La ciberseguridad en las subestaciones y el estándar IEC 61850

Publicado el 06/08/2015, por INCIBE
Subestación

La protección de una subestación eléctrica es una tarea compleja, ya que en ella conviven una gran variedad de protocolos y dispositivos. En ocasiones, la dificultad de la protección viene dada porque los sistemas son muy antiguos o propietarios, y, en otros casos, simplemente porque los protocolos o estándares no cuentan con herramientas para asegurar las comunicaciones de una forma correcta.

Con la llegada de las redes inteligentes, la protección de las subestaciones y los elementos que las conforman frente a ciberataques toma un papel principal. A nivel de comunicaciones, el estándar IEC 61850 está cobrando mucha fuerza. Cabe destacar que los requisitos de ciberseguridad pueden venir impuestos por un aspecto legislativo, por el mercado, por los fabricantes, por los usuarios, etc. El hecho es que, hoy en día, es necesario cubrir estos nuevos requisitos y las soluciones se tienen que implantar mediante la utilización de nuevos estándares, protocolos y/o herramientas. En el artículo veremos cómo incluir y proteger desde el punto de vista de la ciberseguridad una subestación eléctrica.

El estándar IEC 61850 es el primero de los estándares considerados como una solución global ante la problemática existente entre protocolos propietarios y dispositivos de diferentes fabricantes incapaces de comunicarse entre sí. Este estándar define aspectos como interoperabilidad, protección, monitorización, control y automatización de los diferentes dispositivos de forma individual y entre ellos. Uno de los objetivos más importantes en su definición fue la interoperabilidad, pero otro aspecto muy importante fue la reducción de costes. Por ejemplo, funciona bajo una red LAN, lo que hace reducir el cableado y por tanto el coste.

El estándar está dividido en numerosas partes, en las cuales se tratan temas como las comunicaciones, el modelo de datos o los test de cumplimiento, pero ninguna de ellas habla sobre los aspectos técnicos de ciberseguridad. En realidad, la seguridad correspondiente a IEC 61850 se delega en otro estándar, en concreto, el IEC 62351.

Modelo de red descriptivo de una subestación genérica

-Modelo de red descriptivo de una subestación genérica-

Tabla de tiempos para la lectura de datos en tiempo real

-Tabla de tiempos para la lectura de datos en tiempo real-

El estándar IEC 62351 específica los mensajes, procedimientos y algoritmos para la protección de la operación de los protocolos basados o derivados del estándar IEC 61850 utilizado en las subestaciones. Este estándar está dividido en muchas partes, aunque nos vamos a centrar únicamente en la parte 6 (IEC 62351-6) que es la que hace referencia a la protección del protocolo IEC 61850.

Documentos que componen IEC 62351

-Documentos que componen IEC 62351-

Como se puede observar, este estándar trata la seguridad desde puntos de vista muy diferentes teniendo en cuenta aspectos clave como:

  • Arquitectura de seguridad
  • Controles de acceso
  • Uso de certificados
  • Etc.

Todas las medidas de seguridad que se pretendan incorporar, provenientes del IEC 62351 o de cualquier otro, deben tener en cuenta las importantes restricciones de tiempos mostradas en la tabla anterior. Los requerimientos de velocidad son muy elevados y es un aspecto a tener en cuenta a la hora de asegurarlo.

La implementación de mecanismos de seguridad en los sistemas habitualmente repercute de manera negativa en lo que a la velocidad se refiere ya que se necesita mayor procesamiento, y en entornos industriales, con necesidades de tiempo muy concretas y ajustadas, resulta muy complicado. Por ejemplo, para las aplicaciones que tienen requerimientos de tiempo inferiores a 4ms, como GOOSE y SV (Sample Values), no se recomienda el cifrado.

Una posible solución para reducir los tiempos de cifrado podría ser la incorporación de chips específicos destinados a realizar las operaciones matemáticas correspondientes, pero esto incrementaría significativamente el precio de las soluciones y las haría inviables. Por otro lado, también puede ser interesante utilizar algún cifrado que requiera de menos cálculos como es el caso de un cifrado simétrico, el cual reduciría bastante los tiempos necesarios.

La implementación de seguridad en los protocolos solo es una pequeña parte de la protección de una subestación. Cuando hablamos de requisitos de ciberseguridad en una subestación se debe tener en cuenta también otros aspectos como:

  • Segmentación de la red en al menos dos niveles (mirar figura de abajo).
  • Conexiones remotas a través de VPNs y TLS.
  • Gestión de acceso basado en roles mediante sistemas replicados y uso de LDAP. La gestión de las cuentas debe establecerse desde un entorno centralizado que pueda permitir autenticación con doble factor.
  • Uso de listas blancas para forzar únicamente aquellas aplicaciones y actualizaciones reconocidas por el operador.
  • Uso NIDS pasivos (que no entrometan la disponibilidad y siempre para las capas superiores de la red y el bus 61850).
  • Gestión de parches.
  • Uso de cortafuegos, enrutadores y dispositivos orientados a la seguridad perimetral.
  • En caso de que existieran antivirus, estos debieran instalarse en las estaciones y dispositivos que estuvieran en el primer anillo de la red completa segmentada.
  • Otros sistemas ad-hoc.

Visión Arquitectura segura en subestaciones (fuente ABB)

-Visión Arquitectura segura en subestaciones (fuente ABB)-

Elementos de protección genérica (fuente ABB)

-Elementos de protección genérica (fuente ABB)-

A la hora de aplicar medidas de seguridad es importante tener una visión más amplia del sistema completo e implantarlas a todos los niveles. Se ha de comenzar desde los niveles técnicos más bajos subiendo hasta las medidas organizativas, es decir, los dispositivos instalados en estas infraestructuras deben contemplar aspectos de seguridad, las comunicaciones entre dispositivos deben ser seguras, las comunicaciones entre subestaciones también han de tener un nivel alto de seguridad al igual que el perímetro en el que se ubican, las aplicaciones utilizadas en este ámbito, etc. Por último, es necesario implantar medidas organizativas y procedimentales que impliquen a todas las personas de la organización, desde los niveles de operario hasta la alta gerencia. Por ello, la tendencia tanto a nivel de aplicación como a nivel organizativo es desplegar una seguridad integral entre puntos finales (end-to-end security focus).

Muchas veces nos centramos en la tecnología a la hora de implantar ciberseguridad en las subestaciones, pero es muy importante, y así lo dice el IEC 62351-1, la realización de un análisis de riesgos. Al igual que una organización TI realiza un listado de los activos que tiene, las posibles amenazas a las que se enfrenta y extrae el riesgo; en estas infraestructuras es conveniente también hacerlo de forma similar. Un análisis de riesgos permite que seamos capaces de ir protegiendo aquellos activos más vulnerables o, por lo menos, los que son más críticos.

Cabe por último hacer mención al estándar IEEE 1686, el cual se centra en la ciberseguridad de los dispositivos críticos que pueda albergar una subestación. Estos dispositivos controlan la zona eléctrica y son el últimos escalafón de donde se extrae la información (comúnmente valores de voltaje e intensidad entre otro tipo de datos de control).

Los dispositivos encargados de estas medidas se conocen como IEDs (Intelligent Electronic Devices) y, por sus características particulares, se ha desarrollado un estándar especialmente para ellos que especifica su utilización en las subestaciones eléctricas. Este estándar define la seguridad (tanto física como lógica) con respecto al acceso, operación, configuración, revisión del firmware y recuperación de datos; acciones muy utilizadas por los operarios para la operación y mantenimiento de los dispositivos dispuestos en una subestación.

Hace unos años la ciberseguridad era un concepto que existía en sistemas TI pero a nadie le preocupaba mucho dentro de los sistemas TO. Hoy en día esto ha cambiado radicalmente, convirtiéndose en una obligación. Los ataques reportados en los últimos años, como Stuxnet o más recientemente Dragonfly, han hecho que se acelere la implantación de medidas de seguridad. Por otro lado, no nos debemos olvidar que la seguridad no debe deteriorar la operación. Por tanto, es imprescindible que todas las medidas de seguridad que se implanten estén de acuerdo a los requisitos de operación exigidos por la industria. Como siempre hay que buscar un equilibrio entre seguridad y funcionalidad.