Generación distribuida y ciberseguridad: la innovación no se exime de riesgos

Las nuevas tendencias tecnológicas en el mercado energético, como la generación distribuida, tienen una particular preocupación en materia de ciberseguridad. Este y otros temas serán abordados en 1° Congreso Cyber Security for Energy: https://cybersecurityforenergy.perueventos.org/

Una de las grandes tendencias tecnológicas en la generación y abastecimiento de energía eléctrica es la generación distribuida. Este modelo se caracteriza principalmente por un entorno colaborativo, digital e interconectado, el cual está marcando la pauta en el mundo por sus importantes ventajas.

Aquí, diferentes fuentes de generación se interconectan en una misma red del sistema eléctrico. Asimismo, el usuario pasa de ser un actor pasivo a uno activo, es decir, ya no solo consume la energía eléctrica que se le proporciona sino que incluso puede autogenerarlo y hasta comercializarlo a la red. Además, prevalece la generación por medio de fuentes renovables como la solar y eólica.

«Como resultado, en las próximas décadas veremos un nuevo tipo de consumidor de energía, que gestiona la producción y el uso de la energía para obtener los costes, la fiabilidad y la sostenibilidad que encajen con sus necesidades específicas», comenta Enric Vinyes. Automation & Advanced Grid Solutions Marketing & Business Development Manager. Schneider Electric Iberia

Pero lo que parece un modelo perfecto por ser moderno, estar revestido de digitalización, que hace más confiable y democrático la generación y distribución de energía, lleva consigo algunos riesgos. Y es que al ser digital, estar interconectado y permitir que el usuario interactúe de manera dinámica con la red, le abre paso a la ciberdelincuencia.

«Por eso, la tecnología y los modelos de negocio tendrán que evolucionar para que la industria energética pueda sobrevivir y prosperar», indica Enric Vinyes.

Por ello, a medida que la red eléctrica es más compleja, con la integración de recursos energéticos distribuidos y la automatización de la red de distribución, se requiere un nuevo enfoque orientado a la gestión de riesgos.

» Las medidas de ciberseguridad deben cumplir con los estándares y con las normativas. Este enfoque beneficia al sector, aumentando la conciencia de los riesgos y los retos asociados a un ciberataque», señala el experto.

Para establecer y mantener sus sistemas ciberseguros, las compañías eléctricas pueden seguir un enfoque basado en cuatro puntos:

1. Realizar una evaluación de riesgos
El primer paso consiste en llevar a cabo una evaluación integral del riesgo basada en amenazas internas y externas. Al hacerlo, los especialistas en OT y otros stakeholders de las compañías eléctricas podrán entender cuáles son sus puntos más vulnerables, y documentar la creación de políticas de seguridad y migración de riesgos.

2. Diseñar una política y procesos de seguridad
La política de ciberseguridad de una compañía eléctrica proporciona un conjunto de reglas a seguir. Estas deben ir encabezadas por el conjunto de estándares (ISO27k) de la Organización Internacional de Estandarización (ISO) y de la Comisión Electrotécnica Internacional, que proporcionan recomendaciones y buenas prácticas sobre gestión de la seguridad de la información. El propósito de la política de una compañía eléctrica es informar a los empleados, proveedores y otros usuarios autorizados de sus obligaciones con respecto a la protección de los activos tecnológicos y de la información. Describe la lista de activos que deben protegerse, identifica las amenazas a dichos activos, describe las responsabilidades de los usuarios autorizados y los privilegios de acceso asociados, y describe las acciones no autorizadas y la consiguiente responsabilidad en caso de violación de la política de seguridad. También es importantes contar con procesos de seguridad bien diseñados. A medida que las bases del sistema de seguridad cambian para abordar nuevas vulnerabilidades, los procesos del sistema de ciberseguridad deben ser revisados ??y actualizados regularmente, para seguir esta evolución. Una de las claves para mantener una base efectiva es realizar una revisión una o dos veces al año.

3. Ejecutar proyectos que implementen el plan de mitigación de riesgos
Es importante seleccionar una tecnología de ciberseguridad que se base en estándares internacionales, para asegurar que se puede seguir una política de seguridad apropiada y las acciones de mitigación de riesgo propuestas. Un enfoque de «seguridad desde el diseño» basado en estándares internacionales como IEC 62351 e IEEE 1686 puede ayudar a reducir aún más el riesgo, al asegurar los componentes del sistema.

4. Gestionar el programa de seguridad
Una gestión eficaz de los programas de ciberseguridad no implica sólo tener en cuenta los tres puntos anteriores, sino también la gestión de los ciclos de vida de los activos de información y comunicación. Para ello, es importante mantener una documentación rigurosa y “viva” sobre el firmware de los activos, los sistemas operativos y las configuraciones. También requiere conocer de forma exhaustiva la previsión de las actualizaciones y de la obsolescencia tecnológica, además de ser consciente de las vulnerabilidades conocidas y los parches existentes. La gestión de la ciberseguridad también requiere que ciertos eventos provoquen una evaluación, como determinados puntos en los ciclos de vida de los activos o como las amenazas detectadas.

Clave

Habrá nuevos actores en el ecosistema energético, como los operadores de sistemas de transmisión (TSOs), los operadores de sistemas de distribución (DSOs), los operadores de generación distribuida, los agregadores y los prosumidores.