Un reciente informe publicado por Microsoft (Microsoft Digital Defense Report 2022) ha detectado que las ciberamenazas dirigidas a infraestructuras críticas han pasado de representar un 20 por ciento de los ataques entre países a un 40 por ciento del total. Un crecimiento debido principalmente a la guerra de Ucrania.
En respuesta a los ataques rusos contra instalaciones energéticas que han tenido lugar recientemente en Ucrania, los representantes de la Unión Europea han declarado que estos deben ser considerados crímenes de guerra.
Energía: infraestructuras muy críticas
Existe una estrecha relación entre el sector de la energía y el resto de los enmarcados en el ámbito de las infraestructuras críticas. Cualquier incidente que tenga lugar en instalaciones o infraestructuras energéticas, además de suponer un riesgo para los trabajadores de las mismas, puede conllevar un efecto en cascada en otros sectores de la economía y de la sociedad.
Antes de los ataques del 11 de septiembre de 2001, el enfoque de la seguridad energética se concentraba, sobre todo, en accidentes y desastres naturales. Fue a partir de esta fecha cuando la protección frente a daños intencionados obtuvo un mayor grado de consideración.
La industria energética requiere proteger sus infraestructuras y a las personas que trabajan en las mismas. Los sistemas de seguridad física nos pueden ayudar a mitigar riesgos, prevenir accidentes y a vigilar los perímetros y accesos de forma centralizada.
En este sentido, con el fin de proteger las instalaciones catalogadas como infraestructuras críticas, existen unas regulaciones normativas de Grado, de obligado cumplimiento para los sistemas de seguridad electrónica que protegen este tipo de instalaciones. La normativa obliga a que esta clase de infraestructuras realice una evaluación de riesgos y, en las zonas que lo requieran, implantar sistemas que cumplan las normativas de Grado (EN-60839 de Control de Accesos y EN-50131 de Intrusión).
Las instalaciones eléctricas se han convertido en objetivos potenciales de ataques tanto físicos como cíber
Seguridad integral en infraestructuras críticas de energía
En empresas energéticas cuyas infraestructuras son de gran tamaño es fundamental disponer de una estrategia de seguridad centralizada, tanto en el ámbito físico como en el cíber.
Los sistemas de seguridad electrónica deben facilitar que el vigilante que se encuentre en el centro de control pueda interactuaron un único sistema que integre elementos de distintos fabricantes y que, asimismo, le permita gestionar y monitorizar instalaciones remotas con independencia de su ubicación geográfica.
En el caso de tener que monitorizar varias instalaciones de este tipo, un aspecto clave es tener una arquitectura de servidores que, además de estar redundados por cuestiones de seguridad de la información, se encuentren distribuidos y cuenten con mecanismos de sincronización de información. El objetivo es que, ante cualquier tipo de incidente o alarma, se dote al operador de la capacidad de ofrecer una respuesta previamente programada y de forma centralizada.
En el caso concreto de instalaciones energéticas, los sistemas de seguridad electrónica nos ofrecen soluciones específicas customizadas al sector. Ejemplos de este tipo de soluciones son:
- El envío seguro de credenciales virtuales al dispositivo móvil de un operario.
- Alarmas por exceso de tiempo de permanencia en zonas peligrosas.
- Localización de trabajadores.
- Gestión de evacuaciones.
- Esclusas con doble autenticación.
- Gestión de ocupación mínima en recintos peligrosos.
- Inhabilitación de entrada/salida sin recogida/devolución de material de protección.
- Servidores redundados, etc.
Convergencia
Cuando hablamos de ciberseguridad completa y global nos referimos a proteger todos los aspectos del sistema. No solo las comunicaciones, servidores y datos, sino también aspectos relacionados con la vulnerabilidad de sistemas de seguridad física que pueden suponer un punto de entrada para posibles atacantes.
La ciberseguridad aplicada a los sistemas de control de accesos y de seguridad electrónica en general ha ido tomando más y más relevancia en los últimos años, tanto en instalaciones catalogadas como infraestructuras críticas como en otros entonos de alta exigencia de seguridad.
La seguridad física de los dispositivos industriales y de los datos asociados de estos equipamientos debe ser tratada como una pieza más de la ciberseguridad industrial. No en vano, la seguridad física es el pilar de la seguridad lógica.
Un plan de ciberseguridad debe contemplar medidas y sistemas de seguridad físicos que impidan el acceso de los atacantes a zonas seguras como CPD o cuartos de comunicaciones. Una vez que un ciberdelincuente obtiene acceso a la red interna de seguridad, se corre el riesgo de perder el control de sistemas de seguridad esenciales, como los sistemas de gestión de vídeo, alarmas de intrusión, incendios, etc.
Otros sistemas conectados también son vulnerables, como los sistemas de ventilación o ascensores, que podrían usarse para paralizar la seguridad y las operaciones en una instalación.
Los sistemas Dorlet cuentan con comunicaciones punto a punto protegidas y cifradas. Todos los diferentes elementos que componen una instalación (dispositivos físicos, SW y comunicaciones) encriptan la información que intercambian entre sí, donde la gestión de las keys la puede hacer exclusivamente el cliente final. De esta forma, conseguimos que los diferentes elementos se intercomuniquen de manera cibersegura. Además, nuestros sistemas están certificados en Grado 4 según la norma EN-60839 de Control de Accesos y en Grado 3 según la norma EN-50131 de Intrusión.
Conclusiones
Debido a la compleja situación geopolítica internacional, las instalaciones energéticas se han convertido en objetivos potenciales de ataques tanto físicos como cíber.
Es conveniente que los sistemas de seguridad de este tipo de infraestructuras críticas estén constituidos por sistemas distribuidos y con una gestión centralizada. De hecho, requieren una protección proactiva frente a ataques.
En este sentido, existen regulaciones normativas de obligado cumplimiento aplicables a los sistemas de seguridad electrónica que se instalen en instalaciones catalogadas como infraestructuras críticas. Estos sistemas deben estar certificados según las normas sobre control de accesos (EN-60839) e intrusión (EN-50131).
