se necesita para hacer frente a este tipo de amenazas es un enfoque holístico para asegurar que todas las vulnerabilidades potenciales estén seguras. Para los edificios nuevos, las mejores prácticas de ciberseguridad deben formar parte del diseño de todos los sistemas TO. En el caso de los edificios existentes, la ciberseguridad debe ser abordada cuando los sistemas TO están comenzando a ser digitalizados. En ambos casos, las siguientes tres consideraciones son clave:

1.    Buscar asistencia especializada

Las prioridades de los sistemas de TI son la confidencialidad, integridad y disponibilidad. Para TO, las principales prioridades son la seguridad, resiliencia y confidencialidad. Esto significa que los problemas o actualizaciones de seguridad de TO se deben enfrentar de manera diferente a las TI, con una planificación y procedimientos cuidadosos. Por estas razones, se debe elegir a un socio de ciberseguridad que tenga la experiencia de TO adecuada para ayudarle a cumplir con todos los estándares y mejores prácticas de ciberseguridad.

Los sistemas TO también utilizan diferentes protocolos de comunicación en comparación con los sistemas de TI, como BACNet, Modbus, etc. Si el equipo de TI intentara realizar análisis del sistema de seguridad de TO, esas herramientas de exploración podrían causar serios conflictos y se corre el riesgo de apagar el sistema de TO.

Las amenazas cibernéticas también están en constante evolución, por lo que se debe buscar un socio de negocios que ofrezca servicios de monitoreo de TO, actualizaciones, mantenimiento del sistema y respuesta ante incidentes. Todas estas opciones deben estar disponibles de forma remota.

2.    Coloque los controles adecuados el el lugar adecuado 

Un especialista en ciberseguridad de TO le ayudará a auditar su Sistema de Gestión Energética (EPMS) y sistemas eléctricos para evaluar las vulnerabilidades y riesgos actuales, incluyendo las brechas en cualquier procedimiento y protocolo.

Usted y el especialista deben determinar qué tan seguro debe estar su sistema eléctrico. El estándar IEC 62443 ayuda a proteger los sistemas TO habilitados para IoT al definir siete requerimientos fundamentales (por ejemplo, control de acceso, control de uso, disponibilidad, respuesta, etc.). Los mayores niveles de seguridad ofrecen mayor protección contra ataques más sofisticados. Su socio de ciberseguridad lo ayudará a determinar el nivel de seguridad que necesita para cada requerimiento.

Un ejemplo de una técnica para asegurar los sistemas en red es dividir los sistemas en ‘zonas’, asegurando cada uno de ellas individualmente. TO se separará de TI y dentro de TO pueden haber más divisiones. Por lo general se incluye una zona especial «desmilitarizada». Esta es una subred perimetral situada entre las redes públicas y privadas para lograr un nivel adicional de seguridad. Esto dificulta que los hackers encuentren la manera de entrar al sistema o de una zona a otra. Cuando es necesario, las conexiones entre redes se suministran mediante «conductos» de datos protegidos.

El sistema eléctrico también debe estar físicamente protegido, sin acceso a personal no autorizado. Esta misma estrategia se aplica a la seguridad de la red de comunicaciones del sistema de gestión energética (EPMS) por medio de un acceso controlado y en múltiples niveles basado en permisos.

3.    Capacitar al personal

Muchos ciberataques suceden a causa de empleados que permiten que sucedan accidentalmente. Es importante que el personal se familiarice con las ciberamenazas y se mantengan alerta ante ellas. Esto incluye brindar a su equipo de operaciones capacitación especializada en ciberseguridad.

Por lo general, esta capacitación incluirá varios pasos, incluida la capacitación de todos los individuos para detectar indicaciones de ingeniería social, como intentos de suplantación de identidad (phishing) o intentos de acceder a áreas protegidas usando pretextos. Esto también incluirá el establecimiento de protocolos en torno al uso de contraseñas, la autorización con varios factores, las políticas en torno al acceso WiFi (por ejemplo, la red de invitados que permanece aislada de las redes TO), la auditoría regular de cuentas de usuario y permisos, etc.