2.4 Analysis of Baseline Setup
2.4.4 Infinite horizon, numerical solution
De acuerdo a lo propuesto en (DeSmit, Elhabashy, Wells, & Camelio, 2017), como primer paso, las empresas deben comprender cómo sus sistemas podrían verse comprometidos por ataques ciberfísicos. Sin embargo, antes de esto se debe tener claridad de la manera en que funciona el sistema para determinar todos los posibles vectores de ataque, al que nuestro sistema se puede ver expuesto.
Con el proposito de entender el funcionamiento del sistema de transmisión de energía eléctrica, en términos generales una subestación cuenta con cuatro niveles jerárquicos de operación.
✓ Nivel 0: Patio en el caso de subestaciones aisladas en aire y GIS en el caso de
subestaciones encapsuladas aisladas en SF6.
✓ Nivel 1: Controlador de Bahía / Selectores de respaldo (mímicos de operación de
emergencia para control de equipos de patio).
✓ Nivel 2: Estación de Operación y Gateway o Controladores de subestación.
✓ Nivel 3: Centros de Control.
La filosofía de operación establece que si un nivel jerárquico está habilitado para operación, los niveles superiores a éste se encontrarán bloqueados. De esta forma, si el nivel 0 se encuentra habilitado, no se podrá operar desde los niveles 1, 2 y 3. De igual manera para los niveles superiores.
Los sistemas de automatización y protección de las subestaciones eléctricas del STN colombiano, están basados en su mayoría por un equipo de control de subestación de Nivel 2, por su parte, los sistemas de control y protección de bahías de Nivel 1, son realizadas por sistemas numéricos programables e integradas en el mundo de la tecnología de las comunicaciones.
El sistema de automatización y protección de las subestaciones de transmisión de energía cumple de manera integral con las siguientes tareas:
Colombia.
✓ Adquisición y distribución de la información en tiempo real.
✓ Señalización local (Nivel 1 y Nivel 2).
✓ Señalización remota (Nivel 3).
✓ Supervisión.
✓ Control local y remoto.
✓ Control con enclavamientos.
✓ Control bajo secuencias de mando.
✓ Protección eléctrica de la bahía.
✓ Selectividad de la operación de protecciones eléctricas de la subestación.
✓ Conexión decentralizada ó centralizada mediante protocolos de comunicación con dispositivos de protección eléctrica, controladores de bahía y estaciones esclavas.
✓ Registro y archivo de la información del proceso.
Por la manera modular en que en la actualidad se diseñan las subestaciones eléctricas de transmisión, el sistema de automatización y protección es escalable y expandible en la medida que se puede implementar en un rango amplio de tipos, tamaños, con diferentes aplicaciones y requerimientos, permitiendo adaptarce a la medida de las necesidades que el sistema de transmisión lo vaya necesitando.
Por su parte, estos sistemas digitales se integra a la tecnología de las comunicaciones IT aprovechando las ventajas actuales, sus desarrollos y todas sus posibilidades futuras. Mediante las posibilidades de comunicación del sistema de automatización y protección es posible crear los enlaces necesarios para el intercambio de información dentro del sistema y con los centros de control de nivel superior, IED (Intelligent Electronic Device), controladores de bahía y otros dispositivos o sistemas.
Con la intención de representar el funcionamiento y los elementos principales que componenen el sistema de transmisión de energía eléctrica desde la perspectiva de ciberseguridad, en la Figura 35. se muestra un modelo de funcionamiento en donde se proporciona la estructura del sistema utlizada en la metodología propuesta en este trabajo.
Colombia.
Figura 35. Modelo del funcionamiento desde la perspectiva de ciberseguridad. Fuente: Elaboración propia.
Dado el desarrollo de las tecnologias utilizadas en la industria y en las cuales se adoptaron los desarrollos alcanzados por decadas en las redes de comunicaciones, las empresas han visto la evolución de las arquitecturas de sus redes que a su vez producen modificaciones en la estructura para adoptar medidas oportunas con la finalidad de garantizar seguridad y continuidad del negocio (Asensio, García, Valiente, & Zuluaga, 2018).
Con la intención de dar una descripción de los diferentes componentes que intervienen en el sistema de control, protección y medida en la transmisión de energía eléctrica, la arquitectura de comunicaciones de este tipo de sistemas esta formada por uno o más centros de control y un número de dispositivos de campo como RTU (Remote Terminal Unit), IED (Intelligent Electronic Device), PLC (Programmable Logic Controller), Gateway (Controladores basados en sotfware y sistemas operativos), conectados por una
•Analítica, Inteligencia Artificial, Algoritmos,
Predicción, Estabilidad del Sistema, Proyección de Demanda, despacho de Generación.
InteligenciaOperacional
•Scada, ERP , MRP, Software de Gestión, Monitoreo,
Sincrofasores, Ondas Viajeras, Estimación de
estados, Simuladores eléctricos.
Sistemas
•Protocolos de comunicación, Medios Físicos (FO, Onda Portadora, Radio, Microondas, Satélite, GPRS), Equipos Físicos (SDH, PDH, Routers, MPLS, DWDM, GPON).
Comunicaciones
•Lógicas de Automatismos, Algoritmos de Protección
Eléctrica, Supervisión, Control, Registro de Eventos, Almacenamiento de Comtrade, Auto diagnósticos.
Procesamiento
•Protocolos de Comunicación, Medios Físicos (Fibra
Óptica, SFTP, Seriales RS232-RS485)
Transporte de Información
•Gateway, RTU (Remote Terminal Unit), IED, Controladores, Protecciones, Teleprotecciones, Registradores de Fallas, PMU, Routers, Switches, RedBox.
Dispositivos y Componentes Inteligentes
•Sensores, BI/BO/AI Controladores, BI/BO/AI
Protecciones, BI/BO/AI RTU, Transductores, Maletas de Pruebas, Mediciones Indirectas.
Enlace de Datos Físicos
•Equipos de Potencia (Interruptores, Seccionadores,
Transformadores, CT’s, PT’s, Descargadores etc.),
Líneas de Transmisión, Torres, Merging Unit.
Elementos Físicos MODELO DE FUNCIONAMIENTO SER VICIO S R EM O TO S SER VICIO S LO C AL ES 2 1 3 4 5 6 7 8 NIVEL 0 NIVEL 1 NIVEL 2 NIVEL 3
Colombia.
infraestructura de comunicaciones. Estos dispositivos reciben información desde los componentes de campo y convierten esta información en datos digitales, los cuales a su vez son enviados a los centros de control, tambien son capaces de recibir comandos digitales desde los centros de control y manejar grupos de alarmas y ajustes de variables de campo (Cherdantseva, y otros, 2016).
Las RTU, PLC y Gateway son dispositivos digitales que monitorean sensores y variables de campo, con las cuales toman decisiones basadas en programas de control realizadas por el usuario con lo que dependiendo de estas controlan valvulas, interruptores, tiristores, IGBTs entre otros. Dentro de la arquitectura de control la mayoría de instalaciones cuenta con una Interface Hombre Maquina IHM, que permite almacenar, controlar y operar de manera local el sistema a partir de una interface grafica y despliegues de operación. Por otra parte, las IHM proporcionan un sistema de supervisión y control centralizado para numerosas entradas y salidas de proceso. Estan diseñadas para recopilar información de campo, transferirla a un centro informático central y mostrar la información al operador gráfica o textualmente (Santander, 2017).
La comunicación se basa en el intercambio de mensajes entre los dispositivos maestros o clientes, con los dispositivos de control esclavos o servidores los cuales envían información y aceptan intrucciones de operación que transmiten hacia los elementos de campo (Cherdantseva, y otros, 2016).
Dentro de este marco y tomando las funcionalidades definidas anteriormente, las mismas están fisicamente soportadas en arquitecturas de comunicaciones que se resumen en el esquema presentado en la Figura 36, este diagrama se desarrollo con el objeto de representar las comunicaciones y enlaces de los casos más comunes que podemos encontrar en un sistema de transmisión de energía eléctrica.
Colombia.
Figura 36. Esquema de arquitectura de comunicaciones en sistemas de transmisión. Fuente: Elaboración propia.
Uno de los tipos más importantes de infraestructura de información crítica son los sistemas de control industrial (ICS) que supervisan y controlan procesos en infraestructuras industriales tales como sistemas de generación de energía, sistemas de distribución y transmisión eléctrica, sistemas de tratamiento de agua, oleoductos y gasoductos, plantas químicas y refinerías (Alcaraz & Zeadally, 2015). Estos sistemas incorporan arquitecturas de comunicaciones como la presentada en la Figura 36, para conectar centros de control a subestaciones remotas ubicadas en las infraestructuras que se controlan. Las
CENTRO NACIONAL DE DESPACHO
Servidores y Bases de Datos
Servidores y Bases de Datos
Sistemas de Monitoreo SCADA Sistemas de Gestión Sistemas de Adquisición RED WAN SDH MPLS / ETH GPRS RED WAN PLP OP MÚLTIPLES REDES SATELITAL
Diferenciales de Línea y Tele protecciones Router/Firewall MÚLTIPLES REDES SW Video SW Corporativa SW Voz IP SW Gestión SW Control & Protección
REDES CONTROL, PROTECCIÓN, GESTIÓN
RED GESTIÓN RED BUS DE PROCESO
MÚLTIPLES REDES
Sistemas de Control, Gateway, RTU, PLC. IHM, PC Gestión, Servidores
Registradores, PMU
Relés de Protección Maletas de Prueba
Merging Unit, CT Ópticos Maletas de Prueba
SE
R
VICI
OS
LOCALE
S
SER
VICI
OS
REMO
TOS
Colombia.
subestaciones incorporan sistemas automatizados llamados unidades terminales remotas (RTU), Gateway o controladores de subestación, que alojan sensores para recopilar y enviar datos de estado al centro de control y actuadores para realizar acciones de control (Alcaraz & Zeadally, 2015).
Teniendo en cuenta la importancia del sector energético, se necesita una tecnología principal para asegurar la coordinación de todos los componentes de la tecnología de operación (OT) desde un único centro, la cual se denomina sistemas de supervisión y adquisición de datos (SCADA). Los sistemas SCADA deben brindar alta disponibilidad y integridad de la información. En el caso particular del sector de energía su importancia esta dada en el garantizar el suministro de energía eléctrica a toda la población y a diferentes industrias (Santander, 2017).
Las tecnologías de la información y las comunicaciones desempeñan un papel crucial en la conectividad y el control de los sistemas críticos. La interconexión de redes ofrece importantes beneficios operacionales con respecto al control de supervisión y la adquisición de datos. Los beneficios incluyen conectividad global, flexibilidad y difusión de datos desde cualquier lugar y en cualquier momento a través de protocolos de comunicaciones basados en IP e interfaces web (Alcaraz & Zeadally, 2015).
Las protocolos que se manejan en la infraestructura de red sobre los sistemas de transmisión energía eléctrica generalmente son basados en TCP/IP, DeviceNet, ControlNet, PROFIBUS, MODBUS, DNP3, IEC61850, IEC61870-5-104, IEC61870-5-101 Serial, IEC61870-5-103 Serial (Cherdantseva, y otros, 2016).
Dentro de las comunicaciones más comunes que encontramos en subestaciones eléctricas de transmisión con centros de control de nivel superior se tienen los siguientes protocolos: IEC 60870-5-101 Serial, IEC 60870-5-104, DNP V3.00, OPC Server, IEC61850 Server, ICCP.
Para las comunicaciones internas de la subestación con IED, RTU, PLC, relés de protección y controladores de Bahía usualmente se usan los siguientes protocolos: IEC 61850, Profibus, IEC 60870-5-101 Serial, IEC 60870-5-103 Serial, IEC 60870-5-104, DNP V3.00, Modbus, OPC Client y algunos otros proptocolos propietarios.
Colombia.
Adicionalmente, el uso extensivo del protocolo TCP/IP permite la integración de los protocolos de comunicación que se usan con las tecnologías IT, como por ejemplo la utilización de los protocolos SNTP, ICMP, SNMP, RSTP entre otros.
Con respecto a los requerimientos del sistema, para las conexiones físicas en la infraestructura de comunicaciones se implementan interfaces en RS232, RS485, E1, Ethernet en 10/100Mbps e incluso ya se tienen soluciones en Gbps, donde en los diferentes caso se utilizan por lo general cables tipo Coaxial, SFTP o Fibra Óptica.
De acuerdo a lo expuesto hasta el momento y teniendo en cuenta un factor adicional a los enunciados anteriormente, se tiene que generalmente existe una interacción entre sistemas de control y protección con otras redes como la red corporativa (conectada a internet), VozIP, Stream, sistemas de realidad aumentada y Video Vigilancia.
En el momento de explicar la metodología utilizada en este trabajo, se hace necesario mencionar que las actuales implementaciones a nivel mundial en cuanto a los sistemas de control y protección se realizan con el estándar IEC 61850. Este protocolo fue desarrollado por el IEC TC 57 (Power Systems Management and Associated Information Exchange) el cual publicó la norma IEC 61850 Edition 1 en 2005, la cual fue aceptada por las compañías eléctricas de todo el mundo a un ritmo notablemente rápido. Este estándar fue desarrollado originalmente para comunicaciones en sistemas de automatización de subestaciones y dada su evolución, sus áreas de aplicación se extendieron a sistemas de energía hidroeléctrica, sistemas de energía eólica y sistemas de energía distribuida (Hyunguk & Taeshik, 2015).
El IEC 61850 está diseñado para soportar el modelado de información orientada a objetos y la autodescripción. Estas diferencias fundamentales entre IEC 61850 y otros protocolos resultan en algunos problemas para armonizar la interoperabilidad con estos mismos, lo que finalmente pueden causar en algunos casos vulnerabilidades de seguridad (Hyunguk & Taeshik, 2015).
En efecto, el protocolo IEC 61850 debe trabajar en armonía con otros estándares de comunicación utilizados en arquitecturas típicas de subestaciones y centros de control. Sin embargo, no se han realizado estudios sobre los tipos de nuevas vulnerabilidades de seguridad y las exigencias de seguridad requeridas en un entorno en el que IEC 61850 y
Colombia.
protocolos heterogéneos están vinculados (Hyunguk & Taeshik, 2015). Solamente se tienen algunos aspectos de seguridad de IEC 61850 especificados en el estándar IEC 62351 parte 3.
Al establecer la norma IEC 61850 la posibilidad de realizar una comunicación a nivel de proceso y campo (comunicación entre el nivel 0 y nivel 1), permite un mayor control del sistema y una disminución considerable en el cableado eléctrico, enviando toda la información requerida en los IEDs por comunicaciones. Su implementación es cuidadosa, debido a que se tienen que seguir conservando las prestaciones operativas convencionales de los sistemas eléctricos clásicos como lo es tiempos de operación, seguridad, redundancia y confiabilidad (J, D, & O, 2012).
Existen tres protocolos de comunicación para transmitir el modelo de información IEC 61850: MMS (Manufacturing Message Specification), GOOSE (Generic Object Oriented
Substation Event) y SMV (Sampled Measured Values). MMS se usa para la mayoría de la
información operativa que no es de tiempo crítico. GOOSE se utiliza para información de tiempo crítico como disparos, enclavamientos y bloqueos. SV se utiliza para la información de voltaje y muestra de corriente (Hyunguk & Taeshik, 2015). El protocolo MMS se aplica en el nivel de la estación según el modelo cliente / servidor, que se ejecuta en redes TCP / IP. Los protocolos GOOSE y SMV se basan en el mecanismo de publicación / suscripción en la red de área local (LAN) de la subestación mediante Ethernet conmutada de alta velocidad (Yang, y otros, 2017).
En este trabajo se limita la aplicación de la metodología al sistema de transmisión, cuyo objetivo es transportar energía eléctrica a través del sistema interconectado nacional (SIN) entre los sitios de generación y las subestaciones de distribución, para lo cual se utilizan subestaciones y líneas de transmisión. En Colombia el SIN tiene alrededor de 233 subestaciones de transmisión y con más de 24.000 kilómetros de líneas de transmisión (Santander, 2017).
Los sistemas de potencia funcionan frecuentemente cerca de los limites operacionales debido al incremento de la demanda de electricidad, donde pequeños disturbios en la red pueden producir disparos y efectos de mayor escala como Blackouts. De manera general, los Blackouts resultan de fallas en cascada en el sistema de transmisón de energía, los
Colombia.
disparos de fallas en cascada son multiples y principalmente incluyen casos aleatorios y ataques maliciosos (Zhu, Yan, Tang, Sun, & He, 2015).
Un grupo terrorista es probable que destruya fisicamente un transformador y líneas de transmisión para causar salidas de potencia en una red de eléctrica. En cambio un grupo de hackers puede inyectar remotamente datos falsos para deshabilitar plantas de generación y líneas de transmisión, las cuales pueden producir fallas en cascadas en la red de transmisión (Zhu, Yan, Tang, Sun, & He, 2015).
En trabajos existentes, las investigaciones de ataques sobre redes eléctricas se aborda principalmente desde tres puntos de análisis: desarrollo de modelos de fallas en cascada, desarrollo de métricas, selección de nodos y enlaces objetivos. Por su parte, los modelos de fallas en cascada incluye tres categorías, modelos topológicos, modelo de flujos de potencia y modelos hibridos.
En el caso particular del sistema de transmisión de energía eléctrica los diseños se realizan para que funcionen por largos periodos tiempo, alrededor de 25 a 30 años, esto a través de rutinas de mantenimiento, reacondicionamientos y integración de nuevas tecnologías (Zio, 2016).
En este trabajo se considera como infraestructura crítica (IC) las redes de transmisión de energía eléctrica. Estas redes a su vez se definen como sistemas complejos debido a la multiples interacciones entre sus componentes, dadas por el diseño que esta orientado a brindar un rendimiento óptimo, una operación confiable y una funcionalidad segura. El problema radica en que los metodos clasicos de análisis de vulnerabilidad y evaluación del riesgo,no puede abarcar la complejidad de la IC (estructura y dinamismo; topología y funcionalidad, estatica y dinamica).
Esta complejidad dificulta el análisis de una falla o mal funcionamiento, comportamientos emergentes pueden surgir a nivel de sistema por una respuesta colectiva de componentes fundamentales, que se traduce en la incapacidad de predecir y administrar un evento en el sistema. Como consecuencia existe una mayor incertidumbre en la caracterización de escenarios de falla de la infraestructura crítica (Zio, 2016).
Colombia.
La estructura compleja hace referencia a la heterogeniedad, la cual se refiere a las diferencias en los elementos, sus interconexiones y roles dentro de la estructura del sistema, frecuentemente con alta conectividad hacia los elementos del nucleo y baja conectividad hacia los nodos perisfericos (Zio, 2016).
La complejidad dinámica se manifiesta mediante eventos inesperados en el comportamiento del sistema, en respuesta a cambios locales en el entorno y a las condiciones operacionales de sus componentes. El sistema eléctrico de potencia a mostrado dentro sus antecedentes a nivel mundial comportamientos emergentes, en donde fallas locales han producido efectos envolventes inesperados transformándose en fallas en cascada sobre todo el sistema (Zio, 2016).
Para la identificación de activos críticos dentro del sistema, se utilizo el método de identificarlos dando respuestas a las siguientes preguntas:
¿Cuales son sus componentes críticos que si fallan causarian grandes consecuencias? ¿Cuales son los mecanismos de propagación en toda la infraestructura crítica?
¿Cuales son los eventos iniciales locales que pueden evolucionar a fallas en cascada globales?
Dentro de este orden de ideas, la definición de los componentes eléctricos del sistema de transmisión de energía se define en dos grandes grupos, subestaciones eléctricas y las líneas de transmisión que conectan las subestaciones a todo el resto de la cadena energética.
En consecuencia, a nivel sistemico eléctrico los activos que se pueden ver afectados son subestaciones y líneas de transmisión, por lo tanto la identificación de los activos que en este trabajo se denomina activos primarios son, por un lado, la propia línea de transmisión y por otro, los elementos que constituyen una unidad constructiva que abarca dentro de esté un conjunto de elementos y equipos utilizados para dirigir el flujo de energía, lo que se denomina como grupo subestación eléctrica.
La definición de estos activos primarios dependen de la configuración de la subestación, esta hace referencia al arreglo de equipos electromecánicos consecutivos de un patio de
Colombia.
conexión, que se traducen en la manera en que permite su operación con diferentes grados de confiabilidad, seguridad y flexibilidad.
Por consiguiente, los activos utilizados en el presente trabajo se definen en las Figuras 37, 38, 39 y 40, en donde se muestra la tipificación de los activos primarios para las configuraciones de subestaciones existentes en Colombia, y que a su vez son identificados como los elementos del sistema de transmisión que pueden versen afectados ante un ataque de cualquier índole y origen.
Figura 37. Activos primarios subestación barra sencilla en sistemas de transmisión. Fuente: Elaboración propia.
Figura 38. Activos primarios subestación doble barra en sistemas de transmisión. Fuente: Elaboración propia.
BARRA 1 (1)
(2)
LÍNEA 3 LÍNEA 2
LÍNEA 1
LÍNEA 1 LÍNEA 2 LÍNEA 3
ACOPLADOR DE BARRAS
LÍNEA 4
LÍNEA 7 LÍNEA 8 LÍNEA 9 LÍNEA 10 LÍNEA 11
LÍNEA 5 LÍNEA 6 BARRA 1 BARRA 2 (1) (2) (3) (4)
Colombia.
Figura 39. Activos primarios subestación doble barra + transferencia en sistemas de transmisión. Fuente: Elaboración propia.
Figura 40. Activos primarios subestación interruptor y medio en sistemas de transmisión. Fuente: Elaboración propia.
LÍNEA 1 LÍNEA 2 LÍNEA 3
ACOPLADOR DE BARRAS
LÍNEA 4
LÍNEA 7 LÍNEA 8 LÍNEA 9 LÍNEA 10 LÍNEA 11
LÍNEA 5 LÍNEA 6 BARRA 1 BARRA 2 (1) (2) (3) (4) (6) (3) BARRA 2 (1) LÍNEA 2 LÍNEA 1 CORTE A CORTE B CORTE C BARRA 1 DIAMETRO 1 LÍNEA 2 LÍNEA 1 CORTE A CORTE B CORTE C LÍNEA 2 LÍNEA 1 CORTE A CORTE B CORTE C DIAMETRO 2 DIAMETRO 3 (2) (4) (5)
Colombia.
Identificando estos activos primarios, se definen los activos secundarios que pueden afectar el activo primario, entendiéndose afectar como no permitir el flujo de energía a través de él, en condiciones del sistema en el que deberia admitirlo. Los activos secundarios, para cada activo primario se presentan en la Figura 41, los cuales fueron definidos a partir del modelo funcional y del esquema de arquitectura desarrollado al inicio de esta sección, y teniendo en cuenta que por su funcionalidad afectan directamente el activo primario de nuestro