Conoce los estándares de ciberseguridad para el sector eléctrico

El número de participantes en el mercado eléctrico crece rápida y sostenidamente y junto a ello se suma la erupción de nuevas tecnologías (internet de las cosas, big data, inteligencia artificial y otras), las que afectan al sistema interconectado del Coordinador Eléctrico Nacional (CEN), por este motivo la Superintendencia de Electricidad y Combustible (SEC) le encargó al CEN implementar requerimientos mínimos de ciberseguridad.

El 09 de Octubre del 2020, el coordinador eléctrico nacional lanzó a través del documento "Estándar de ciberseguridad para el sector eléctrico" los requisitos y medidas de control que deben cumplir las empresas coordinadas para proteger y resguardar sus instalaciones eléctricas y activos informáticos (ciberactivos) contra las amenazas que puedan poner en riesgo la seguridad y continuidad del Sistema Eléctrico Nacional (SEN).

Para la elaboración del documento, el coordinador se apoyó en CAISO (California Independent System Operator/ Operador del Sistema Eléctrico de California), la SEC (Superintendencia de Electricidad y Combustible) y la NERC (North American Electric Reliability Corporation). Llegando finalmente, a adoptar e implementar el estándar de ciberseguridad NERC-CIP.

NERC: North American Electric Reliability Corporation

CIP: Critical Infrastructure Protection

ORIGEN Y EVOLUCIÓN DEL ESTÁNDAR NERC-CIP

A causa de variados eventos sucedidos en distintas partes del mundo, se ha visto como NERC ha evolucionado a partir de una organización internacional voluntaria formada por empresas del sector eléctrico en América del Norte, hasta llegar a ser la organización de confiabilidad eléctrica de la actualidad.

Algunos de los eventos acontecidos que dieron pie al surgimiento de los estándares fueron los siguientes:

• 1995: Apagón en el Noreste que afecta a Estados Unidos y Canadá.
• 1968: La industria eléctrica forma el NERC (North American Electric Reliability Corporation).
• 1996: Apagón en la costa oeste afecta a Estados Unidos, Canadá y México.
• 2002: Las políticas de operación de operación y estándares de NERC se vuelven obligatorios en Ontario,Canadá.
• 2003: Peor apagón de la historia de Norteamérica.
• 2005: La ley de política energética del Gobierno Federal en Estados Unidos crea la ERO (Energy Regulatory Office).
• 2006: Federal Energy Regulatory Commission (FERC) certifica a NERC cómo ERO (Energy Regulatory Office). Se firman memorando de entendimiento en algunas provincias de Canadá.
• 2007: North American Electric Reliability Council se convierte en North American Electric Reliability Corporation; FERC Emite la orden para que los estándares de NERC sean obligatorios.

Como bien se puede observar, los acontecimientos que dieron origen al conjunto de estándares, sucedieron en distintas partes del mundo, y es por eso que se buscó regular a todas las empresas por igual, independientemente del lugar geográfico en el que se encuentren.

Estas medidas, se aplicaron en primera instancia en Estados Unidos y Canadá, para luego continuar su expansión en países sudamericanos como Brasil, Colombia, Ecuador, Chile y Perú. Cabe destacar, que dependiendo del país o la región, estos estándares son supervisados o regulados por distintas instituciones. En el caso de Chile, se supervisa por el Coordinador Eléctrico Nacional (CEN) y en el caso de Europa por el Agency for the Cooperation of Energy Regulators (ACER), entidades que buscan asegurar la ciberseguridad de los operarios, consumidores y activos que se encuentren dentro de las instalaciones.

De esta manera, luego de dos importantes reuniones de seguridad y comunicación europeas llevadas a cabo en Abril y Mayo del año 2015, se buscó conjuntamente elaborar y establecer siguiendo una línea, los estándares que rigen el rubro eléctrico a nivel Europeo, redactándolos sobre el ya existente Cyber Security Strategy of the European Union creado en 2013.

¿A quién aplica?

Éstas 13 políticas, 38 requerimientos y 38 medidas de control que componen los estándares NERC-CIP aplica para todas las empresas coordinadas por el CEN y que se encuentren dentro de la siguiente clasificación:

• Impacto Alto (A): Centros de control del coordinador y empresas coordinados (principales y de respaldo).
  En este punto se define como centro de control el que supervisa y opera más de dos instalaciones. Si la empresa tiene un centro de control para una instalación, no se categoriza de impacto alto, sería medio.
• Impacto medio (M): Generación >= 300 MW, Sistema Nacional (500/220kv), STZ 220 kV FP >= 300MW, PDCE, otras instalaciones que defina el coordinador.
• Impacto Bajo (B): Todas las instalaciones que no califiquen como impacto alto o medio.
  Se exceptúa la aplicación de este estándar a instalaciones de Distribución (MT/BT) así como clientes PMGD (Pequeños Medios de Generación Distribuida) conectados a estos sistemas. De igual forma el coordinador le sugiere implementar medidas de ciberseguridad.

Estándar de ciberseguridad sector eléctrico nacional

El objetivo del estándar es establecer los requerimientos y medidas de control para proteger infraestructura crítica contra eventos y amenazas de ciberseguridad que pudiesen poner en riesgo la seguridad de operación en el sistema eléctrico.

Actualmente están en vigencia los siguientes capítulos: (puedes encontrarlas en la página de la NERC-CIP)

• CIP-002 Ciberseguridad: Categorización de Ciber Sistemas SEN
• CIP-003 Ciberseguridad: Controles de Gestión de la Seguridad
• CIP-004 Ciberseguridad: Personal y Capacitación
• CIP-005 Ciberseguridad: Perímetro de Seguridad Electrónica (PSE)
• CIP-006 Ciberseguridad: Seguridad Física de Ciber Sistema SEN
• CIP-007 Ciberseguridad: Gestión de la Seguridad de Sistemas
• CIP-008 Ciberseguridad: Reporte de incidentes y planes de respuesta
• CIP-009 Ciberseguridad: Planes de Recuperación para Ciber Sistemas SEN
• CIP-0010 Ciberseguridad: Gestión de cambio de Configuración y Evaluación de Vulnerabilidades
• CIP-0011 Ciberseguridad: Protección de Información
• CIP-0013 Ciberseguridad: Gestión de Riesgos en la Cadena de Suministros
• CIP-0014 Ciberseguridad: Seguridad Física