En esta etapa del proyecto se analizan los mecanismos y metodologías de evaluación de Ciberseguridad en los sistemas eléctricos, que se realizan a nivel mundial y se definen algunas de las prácticas que aplicarían al entorno colombiano. Para este aspecto se realizó el estudio en algunos países, de donde se analizó las metodologías que aplicaban y de qué manera se adaptaban al entorno de transmisión de energía eléctrica.
La metodología de desarrollo utilizada en esta fase se muestra a continuación:
Figura 3. Etapa de análisis de mecanismos de evaluación. Fuente: Elaboración propia.
Las infraestructuras críticas juegan un papel vital en el apoyo a la sociedad moderna. La fiabilidad, el rendimiento, la operación continua, la seguridad, el mantenimiento y la protección de infraestructuras críticas son prioridades nacionales para los países de todo el mundo. (Alcaraz & Zeadally, 2015).
La Unión Europea (UE), a través de su Programa Europeo para la Protección de Infraestructuras Críticas (EPCIP, European Programme for Critical Infrastructure
Protection), también enfatiza la importancia de la protección de infraestructuras críticas para
todos sus estados miembros y sus ciudadanos. Según el EPCIP, las infraestructuras críticas se clasifican de la siguiente manera:
Mecanismos o metodologías de otros países. Identificación de
diferencias y
semejanzas.Identificación de
factores que aplicanal sistema de
transmisión de
energía.Definición de las
prácticas aplicables alSTN colombiano.
Colombia.
• Energía.
• Tecnologías de la Información y las Comunicaciones.
• Agua.
• Agricultura, Salud Público.
• Sistema Financiero.
• Administración Civil.
• Seguridad Pública y de Orden Legal.
• Sistemas de Transporte
• Industria Química.
• Industria Nuclear.
• Espacio.
• Servicios de Investigación.
Las conexiones entre los sectores de infraestructura críticas producen relaciones de interdependencia especiales. Las relaciones expresan el hecho de que una infraestructura crítica podría depender de productos y servicios proporcionados por otra infraestructura crítica, y la segunda infraestructura crítica también puede depender de los productos y servicios proporcionados por la primera infraestructura crítica. Estas interdependencias podrían desencadenar efectos de cascada en múltiples infraestructuras críticas cuando una infraestructura crítica se interrumpe, daña o destruye (Alcaraz & Zeadally, 2015).
En (CRC, Comisión de Regulación de Comunicaciones 2015 – Identificación de las posibles acciones, 2015) se presenta un análisis de la información vigente en temas de Ciberseguridad a nivel internacional, con el fin de plantear posibles líneas de acción en la materia para la Comisión de Regulación de Comunicaciones de Colombia. Dentro de las experiencias recopiladas en este documento, se incluyeron por su avance e impacto las siguientes en el presente trabajo de investigación:
Unión Europea
En el año 2013 la Comisión Europea publicó el documento titulado “Estrategia de Ciberseguridad de la Unión Europea: Un Ciberespacio Abierto, Seguro y Protegido”
Colombia.
, que aborda de manera general el problema de la Ciberseguridad (CRC, 2015). En el caso de la Unión Europea oriento a los estados miembros hacia la adopción de prácticas para la gestión de riesgos en las administraciones públicas y para los operadores de servicios financieros, de transportes, servicios de energía y para los prestadores de servicios que operen con información sensible de los usuarios.
Dentro de las medidas adoptadas las empresas de los sectores críticos concretos antes citados y las administraciones públicas evaluan los riesgos a que se enfrentan y establecen medidas adecuadas y proporcionadas para garantizar la seguridad de la Información y redes. Estas empresas notifican a las autoridades competentes todos los incidentes que supongan un peligro grave para el funcionamiento de sus redes, sistemas de información y comprometan de forma significativa la continuidad de los servicios críticos y el suministro de mercancías (CRC, 2015).
En varios países de la Unión Europea se exige la acreditación de seguridad de sistemas informáticos en operación, en el cual se definen los procedimientos a seguir para una buena práctica de gestión, todo ello de acuerdo a la norma ISO 27001 (CRC, 2015).
Estados Unidos
Para el caso de los Estados Unidos la seguridad nacional y económica del país depende en gran medida del funcionamiento fiable de su infraestructura crítica, es por ello que en el año 2008 fue lanzada la Iniciativa Integral Nacional de Ciberseguridad (CNCI), que para el tema particular de análisis establecio una línea de defensa contra las amenazas inmediatas, mediante la creación o mejora de la conciencia compartida de vulnerabilidades de la red, las amenazas y eventos dentro del Gobierno Federal, y en última instancia con sectores estatales, locales y los socios del sector privado, teniendo como objeto actuar con rapidez para reducir vulnerabilidades actuales y prevenir intrusiones (CRC, 2015).
En cuanto a temas particulares para la industria TI y los equipos terminales, respecto a seguridad, se han adoptado certificaciones expedidas por instancias como la NIAP
Colombia.
(National Information Assurance Partnership), la cual es una iniciativa del gobierno
de Estados Unidos para identificar las necesidades de pruebas de seguridad tanto de consumidores como de productores de tecnologías de la información, la cual es operada por la NSA (National Security Agency) y fue el resultado de un esfuerzo conjunto entre la NSA y el NIST (National Institute of Standards and Technology) de los Estados Unidos. Esta certificación proporciona un conjunto común de requisitos funcionales para los productos de TI (Tecnologías de la Información) y combinan criterios de los sistemas de evaluación de seguridad de Estados Unidos, Canadá y Europa, que a su vez fueron adoptados por la ISO (International Organization for
Standardization) bajo la serie de normas ISO/IEC 15408 (CRC, 2015).
Las redes eléctricas en Estados Unidos han estado desarrollándose durante más de un siglo, convirtiendose en sistemas extremadamente complejos con más de 55.000 subestaciones y cerca de 500.000 kilómetros de líneas de transmisión. Investigaciones frecuentemente se refieren a subestaciones como nodos y a líneas de transmisión como enlaces, investigando las vulnerabilidades del sistema desde estas dos perspectivas (Zhu, Yan, Tang, Sun, & He, 2015).
Los Estados Unidos y algunas provincias de Canadá también aplican las normas o estándares de NERC-CIP versión 6 (North American Electric Reliability Corporation
Critical Infrastructure Protection) en los sistemas de energía. El incumplimiento
puede dar lugar a sanciones financieras (CRC, 2015).
Australia
Australia en el 2009 creó la Estrategia de Ciberseguridad en la que estableció las prioridades estratégicas del gobierno para asegurar la infraestructura de información nacional y reunió dos iniciativas: el CERT (Computer Emergency Response Team) Australia y el CSOC (Cyber Security Operations Centre) (CRC, 2015).
El ente regulador ACMA (Australian Communications and Media Authority) desarrolló la iniciativa de seguridad en Internet australiana, el cual reúne datos de
Colombia.
varias fuentes en computadores que presentan alguna desviación en su comportamiento dentro de las redes de Internet del país y a partir de estos datos, el ACMA provee reportes diarios y con sugerencias sobre la forma de solucionar la anomalía detectada (CRC, 2015). Como dato adicional en Australia es ilegal que cualquier persona u organización utilice y controle remotamente el computador de otra persona sin su consentimiento.
En (Hopkin Paul, 2017) se define cuatro aspectos que pueden ser afectados por una amenaza o riesgo determinado dentro de una organización. Para el caso particular de las amenazas de los ciber activos del sistema de transmisión y teniendo en cuenta esta definición tenemos los impactos globales que se pueden llegar a presentar:
✓ Financiero: La empresa podría no ser capaz de transportar la energía eléctrica y pagar compensaciones por incumplimientos de contratos o por energía no suministrada.
✓ Infraestructura: La empresa podría perder activos por los daños ante la materialización de riesgos y realizar inversiones de alto costo para cumplir con las obligaciones adquiridas como transmisor de energía eléctrica. Además, podría tener afectación en seres vivos, llegando a tener pérdidas humanas o afectaciones ambientales por ataques de ciberseguridad efectivos.
✓ Reputación: La empresa podría ser intervenida por la superintendencia de servicios públicos domiciliarios debido a una reputación degradada dado a ataques exitosos de ciberseguridad.
✓ Mercado: El sector energético podría buscar otro proveedor de electricidad o castigar con los valores remunerados al agente transmisor, por la afectación del servicio de energía eléctrica debidas a ataques cibernéticos.
Como parte de la revisión de diferentes metodologías utilizadas a nivel mundial, a continuación se muestran algunas investigaciones realizadas en el ámbito de Ciberseguridad y análisis de vulnerabilidades en infraestructuras críticas:
Colombia.
• En la metodología utilizada en (Song J, Lee J, Lee C, Kwon K, & Lee D., 2012) se describe seis pasos que deben llevarse a cabo para realizar una evaluación de riesgos de seguridad cibernética durante el diseño del sistema y componentes:
1. Identificación del sistema y modelado de seguridad cibernética. 2. Análisis de activos y de impacto.
3. Análisis de amenazas. 4. Análisis de vulnerabilidad 5. Diseño de control de seguridad. 6. Prueba de penetración.
En cuanto al análisis de vulnerabilidad, en este trabajo se recomienda utilizar una lista existente de vulnerabilidades y adaptarlas a las características específicas del sistema bajo análisis.
• En (Woo & Kim, 2014) se propone una metodología para la evaluación cuantitativa del riesgo de seguridad cibernética en los sistemas SCADA basada en el flujo de potencia óptimo y el seguimiento del flujo de potencia.
Para la cuantificación de vulnerabilidades, primero, se define el impacto de cada amenaza para cada componente. Luego, se asigna un índice de vulnerabilidad a cada componente del sistema. El índice de vulnerabilidad de un componente se basa en datos históricos, cuando estos están disponibles, y en las características de seguridad del componente. Para la cuantificación de amenazas, se asigna un índice ponderado normalizado a cada tipo de amenaza para cada componente del sistema SCADA. Se basa en la aplicabilidad del tratamiento al componente, con el índice de vulnerabilidad y la capacidad de daño. El valor del activo se calcula en función del costo de interrupción.
El flujo de potencia óptimo se estima como un costo mínimo de generación de energía para todos los generadores bajo restricciones de generadores y capacidades de línea. El método de seguimiento de flujo de potencia, se basa en la teoría de grafos, se utiliza para examinar las interdependencias entre generadores
Colombia.
y terminales de carga con el fin de calcular el costo de interrupción para cada componente de un sistema SCADA.
Finalmente, el riesgo se calcula en términos monetarios como un producto de las probabilidades de una amenaza y vulnerabilidad, y el costo de un activo.
• En la investigación realizada en (X. Liu & Z. Li, X. Liu, Z. Li 2015 – Trilevel Modeling of Cyber Attacks, 2015), se desarrolla una metodología para el análisis de impacto de una subestación eléctrica y sus líneas asociadas, considerando parametros de ataques y sus correlaciones con las conexiones fisicas del sistema de transmisión de energía eléctrica.
Varios metodos son utilizados para evaluar las probabilidades de acceso ilegal, los cuales incluyen cadenas de Markov, redes Petri y metodos basados en redes Bayesianas (X. Liu & Z. Li, X. Liu, Z. Li 2015 – Trilevel Modeling of Cyber Attacks, 2015).
En este artículo se hace enfasis en analizar la respuesta del sistema de protección local de la subestación ante ciber ataques. Se evalúa los Ni parametros de ajuste del esquema de protecciones eléctricas de la subestación y líneas de trasnmisión y se asume una capacidad de atacante el cual es definido como el porcentaje de parametros que el atancante puede modificar, evaluando el número y las combinaciones de parametros modificables, al igual de su indicador de impacto sobre el sistema de transmisión.
• En (Yang, y otros, 2017) se propone un modelo de sistema de detección de intrusión (IDS) orientado a ciber seguridad de subestaciones eléctricas basadas en IEC 61850. El IDS propuesto integra el conocimiento físico, las especificaciones del protocolo y los comportamientos lógicos para proporcionar una solución integral y efectiva que pueda mitigar varios ciberataques.
Colombia.
Se han propuesto muchas investigaciones en intrusión y detección de anomalías dirigidas a los sistemas SCADA. Sin embargo, la investigación sobre IDS orientado a subestaciones inteligentes con IEC 61850 todavía se encuentra en una etapa temprana de desarrollo (Yang, y otros, 2017). Un IDS basado en reglas para un IED con IEC 61850 generalmente se obtienen a partir de datos experimentales basados en ciberataques simulados sin considerar la especificación del protocolo. El enfoque de la lista negra (blacklist) propuesta en algunos IDS muestra la detección efectiva de ataques conocidos. Sin embargo, las listas negras generalmente no son efectivas contra amenazas desconocidas o vulnerabilidades no descubiertas, también llamadas ataques de día cero.
Basado en ciberataques relacionados recientes como Havex, Stuxnet y BlackEnergy, la motivación para la IDS de red es detectar comportamientos específicos del SCADA llevados a cabo por un intruso que ya se ha afianzado en la red debido a una interfaz de máquina humana infectada (HMI), computadora portátil de ingeniería o un vector inicial similar. Estas infecciones iniciales suelen explotar las vulnerabilidades del software de TI no relacionadas con el sistema de control central.
El enfoque de IDS propuesto en (Yang, y otros, 2017) consta de cuatro dimensiones:
1. Detección de control de acceso: Es un tipo de estrategia de control de acceso que incluye direcciones de control de acceso medio (MAC) en la capa Ethernet, direcciones IP en la capa de red y puertos en la capa de transporte. 2. Detección de lista blanca de protocolo: Se refiere a las capas 2-7 en términos del modelo OSI y trata de identificar los protocolos de redes de subestaciones inteligentes que deben operar.
3. Detección basada en modelos: El enfoque analiza los archivos SCD y el contenido de tráfico IEC 61850 normal, define modelos de comportamiento normales y correctos utilizando un análisis de protocolo en profundidad y compara los perfiles de comportamientos benignos con el tráfico observado para identificar desviaciones anómalas.
Colombia.
4. Detección basada en múltiples parámetros: La idea central de la detección es identificar las posibles amenazas contra el SCADA, que resultan de un uso indebido interno no intencionado o ataques maliciosos externos mediante el control de los parámetros más sensibles desde el punto de vista operativo de una subestación eléctrica. Se basa en la integridad de los datos, compara valores desde todos los puntos de información.
La clave para este trabajo es el uso novedoso de la información de configuración del archivo SCD, para configurar automáticamente el IDS desplegado en la subestación donde está instalado el IDS.
• En el trabajo realizado en (Zhu, Yan, Tang, Sun, & He, 2015), se diseña una nueva métrica llamada gráfico de interdependencia de componentes, para presentar las relaciones entre nodos críticos y enlaces desde la perspectiva del atacante. Adicionalmente, se realiza simulaciones adoptando el sistema propuesto en la IEEE 30, el cual es utilizado como punto de referencia para los análisis realizados. El sistema de potencia analizado cuenta con 30 nodos y 41 enlaces, que en total suman 71 componentes de red analizados. Las combinaciones de nodos y enlaces son destacados en la investigación realizada, por que de esta radica la importancia para la investigación de vulnerabilidades y las estrategias de ataques en el sistema de transmisión de energía, identificando y generando un gráfico de interdependencias de componentes.
En este trabajo se representa la red de influencia como H, donde H = {N,L} , donde N es el grupo de Nodos (subestaciones del área de influencia) y L es el número de enlaces (líneas de transmisión del área de influencia). Los nodos son clasificados en tres grupos, nodos de generación NG, nodos de demanda ND y nodos de transmisión NT. Adicionalmente, se definen las siguientes constantes KN, KL, KNG, KND, los cuales representan el número de nodos, enlaces, nodos de generación y nodos de demanda respectivamente.
Colombia.
En sistemas de potencia, la energía es transmitida desde nodos de generación hasta nodos de demanda. Por lo tanto, cada nodo puede causar cambio en los enlaces del sistema eléctrico. Sin embargo, dentro de la red eléctrica siempre existe un limite de flujo de potencia, que en el caso de (Zhu, Yan, Tang, Sun, & He, 2015) se denomina Pmax. Finalmente, la capacidad de la red CRT es usada en la metodología para evaluar como el sistema puede suplir la energía ante los diferentes eventos que puedan ocurrir en el sistema de potencia.
La metodología se basa en grafos, el cual luego del análisis de varias combinaciones, se visualiza una red con nodos que representan los componentes del sistema y enlaces que representan las interdependencias entre dos componentes, adicionalmente en el gráfico el color y el tamaño de la fuente representa la criticidad tanto del nodo como del enlace correspondiente, tal como se muestra en la Figura 4.
Figura 4. Grafo de interdependencias de componentes Topología IEEE 30. Fuente: (Zhu, Yan, Tang, Sun, & He, 2015).
Para la simulación propuesta en esta metodología se tienen en cuenta los siguientes conceptos definidos (Zhu, Yan, Tang, Sun, & He, 2015):
Colombia.
✓ Carga: En este documento representa la potencia transferida por cada línea de transmisión, se demona carga inicial a la potencia trasmitida antes del ataque o de pérdida del elemento.
✓ Tolerancia del sistema: Dentro del modelo eléctrico se debe conocer y definir la capacidad de cada línea de transmisión y subestación. Esta capacidad generalmente esta dada proporcionalmente a una carga inicial. Esta proporcionalidad es la tolerancia del sistema.
✓ Sobre Carga: Es cuando alguno elemento del sistema de potencia excede su capacidad.
Como medida de valoración en (Zhu, Yan, Tang, Sun, & He, 2015), se adoptan dos medidas para evaluar el daño causado por el ataque. La medida principal es el porcentaje de caída en la capacidad de la red (PCR), que se define como:
PCR = (CRT − CRT′) CRT⁄ [1]
Donde CRT representa la capacidad de la red antes del ataque y CRT' representa la capacidad de la red después del ataque. Es importante tener en cuenta que las fallas en cascada ocurren precisamente cuando la carga de una subestación o línea de transmisión excede esta capacidad, la cual es calculada en (Zhu, Yan, Tang, Sun, & He, 2015) por el multiplo de la tolerancia del sistema con respecto a la carga base o inicial.
La segunda medida es la pérdida de conectividad (PL), que se define como:
PL = 1 − KL′ KL⁄ [2]
Donde KL es el número de líneas disponibles antes del ataque y KL' representa el número de líneas disponibles luego del ataque.
Colombia.
• Otra investigación encontrada, donde se calculan metricas de ciberseguridad es en (Yu, Mao, & Guo, 2006), en donde se propone un índice de vulnerabilidad para sistemas de potencia dado por:
Ic= ∑j∈NP(Ej)×P(ELj Ej⁄ )×Lj(ELj) [3]
Donde:
P(Ej) : Probabilidad de la ocurrencia del evento Ej.
P(ELj/Ej) : Probabilidad de afectación del sistema de potencia ELj : Resultado del evento de ciber seguridad Ej.
Lj : Pérdidas causadas por la afectación ELj.
• Uno de los trabajos que aporto un referente importante para la investigación realizada es (Cherdantseva, y otros, 2016), donde se describe un estado del arte detallado sobre las diferentes metodologías para la valoración del riesgo y que contribuye a la identificación de las vulnerabilidades del sistema. A continuación se describen aspectos relevantes de las metodologías presentadas y que de una u otra forma contribuyeron a la propuesta realizada en el presente trabajo.
En (Cherdantseva, y otros, 2016) se referencia el método de dos índices para la evaluación cuantitativa de la vulnerabilidad de los sistemas de información críticos. El método desarrollado en (Patel S, Graham J, & Ralston P., 2008), es basado en una vulnerabilidad argumentada en estructura de arbol con dos índices, nombrados índice de impacto de la amenza y índice de ciber vulnerabilidad.
1. El índice de impacto de la amenza representa el efecto financiero de una amenaza cibernética, entre más grande es el indicador mayor es el impacto. Se mide en la escala de 0 a 100.
2. El índice de ciber vulnerabilidad representa la vulnerabilidad de un sistema con respecto a un ciberataque. Un sistema más vulnerable tiene un índice más alto. Se mide en la escala de 0 a 100.
Colombia.
El método requiere seis pasos para su ejecución:
1. Desarrollo del diagrama de árbol desde su nivel base, identificando las vulnerabilidades para un sistema determinado.
2. Construcción de una tabla de análisis de efectos y cálculo de los valores del índice de impacto de la amenaza.
3. Asignación y reorganización en el diagrama de árbol de los valores de índice