El 16 Abril de 2013 ocurre el ataque a la subestación eléctrica Metcalf de propiedad de la empresa Pacific Gas and Electric Company (PG&E’s). En un principio se creía que el ataque a los 17 transformadores había sido perpetrado por un grupo de personas ya que en el lugar se encontraron más de 100 casquillos de un tipo de rifle calibre 7.62×39 mm. Las investigaciones posteriores permitieron concluir que solo una persona pudo haber sido responsable de este ataque, al revisar las cámaras de seguridad y distinguir el efecto visual que produce un disparo.

Si bien, este evento no causó un corte de suministro eléctrico a gran escala, produjo daños por sobre los 15 millones de dólares.

Este evento ocurrido en Abril de 2013 fue la determinación inmediata para que la FERC(Federal Energy Regulatory Commission) en Estados Unidos acelerara la divulgación de un estándar en seguridad física. En Octubre de ese mismo año, la NERC CIP publica los primeros lineamientos de lo que sería el apartado CIP-014, el cual se formalizaría al año siguiente.


El espíritu y la intención del NERC CIP-014

Este apartado busca proteger, desalentar a potenciales amenazas a instalaciones de distribución, subestaciones y centros de control, que en caso de existir un ataque, termine afectando su operación o resulten gravemente dañadas y que por lo tanto, en consecuencia, se produzca una inestabilidad en el sistema, separación del sistema en islas o fallas en cascada del sistema interconectado.

El foco principal de este apartado está en la protección física de las instalaciones y en la gestión de los riesgos de ataques, clasificando las acciones en proactivas: (a) desalentar amenazas y (b) minimizar vulnerabilidades; y reactivas: (a) mitigar consecuencias.

La NERC CIP-014 posee 6 requerimientos, donde el requerimiento 3 (R3) es opcional y solo se aplica cuando el operador y dueño de la instalación crítica son distintos, y por lo tanto, es requerido armar un plan de coordinación entre el dueño y operador.


R1 - Evaluación inicial

El primer requerimiento busca desarrollar una evaluación inicial de los riesgos que permita identificar cuales estaciones, subestaciones y centros de control, en caso de ser vulnerados o dañados gravemente como resultado de un ataque físico, genera una estabilidad en el sistema con la capacidad de propagarse, una separación incontrolable (se generan islas) o una falla en cascada del sistema interconectado.

Lo que busca el R1 es generar una base sobre la cual se desarrollará e implementará el plan de seguridad física.

¿Dónde debería colocar foco la empresa al implementar el requerimiento R1?

  • Primero distinguir si afecta o no el estándar NERC-CIP al sistema en evaluación.
  • Crear unos criterios de evaluación estándar que permitan puntuar a todas las instalaciones por igual y por ende, permita comparar la matriz evaluada de insfraestructura crítica.
  • Evaluar solo lo que es requerido y necesario.
  • Documentar el criterio de priorización para asegurar físicamente las instalaciones en cuestión.


R2 - Revisión de un tercero del R1

Cada dueño de la infraestructura crítica debe solicitar a un tercero no relacionado a la empresa la revisión de la evaluación realizada en R1 (revisar quienes pueden ser entidades autorizadas para ejecutar esta revisión en la misma publicación del CEN).

Este requerimiento busca validar el criterio definido en R1 y la priorización de los activos de operación como de los ciberactivos. En caso de ser necesario, se debe reevaluar y revisar si es neecesario, aplicando las modificaciones que la tercera parte indique.

¿Dónde debería colocar foco la empresa al implementar el requerimiento R2?

  • Seleccionar bien a la empresa que revisará la evaluación inicial (consultores en seguridad con experiencia en la industria, profesionales PSP, entre otros).
  • Distinguir y declarar posibles conflictos de interés que afecten la objetividad de la revisión de la evaluación inicial.
  • Asegurarse que el plan completo de seguridad es entendido bien.
  • Recordar que este es un proceso colaborativo entre la empresa responsable de llevar a cabo la evaluación como del revisor.


R4 - Evaluación de las amenazas y vulnerabilidades

Conducir una evaluación de las potenciales amenazas y vulnerabilidades de un ataque físico las instalaciones identificadas en R1 (estaciones, subestaciones y centros de control).

Este proceso es importante que se ejecute al detalle porque incide directamente en la inversión que la empresa debe realizar en un futuro para cumplir con su plan de seguridad física y por ende, proteger tanto los ciberactivos como activos de operación.

¿Dónde debería colocar foco la empresa al implementar el requerimiento R4?

  • Acá es bueno utilizar frameworks de evaluación de amenazas y vulnerabilidades ya existentes en el país como en el extranjero. En Estados Unidos, el homeland, que viene siendo el Ministerio del Interior en Chile, publicada cada cierto tiempo documentos y templates que permiten hacer una correcta evaluación de amenazas y vulnerabilidades. La FERC hace poco tiempo publicó un template que sirve como base para la evaluación de amanezas y vulnerabilidades como para la implementación del plan de seguridad física. Lo pueden encontrar acá: Physical Security Plan
  • Este proceso debe ser revisado constantemente porque nuevas amenazas surgen y debe actualizarse.
  • Asegurarse que el plan completo de seguridad es entendido bien.
  • Aplicar metodologías cuantitativas que permitan hacer una priorización más objetiva.


R5 - Desarrollo e implementación del plan de seguridad física

Desarrollar, implementar y documentar el plan de seguridad física que cubra las estaciones y subestaciones de transmisión, como centros primarios de control.

Es mejor tener una visión holística de este proceso y más que pensar en un plan, es desarrollarlo como un programa de acción con responsables y fechas.

¿Dónde debería colocar foco la empresa al implementar el requerimiento R5?

  • Usar un método enfocado en la creación de un programa más que en un plan
  • Incluir todo lo que se espera en un programa de seguridad para infraestructura crítica. Comenzar con un template base.
  • Ser realista en los tiempos de implementación, en la inversión requerida, y en las metas del programa de seguridad.


R6 - Evaluación y revisión por parte de un tercero de R4 y R5

En este proceso se revisa la evaluación realizada en R4 y del plan de seguridad desarrollado en R5.

Este proceso busca mejorar la protección, aumentar la disuasión a posibles ataques, y fortalecer la eficiencia operacional del plan de seguridad.

Acá se busca validar el plan de seguridad física desarrollado y en caso de ser necesario, identificar y corregir los posibles errores que éste presente.

¿Dónde debería colocar foco la empresa al implementar el requerimiento R6?

Buscar una tercera parte con la competencia y experiencia en la industria. Como OCTO INC ayudamos en una pequeña parte de la creación del plan de seguridad física en todo lo que tiene que ver con control de acceso. Nos hemos dedicado a crear una solución resiliente y segura para que la empresa administre los accesos a sus instalaciones físicas de mejor manera.


Foto Rodrigo Morgado

Escrito por:

Rodrigo Morgado
CTO