Los datos en sus dispositivos de campo – Cómo protegerlos y cumplir con los requisitos PIC de NERC
En el centro de la seguridad cibernética está la seguridad de la información, es decir, la protección de la información confidencial. ¿Por qué esto es importante en el contexto de la red eléctrica?
Ataques sofisticados como el ataque de Ucrania tienen una fase prolongada de recopilación de información: los atacantes realizan un reconocimiento e intentan comprender el sistema para identificar y atacar los activos de mayor impacto. Reconociendo este hecho, la norma PIC-011-2 de NERC tiene requisitos relativos a la protección de la información, que ordena a las empresas de servicios públicos de electricidad que identifiquen la información de los sistemas cibernéticos del sistema eléctrico a granel (BES, por sus siglas en inglés) y la protejan durante el almacenamiento, tránsito y uso.
Las empresas de servicios públicos se han vuelto altamente competentes en la protección de los datos contenidos en centros de control y dominios corporativos. Esto se ha logrado mediante el desarrollo de prácticas sólidas de gobernanza y control de datos y la implementación de tecnologías innovadoras de prevención de pérdida de datos (DLP, por sus siglas en inglés). Sin embargo, sigue existiendo un eslabón débil: los datos sobre el terreno.
Las computadoras portátiles y tabletas utilizadas para las actividades sobre el terreno, tales como pruebas y mantenimiento de activos, han sido últimamente objeto de un escrutinio minucioso, debido al requisito de Activos cibernéticos transitorios (TCA, por sus siglas en inglés) PIC de NERC que entró en vigor el 1 de abril de 2017. El requisito de TCA (Requisito R4 de PIC-010-2 de NERC) fue desarrollado en respuesta a la preocupación de la Comisión Federal de Regulación de la Energía (FERC, por sus siglas en inglés) de que los dispositivos de campo transitorios se muevan entre perímetros electrónicos de seguridad y puedan propagar software malicioso a través de los sistemas cibernéticos de los sistemas eléctricos a granel (BES). Los requisitos de TCA de Protección de Infraestructuras Críticas (PIC) de NERC se centran en la propagación de software malicioso.
Una preocupación que se pasa por alto pero que es igualmente importante es la seguridad de la información que reside en estos dispositivos transitorios o a la que se puede acceder mediante estos. Por ejemplo, los dispositivos cibernéticos transitorios que se utilizan para trabajar con relevadores de protección pueden contener configuraciones de relevadores, información de conectividad de red y credenciales de inicio de sesión.
Los atacantes sofisticados con frecuencia desarrollan software malicioso personalizado o reempaquetan el software malicioso existente para que los programas antivirus no reconozcan la firma del software malicioso. Si ese software malicioso infecta un dispositivo de campo, puede potencialmente obtener y transmitir datos confidenciales sobre los activos cibernéticos del sistema eléctrico a granel (BCA, por su sigla en inglés). Esta información es extremadamente útil para el atacante para el desarrollo y ejecución de un ataque contra los BCA.
Las medidas de seguridad que satisfacen estos requisitos en un entorno corporativo están maduras y son bien conocidas. Si bien algunas de estas mismas medidas son útiles, como el cifrado de datos, la mayoría no se puede aplicar fácilmente a los dispositivos de campo.
Entonces, ¿cómo protegemos la información en los dispositivos de campo?
- Implementar un esquema de cifrado fuerte, como el cifrado de disco completo con autorización previa al arranque, a fin de garantizar que la información del dispositivo no pueda extraerse incluso si el atacante tiene acceso físico al dispositivo.
- Restringir la capacidad de comunicación para que solo puedan comunicarse con las bases de datos y los servidores privados necesarios para administrar los datos y los dispositivos. Así se evita que cualquier información de estos dispositivos se envíe a un atacante. Una consecuencia clave de este hecho es que los dispositivos de campo no se pueden utilizar como computadoras de propósito general.
- Purgar regularmente la información sensible de los dispositivos de campo para que la inteligencia obtenida sea mínima e incompleta.
- Establecer un programa de administración de dispositivos de campo que sea capaz de hacer un seguimiento de todos los dispositivos de campo y ayudar a identificar actividades inusuales como la ausencia de informes por un período de tiempo prolongado.
Doble está ayudando a las empresas de servicios públicos a implementar programas de pruebas compatibles con PIC de NERC que protegen sus activos cibernéticos transitorios y los datos que contienen. Nuestro enfoque incluye fuertes medidas de seguridad de la información en múltiples capas además de las medidas de seguridad para dispositivos.
Un impedimento común con las medidas de seguridad de la información es que, por lo general, también dificultan el acceso de los usuarios legítimos a la información. La amplia experiencia de Doble en las pruebas y su profundo conocimiento de los flujos de trabajo de la industria han ayudado a garantizar que las medidas de seguridad de la información estén diseñadas para ayudar al trabajo y no para obstruirlo. Por ejemplo, la entrega automática de planes de prueba y configuraciones de prueba al dispositivo de campo mejora la eficiencia del trabajo. También mejora la seguridad al eliminar la necesidad de utilizar memorias USB o acceder a sitios web para obtener esta información.
Recursos adicionales:
- Glosario de términos de NERC
- Normas y fechas efectivas de NERC
- Análisis del ataque cibernético contra la red eléctrica ucraniana
- Requisito R4 PIC de NERC-010-2 para activos cibernéticos transitorios y unidades extraíbles
- Protección de la información PIC-011-2 NERC
- Publicación del blog: Las normativas de seguridad cibernética están cambiando, ¿está listo su programa de pruebas?
- Publicación del blog: Se acabó el plazo: ¿Sus computadoras portátiles y tabletas están listos para las nuevas normativas de seguridad cibernética?