La infraestructura crítica (Gas, Energía, Agua, Transportes, etc) es muy fácil de ver desde la perspectiva personal, si algún beneficio que usted considera esencial y que todos usamos día a día de repente desaparece y esto afecta directamente nuestra vida [PERMAN 16] , seguramente los servicios, sistemas e infraestructura que suministran dicho beneficio esencial se enmarcan dentro de la infraestructura crítica. Desde esta perspectiva simple resulta evidente que la infraestructura crítica debe protegerse, pero ¿de qué debemos protegerla?
En los últimos años se han presentado ciberataques a la infraestructura crítica de países como Estados Unidos, China, Irán, Corea del Sur, entre otros , sin embargo no se habían reportado ataques comprobados contra infraestructura crítica, hasta diciembre del año pasado, cuando se reportó un ataque al sistema eléctrico de Ucrania tras un apagón que afectó alrededor de 225000 consumidores . En general, en la actualidad los ciberataques a infraestructura crítica no pueden considerarse solo teorías y tratarse a ese nivel, se deben definir planes de acción, hojas de ruta y sistemas de protección.
En Colombia se notó la importancia de proteger el sistema eléctrico y mediante el Consejo Nacional de Operación CNO se definió una guía de ciberseguridad basada en los estándares NERC-CIP (North American Reliability Corporation – Critical Infrastructure Protection), en donde se encuentra un anexo con la definición de los activos críticos a proteger dentro del sector eléctrico en
Legislación colombiana a nivel de ciberseguridad
En Colombia existen una serie de lineamientos de ciberseguridad y ciberdefensa establecidos en el año 2011 a través del documento CONPES 3701 de 2011 , que incentivaron al Consejo Nacional de Operación CNO a expedir el Acuerdo 788 de 2015 , en el cual se establece una hoja de ruta para la creación de una guía de ciberseguridad. Esta guía de ciberseguridad es un marco de referencia que toma como base la serie de estándares NERC-CIP.
En acuerdo 788 de 2015, se indica que el Comité Tecnológico del CNO “realizó un estudio de las normas aplicables a la industria eléctrica para mitigar los riesgos de ciberseguridad en el sector y en el Sistema Interconectado Nacional y concluyó que la mejor referencia de aplicación es la norma NERC CIP para tecnologías de activos críticos y con base a esta norma, se elaboró la guía de Ciberseguridad orientada a la protección de los activos del SIN”.
También se establece un plazo de 6 meses, contados a partir de la fecha de expedición del acuerdo, para que los agentes generadores, transmisores y distribuidores del Sistema Interconectado Nacional designen una persona responsable de dirigir y administrar la implementación de la guía de ciberseguridad. Este plazo se cumplió el 8 de enero de 2016.
Adicionalmente, se estableció un plazo de un año, contado a partir de la fecha de expedición del acuerdo, para que dichos agentes generadores, transmisores y distribuidores, realicen la identificación de los activos críticos y ciber activos críticos, los riesgos y vulnerabilidades y el nivel de gestión de ciberseguridad en la operación de sus empresas. Este plazo se cumplió en julio de 2016.
Es importante notar que la guía de ciberseguridad da una serie de lineamientos para protección de infraestructura crítica (Activos, Ciber Activos y Ciberactivos Críticos ) en el sector eléctrico, dando directrices a seguir en cuanto a seguridad de la información se refiere, yendo más allá, incluyendo control de acceso físico y entrenamiento de personal entre otros aspectos, tal como lo hace NERC-CIP. En general, se indica aquello que se debe proteger, sin embargo no se indica como ni la importancia de conocer a fondo de que se debe proteger. De ese modo, tener sólidos fundamentos en el área de ciberseguridad, criptografía y PenTesting es fundamental para saber de qué se debe proteger la infraestructura crítica, cómo hacerlo y cómo evaluar permanentemente la seguridad de los Ciber Activos y Ciber Activos Críticos.
Por otro lado, la guía de ciberseguridad del CNO es básicamente un resumen con los ítems aplicables a Colombia de NERC-CIP 002-009, sin embargo es importante considerar otros estándares y recomendaciones del sector que pueden resultar complementarios en algunos aspectos, como es el caso de NIST e ISA99 que está enfocado hacia las subestaciones eléctricas y es usual que las empresas del sector (SIEMENS, ABB, ALSTOM) sigan esta norma en la construcción de sus equipos y soluciones en sector de la automatización de las subestaciones eléctricas.
Como conclusión veamos algunos factores críticos de éxito en la aplicación de la guía de ciberseguridad.
Factores críticos de éxito para aplicar la guía de ciberseguridad del CNO
Entre los factores críticos que garantizan una adecuada aplicación de la guía de ciberseguridad del CNO, se deberían incluir los siguientes:
- Tener fundamentos sólidos de seguridad de la información y ciberseguridad para saber de qué y cómo se debe proteger la infraestructura crítica de la industria eléctrica.
- Permanecer actualizado en cuanto al desarrollo y evolución de NERC-CIP, ya que es la base de la guía de ciberseguridad del CNO, y constantemente algunos aspectos claves en una determinada versión resultan obsoletos en otra más reciente.
- Realizar pruebas de seguridad (PenTesting) a los diferentes Cyber Activos Críticos para garantizar que los esquemas de seguridad establecidos son seguros.
- Conocer bien los servicios, sistemas, equipos e infraestructura con que se cuenta, y seguir constantemente las publicaciones a nivel de fallos de seguridad encontrados y aplicar los parches correspondientes a tiempo.
- Complementar la guía de ciberseguridad con otros estándares del sector como ISA99.
Artículo redactado por: Carlos Lucero, Axon Group