Drones: Vectores de amenazas potenciales en la industria energética
Recientemente, tuve una charla con NERC sobre los drones como vector de amenaza en la industria energética. Habiendo determinado que no existe un requisito de PIC particular que cubra los drones, buenos o malos, me pidieron que examinara CIP-014 más de cerca, debido a que NERC y los auditores regionales están comenzando a abordar el tema de los drones en sus auditorías sobre este requisito.
CIP-014
Para quienes no están familiarizados con CIP-014, su propósito es «identificar y proteger las estaciones de transmisión y subestaciones de transmisión, y sus centros de control primario asociados que, en caso de que se inutilicen o dañen como resultado de un ataque físico, podrían provocar inestabilidad, separación descontrolada, o un efecto dominó dentro de una interconexión». Tenga en cuenta que esto se debe leer con una mentalidad muy interpretativa. Este requisito no es para aquellas amenazas que causarán problemas, sino para aquellas amenazas que podrían causar problemas.
Responsabilidades como propietario de la transmisión
Lo primero que se requiere que haga como propietario de la transmisión es una evaluación inicial del riesgo de sus estaciones de transmisión y subestaciones de transmisión. Estas dos instalaciones son aquellas que existen actualmente y las que estarán en servicio dentro de 2 años (24 meses). Cuando se planifican los análisis, se deben diseñar de tal manera que identifiquen la(s) estación(es) de transmisión y la(s) subestación(es) de transmisión que, en caso de que se inutilicen o dañen, podrían (y no es que vayan a hacerlo) provocar inestabilidad, separación descontrolada, o un efecto dominó dentro de una interconexión.
Verificación de las evaluaciones de riesgos
NERC requiere que usted, como propietario de la transmisión, haga que un tercero no afiliado verifique la evaluación de riesgos realizada bajo el Requisito R1. La verificación puede tener lugar al mismo tiempo o después de la evaluación de riesgos realizada en virtud del Requisito R1. NERC es muy específico en la norma cuando se trata de quién puede/podrá realizar el análisis de riesgos. Como propietario de una transmisión, debe seleccionar una entidad verificadora no afiliada (no puede ser una división, una compañía afiliada, etc.) que sea un Coordinador de planificación, un Planificador de transmisión o un Coordinador de confiabilidad registrado; o bien, una entidad que tenga experiencia en planificación o análisis de transmisiones. Si no recurre a un Coordinador de planificación, Planificador de transmisión o Coordinador de confiabilidad registrado en NERC, tiene que estar dispuesto a proporcionar evidencia al auditor o auditores que demuestre que la entidad no afiliada tiene experiencia en planificación o análisis de transmisiones. En este caso, una Carta de certificación (LOA) no será suficiente evidencia. Tendrá que mencionar su experiencia junto con el personal de las entidades que realizaron el análisis.
Ahora que ha elegido quién va a ser su entidad no afiliada, deberá asegurarse de que la verificación por parte de la entidad no afiliada verifique que su evaluación de riesgos se realizó correctamente de acuerdo con el Requisito R1, que puede incluir recomendaciones para la adición o eliminación de una o varias estaciones de transmisión o subestaciones de transmisión. Ahora, como propietario de la transmisión, debe asegurarse de que la verificación se complete dentro de los 90 días calendarios siguientes a la finalización de la evaluación de riesgos.
Como propietario de la transmisión, tendrá que implementar procedimientos, tales como la aplicación de acuerdos de confidencialidad (NDA, por sus siglas en inglés), para proteger la información sensible o confidencial puesta a disposición de su entidad verificadora no afiliada, y para proteger o eximir de la divulgación pública la información sensible o confidencial desarrollada en virtud de CIP-014. Como auditor, yo utilizaría esta sección para cuestionar cómo compartió información y/o datos con la entidad verificadora no afiliada. Recuerde que al realizar la(s) tarea(s) requerida(s) bajo CIP-014, usted todavía tiene que adherirse a los otros requisitos CIP. En este caso, se deben proteger todos los datos mientras están en movimiento y en reposo. Un NDA hace poco, o casi nada, para proteger los datos; por lo tanto, prepárese para demostrar cómo utilizó las unidades flash cifradas, las VPN tunelizadas, etc., para comunicar y transferir/transmitir datos.
NOTA: Si emplea unidades flash cifradas que utilizan una metodología de cifrado basada en software en lugar de una solución basada en firmware, esté preparado para demostrar al auditor que ha realizado ataques de seguridad como pruebas de penetración, «ataques de hack», etc. y que ha sido capaz de frustrar con éxito todos los ataques.
Programas de seguridad física
Como propietario de la transmisión, tendrá que:
- Asegurarse de que su programa de seguridad física dispone de medidas de resiliencia o seguridad diseñadas colectivamente para disuadir, detectar, retrasar, evaluar, comunicar y responder a las posibles amenazas físicas y vulnerabilidades identificadas durante la evaluación realizada en el Requisito R4
- Disponer de información de contacto y coordinación de las fuerzas de seguridad
- Disponer de un calendario para la ejecución de las mejoras y modificaciones de seguridad física especificadas en el plan de seguridad física
- Proporcionar disposiciones para evaluar la evolución de las amenazas físicas y sus correspondientes medidas de seguridad a la(s) estación(es) de transmisión, a la(s) subestación(es) de transmisión o al(a los) centro(s) de control primario(s).
La información de contacto de las fuerzas de seguridad no puede incluir el número de contacto de la policía como 911. También debe demostrar a los auditores que tiene un programa de coordinación en marcha con las fuerzas de seguridad, indicando cuál es la coordinación, quiénes son los contactos y cómo funciona el programa, así como cualquier capacitación que se haya impartido.
NOTA: Un programa de seguridad no consiste en una o dos hojas de papel con algo de texto escrito. Un programa de seguridad es un programa bien pensado que incluye, entre otras cosas, un segmento de capacitación y evaluación, procedimientos de emergencia, pautas de respuesta, mudanzas de propiedad, control de portones, etc.
Revisión de los programas de seguridad
Ahora que tiene su programa de seguridad física en marcha y está conforme con él, se le solicita que tenga una entidad no afiliada, al igual que antes, que revise el plan o los planes de seguridad desarrollados según el Requisito R5. El examen puede tener lugar simultáneamente o después de la finalización de la evaluación, realizada según el Requisito R4 y de la elaboración del plan de seguridad, realizado según el Requisito R5.
La entidad de revisión no afiliada seleccionada debe ser:
- Una entidad u organización con experiencia en seguridad física en la industria eléctrica, y cuyo personal de revisión tenga al menos un miembro que posea una certificación de Profesional certificado en protección (CPP) o de Profesional en seguridad física (PSP)
- Una entidad u organización aprobada por ERO
- Una agencia gubernamental con experiencia en seguridad física, una entidad u organización con experiencia demostrada en seguridad física policial, gubernamental o militar
Ahora que hemos revisado CIP-014 a fondo y que todos tenemos una buena comprensión de lo que debemos hacer, permítanme demostrarles cómo los drones son una amenaza para la industria energética.
Problemas de seguridad de los drones presentes en las instalaciones
En mi conversación con NERC, se acordó que un dron volando sobre una estación de transmisión o una subestación de transmisión no es en sí mismo una amenaza, ya que los posibles datos que registra podrían ser recopilados de Google Earth y otras fuentes fácilmente disponibles. Donde puede existir una amenaza física en el caso de un dron volando sobre una estación de transmisión o una subestación de transmisión, es si el dron se utiliza para chocar contra un elemento de la estación o subestación, provocando daños y una interrupción del servicio. Otro escenario posible es si el dron está transportando un artefacto explosivo o químico improvisado que podría inutilizar la estación o subestación.
Otro vector de amenaza es el que se produce si una persona está caminando a través de áreas restringidas dentro de un edificio y el dron está registrando accidentalmente o incluso deliberadamente todo lo que pasa. Un ejemplo de esto es si un dron es hackeado por un actor desconocido que se encuentra en el estacionamiento y ellos activan el dispositivo de grabación en el dron. Podrían transmitir todos los datos a su ubicación y desaparecer antes de que nadie supiera que el dron estaba grabando y transmitiendo información.
Durante su auditoría, tendrá que estar preparado para discutir cómo se encarga de estos temas y más. Para obtener más información sobre los drones y cómo se pueden utilizar contra sus instalaciones, no dude en ponerse en contacto con Doble Engineering.
Información adicional
-
Obtenga más información: Lea los requisitos PIC de NERC relevantes sobre la seguridad de los datos de los dispositivos de campo.
- Descargue nuestro eBook: Pruebas sobre el terreno en un mundo cibernético inseguro