La transformación digital aporta grandes beneficios al sector energético en términos de flexibilidad y racionalización de la red de distribución y, al tiempo, las vulnerabilidades crecen constantemente, creándose puntos de entrada adicionales desde el área de producción, hasta la distribución misma de la energía.
Efectivamente, las infraestructuras energéticas, que son un componente esencial y vital para nuestra economía, están cada vez más expuestas al riesgo de ciberataques. Entonces, ¿cómo proteger los distintos puntos de acceso a estas infraestructuras críticas? ¿Y cómo minimizar los daños, desde la interrupción de las operaciones hasta la destrucción física de los equipos?
El primer paso se basa en un mejor conocimiento de los distintos métodos empleados por los ciberdelincuentes; qué tipos de ataque son los más comunes y qué soluciones disponibles situarían a los gestores de infraestructuras en una mejor posición para prepararse y hacerles frente.
Una superficie de ataque extensa
Partiendo del hecho de que las infraestructuras energéticas siempre han tenido áreas fragmentadas, tanto a nivel geográfico con diferentes centros de producción como de distribución, hoy día, esta superficie de ataque cada vez es más extensa por su propia naturaleza. Es decir, dada la incorporación de innumerables sensores, robots y dispositivos conectados, redes interconectadas y acceso a entornos en la nube, se conforman como posibles puntos de entrada para los ciberdelincuentes.
Así, aunque se han mantenido al día y modernizado los equipos de TI, los de la parte operativa (TO), por el contrario, han permanecido en su estado original y por tanto, obsoleto sin haber sido en muchas ocasiones parcheada para las últimas vulnerabilidades, sin olvidar que los diversos equipos utilizados en este tipo de empresas, no fueron con un enfoque de “ciberseguridad por diseño”, convirtiéndose en puntos de entrada fácilmente accesibles para realizar ciberataques.
Además de estos puntos de acceso iniciales, los protocolos de comunicación utilizados en el sector de la energía son otra preocupación importante en términos de ciberseguridad. Dichos Los protocolos de comunicación se desarrollaron a menudo en un momento en el que la seguridad no era una prioridad. Por ejemplo, el protocolo IEC-104, que se utiliza habitualmente para la telemetría en el sector de la generación de energía, carece de mecanismos de autenticación o cifrado, lo que lo hace extremadamente vulnerable a los ciberataques.
Lo mismo ocurre con GOOSE (Generic Object Oriented Substation Events, protocolo de eventos genéricos de subestación orientados a objetos, incluido en la norma IEC 61850). Este reglamento, que en un principio se diseñó para reducir al mínimo las lentas comprobaciones y acelerar la capacidad de recuperación del sistema en caso de fallo, puede aprovecharse ahora fácilmente para inyectar paquetes maliciosos. Esta vulnerabilidad también afecta a las conexiones remotas, como en el caso del mantenimiento a distancia. Este tipo de conexiones – esenciales por ejemplo para rendimiento operativo de las subestaciones – también pueden aprovecharse para obtener acceso no autorizado (y malicioso) a la red.
Con este escenario de brechas en distintos puntos, los ciberdelincuentes pueden explotar una serie de vectores de ataque: red, software, físico o incluso humano. Este factor humano es especialmente sensible en el sector de la energía y donde existe un gran número de subcontratistas.
Por tanto, las amenazas a este tipo de infraestructuras están ahí y las empresas deben armarse para detenerlas y hacer frente a ataques descontrolados dando un paso más: ya no se trata de saber si una determinada infraestructura será atacada, sino más bien, de conocer cuándo se producirá el ataque. La clave es estar preparado.
Para garantizar una protección eficaz de sistemas tan complejos e interdependientes, es necesario un enfoque global y a varios niveles. Ante los diversos puntos de entrada de la amenaza, es de vital importancia desplegar una estrategia de defensa adecuada, que abarque desde la implantación de herramientas cibernéticas apropiadas hasta la formación continua de empleados y proveedores de servicios.
Marco Genovese
Ingeniero preventa para Industria de Stormshield