ptarzh-CNenfrdeitjarues

Tres preguntas para Paulo Antunes, gerente de aplicaciones de Siemens Energy

Evalúa este artículo
(0 votos)
Viernes, 22 Marzo 2019 11: 35

TI Safe - La industria del futuro requiere que las empresas estén cada vez más interconectadas. En su evaluación, ¿cuáles son los principales riesgos de la digitalización de las redes de energía y cómo pueden ser mitigados?

En este caso, Estamos realmente viviendo la revolución de la IoE (Internet of Energy), en la que observamos cada vez más dispositivos de energía conectados en sistemas en la nube (Cloud), además de un enorme parque de equipos de protección accesibles vía redes LAN (Red de área local - Red de área local). Las empresas lo hacen con el objetivo de extraer valor de las informaciones existentes en esos dispositivos para que puedan ser más eficientes y competitivas. Sin embargo, cuanto más dispositivos conectados, mayor es la superficie de exposición y, consecuentemente, mayor el riesgo de ataques cibernéticos. Por eso, la seguridad cibernética es tan importante para la revolución del IoE, pues toda esta tecnología sólo ganará escala si la gente confía en este sistema, si es seguro.

Los riesgos existentes en sistemas de energía son diversos, siendo los más peligrosos aquellos que están relacionados con la posibilidad de que alguien tome el control remoto de una subestación o de una planta de generación de energía. Y, así, actuar para realizar un apagado amplio en el suministro de energía eléctrica. A ejemplo del reciente apagón Venezuela, debido a la falla en la hidroeléctrica Guri, que abastece casi 80% del país. El presidente Nicolás Maduro atribuyó la falta de suministro de energía eléctrica a un ataque cibernético (aún sin comprobación). Hay también el caso clásico en Ucrania, en el que un apagón oficialmente atribuido por el Departamento de Seguridad de los Estados Unidos por ataque de hackers.

En Siemens, consideramos que un sistema de energía demanda un enfoque holístico, pasando por:

  • Equipos y sistemas seguros
  • Personas capacitadas en seguridad cibernética
  • Procesos adecuados para el control y el uso de las tecnologías de seguridad cibernética.

La solución depende de cada instalación y cliente. Entendemos que no existe una respuesta única. Así, las fases de un proyecto pasan por:

  • Evaluación de la infraestructura del sistema de automatización de energía
  • Aplicación de las medidas de seguridad
  • Mantenimiento de la seguridad cibernética a lo largo del tiempo

Siemens está muy atenta a este tema y hace cerca de un año firmó un documento llamado Charter of Trusten conjunto con varias empresas multinacionales. En este documento, existe un compromiso para que la seguridad cibernética forma parte de la agenda de los CEO y del núcleo de las empresas, con 10 principios para un mundo digital más seguro. Más información está disponible en el sitio: https://new.siemens.com/global/en/company/topic-areas/digitalization/cybersecurity.html

TI Safe - ¿De qué forma es posible diseñar redes de automatización de energía confiables y robustas en este escenario de manufactura avanzada?

Pablo Antunes - Siemens hace uso de la norma internacional IEC-62433 para definir los mecanismos de seguridad de sus proyectos de automatización de energía eléctrica. Esta norma define cómo se debe hacer la protección e implementación de estos sistemas. Utilizamos también el principio de defensa en profundidad en la definición de un sistema seguro, el principio de diseño seguro en la definición de topología y arquitectura de red y el principio de menor privilegio en la definición de los roles de los usuarios en el sistema. Para alcanzar el nivel de seguridad necesario, combinamos una serie de medidas de seguridad. Se aplican de acuerdo con la realidad de cada empresa y de una manera a no interferir en los telegramas críticos utilizados, como por ejemplo el GOOSE:

Control de acceso y gestión de credenciales

  • Inicio de sesión
  • Endurecimiento
  • parcheo
  • Protección contra el malware
  • Acceso remoto seguro

Nuestros productos se están desarrollando con una serie de funcionalidades de seguridad cibernética embarcadas, como por ejemplo:

  • RBAC - Role-based access control con gestión central de usuarios.
  • Logging con administración central de alertas de cyber security
  • Firmware digitalmente firmado, con uso de crypto-chip
  • Cifrado en protocolos para tráfico de información sensible
  • Almacenamiento seguro de información sensible dentro del equipo

Así, dirigimos inmediatamente dos puntos de nuestro enfoque holístico:

  • Equipos seguros
  • Procesos adecuados de uso de las tecnologías de seguridad cibernética

TI Safe - ¿Cómo funciona la herramienta de verificación automática de seguridad Cibernética de Sistemas de automatización de energía de Siemens?

Pablo Antunes - La herramienta que utilizamos se llama Siesta (Siemens Extensible Security Testing Appliance). Es una solución que nos apoya en la ejecución de proyectos pudiendo ser aplicada en las siguientes fases:

  • Evaluación de la infraestructura del sistema de automatización de energía
  • Aplicación y confirmación de las medidas de seguridad

La solución poseyó una serie de rutinas internas que prueban el sistema existente contra normas e implementa las mejores prácticas de configuración de equipos para detectar vulnerabilidades y errores de configuración existentes en los componentes de la solución. El resultado es un informe en formato de "Farol", clasificando el nivel de problemas encontrados en rojo / amarillo / verde. Esto sirve de base para la definición de las medidas de seguridad que deben aplicarse para garantizar la mitigación de los riesgos cibernéticos en las infraestructuras críticas de energía.

Lido 286 veces

Copyright © 2007-2018 - TI Seguridad Seguridad de la Información - Todos los derechos reservados.