Por Autumn Cafiero Giusti, editor colaborador, Avisian Publications

Los nuevos estándares de seguridad para proteger la red brindan oportunidades a los proveedores, pero según algunos asesores de la industria, eso solamente ocurre si pueden darle sentido a la especificación.

Patrick Miller, asesor de seguridad y regulaciones, expresó sus inquietudes de que los nuevos estándares de Protección de Infraestructura Crítica (CIP) de la Comisión Federal Reguladora de Energía (FERC) son algo imprecisos y realmente podrían complicar el proceso de proteger la red. Como resultado, es probable que se produzcan inconsistencias en cómo se aplican los estándares.

“Pienso que son un desastre. Han hecho más difíciles las cosas. Existen un montón de preguntas sin respuesta, y un montón de utilidades tratando de que las cosas se hagan bien, y probablemente van a errar el tiro”, señala Miller, socio gerente en la firma consultora Archer Energy Solutions. El ha examinado las regulaciones CIP desde todos los ángulos, y en el pasado fungió como autor, implementador y auditor federal para los anteriores estándares de utilidades.

Sal D’Agostino, consultor para temas de identidad y director general de IDmachines, plantea que aunque los nuevos estándares crearán oportunidades mercantiles para los proveedores de seguridad física, esas oportunidades pueden variar grandemente de una utilidad a la otra. “La forma en que las utilidades enfocan el tema de la seguridad es muy diferente en cada lugar”, señala.

FERC emitió sus normas CIP-014 directamente en respuesta a un ataque realizado en abril de 2013 contra la subestación eléctrica Metcalf en San José, California, en que desconocidos armados dispararon más de 100 rondas a los equipos de la infraestructura eléctrica que posee y opera Pacific Gas and Electric. Aunque la red nunca perdió la energía, el ataque causó daños por cientos de miles de dólares y nunca se identificó ningún sospechoso.

En marzo de 2014, FERC ordenó a North American Electric Reliability Corp. (NERC) establecer estándares CIP para regular las 500 subestaciones más críticas del sector eléctrico. NERC presentó su propuesta en mayo de 2014, las reglas definitivas fueron publicadas en noviembre y se hicieron efectivas en enero de 2015. Las utilidades eléctricas ahora desarrollan e implementan activamente sus planes de seguridad física.

El estándar sirve como modelo para ayudar a los profesionales de seguridad y utilidades a comprender qué se requiere para proteger los activos de la red eléctrica. Como resultado, los propietarios y operadores de utilidades están en busca de una nueva tecnología para proteger las subestaciones. Esto puede incluir cosas como vigilancia por video con tecnologías contra intrusos, sistemas de tarjetas de acceso y vallas de seguridad.

Consecuencias no previstas

Miller teme que, en forma similar a cuando se requiere que los viajeros se quiten los zapatos en los puntos de chequeo de seguridad de los aeropuertos, las nuevas normas para la protección física de la red eléctrica pueden ser otra respuesta impulsiva a las amenazas terroristas. El cuestiona si es realista pensar que tales normas pueden evitar un ataque en escenarios comunes.

“Mi opinión personal es que se van a gastar $1-2 millones reforzando una subestación, y entonces un tipo con una torreta de $200 para cazar venados puede esquivar todo eso con un rifle”, dice Miller. “Estamos presenciando una reacción instintiva ante algo que francamente es extremadamente difícil de parar”.

Incluso algunos requisitos del estándar pueden hacer que la red se ponga en riesgo a sí misma. “Se yuxtaponen las protecciones físicas en contradicción con las necesidades ingenieras”, afirma Miller.

Por ejemplo, situar una barrera de concreto en torno a los transformadores para protegerlos puede ser peligroso porque los transformadores necesitan tener espacio a su alrededor para enfriarse. No tener suficiente espacio puede afectar gravemente la red. Miller señala que esa es la razón por la cual ese tipo de protección no se utilizó en el pasado.

Algunas de las recomendaciones de los estándares podrían funcionar para la construcción de nuevas subestaciones. El mayor problema, apunta Miller, está en la retroadaptación de las subestaciones existentes. “Podríamos diseñar un transformador de forma que pueda enfriarse adecuadamente”, dice. “Pero si reflexionamos, eso es algo muy difícil de hacer. Y resulta muy caro”.

Aunque el nuevo estándar incluye más activos de la red, Miller plantea que no explica mucho sobre lo que se requiere para proteger esos activos.

“Hay muchísimos detalles que francamente son muy imprecisos”, señala. Un aspecto positivo es que crea un léxico compartido para el diálogo en cuanto a la protección de la red, dice Miller. “Podemos sostener una discusión común y eso realmente ayuda”, señala.

Donde convergen seguridad física y ciberseguridad

En el aspecto de seguridad física, D’Agostino dice que pocas compañías han adoptado un enfoque proactivo ante la amenaza de ataque. La mayoría de las compañías están interesadas en orientarse solo hacia los fallos expuestos en una auditoría de seguridad, señala, porque pueden producirse penalidades significativas.

“Esa es la triste historia de la seguridad en todas partes. Incluso con todo lo que está ocurriendo, nadie invierte realmente en este asunto a menos que estén obligados a hacerlo”, expresa D’Agostino. Pero las regulaciones podrían forzar en este sentido.

El considera que el nuevo estándar elevaría la demanda de proveedores de seguridad física. No obstante, afirma que es en los aspectos de ciberseguridad de los sistemas de seguridad física donde están las posibilidades para que los proveedores puedan hacer que sus ofertas sean atractivas. “No se trata solo de seguridad física, sino que es en la combinación ciber-física donde la industria tiene una oportunidad real”, afirma.

En su labor de asistencia a clientes, D’Agostino dedica la mayor parte de su tiempo a los aspectos de ciberseguridad de los sistemas de seguridad física. El plantea que los proveedores no se enfocarían con suficiente fuerza en lo que aborda CIP-014, sino que le darían un vistazo más general a lo que ocurre en el mundo de la protección de infraestructura crítica. Casi todas las demás normas NERC CIP hacen énfasis en la ciberseguridad. “Si uno solamente se enfoca hacia la parte nueva relativa a la seguridad física, realmente no está orientándose a lo fundamental”, señala.

El requerimiento sobre seguridad física es nuevo y está en evolución, y no contiene mucho detalle para impulsar a los proveedores a explorar funciones, dice D’Agostino. “Me quedaría sorprendido si hay un proveedor en el mercado que pueda afirmar que ha logrado alguna capacidad única que lo distinga de los demás en cuando a enfocarse mejor hacia NERC CIP-014,” he says.

Durante una webcast con la Asociación de la Industria de Seguridad, Brian Harrell, director de operaciones del Centro de Análisis e Intercambio de Información del Sector Eléctrico de NERC, expresó que la seguridad física en la industria no es una idea completamente nueva.

Anteriormente NERC publicó directrices para desarrollar planes de seguridad física a través de su comité CIP y organizó ejercicios de entrenamiento en 2011 y 2013 con simulaciones de intrusiones en plantas eléctricas, en que los atacantes utilizaban dispositivos explosivos improvisados. “El elemento de seguridad física en esta industria no es nuevo”, señala.

Oportunidades mercantiles

John Romanowich, presidente de SightLogix, piensa que los nuevos requerimientos podrían ofrecer oportunidades para empresas como la de él. La compañía se orienta hacia la seguridad física a través de la vigilancia inteligente por video.

La seguridad de la red eléctrica fue una de las principales aplicaciones que llevó a la creación de la compañía hace 11 años. “He estado en más de una conferencia en que la gente ha hablado de su temor sobre el efecto cascada de una caída de la red. Y creo que el hecho que ocurrió en el occidente – el ataque a la subestación Metcalf – lo hizo mucho más vívido en las mentes de los congresistas y otras partes interesadas”, plantea Romanowich.

Una de las cosas que compañías como SightLogix aprecian sobre el nuevo estándar es que es mucho más fácil para las utilidades convencer a sus respectivos órganos de gobierno municipales o estatales que eleven las tarifas de los consumidores cuando una ley ordena efectuar un cambio en la seguridad. Ese tipo de modernización requiere aprobación reglamentaria antes que las utilidades puedan invertir en ello. “El mandato va a impulsar el financiamiento, lo cual es excitante en cierto modo”, dice Romanowich.

Romanowich cree que el nuevo estándar puede situar la seguridad física más en línea con el modelo de negocios de su compañía. SightLogix oferta cámaras térmicas que utilizan analítica de video basada en GPS. Un solo sensor puede cubrir un área del tamaño de un campo de fútbol o mayor, y las cámaras pueden capturar video en una línea de vallas de la instalación o en toda la subestación.

La estación Metcalf solamente tenía situada cámara de monitoreo, que Romanowich dice fue lo que puso en evidencia la necesidad de una mejor detección y prevención. “Existe un falso criterio de que si tienes cámaras, tienes seguridad. Tienes seguridad, pero es seguridad forense. Tendrás un video de alguien que estaba haciendo algo malo, pero al día siguiente de haber ocurrido”, dice. “Así es que sin detección, no tienes seguridad”.

D’Agostino cree que las compañías de utilidades van a dirigirse a los proveedores para ayudarlos a entender cómo las diferentes piezas de seguridad encajan entre sí, y ha visto cómo hay utilidades que están buscando apoyo. “Ahí es donde un profesional de seguridad puede adicionar mucho valor”, señala. “Pero esto requiere una inversión y no necesariamente es el caso en que uno recibe un gran beneficio por esa inversión”.

El nuevo estándar no requiere que los propietarios y operadores de transmisión hagan mucho más que tener un plan de seguridad que incluya una evaluación de riesgo, algunas contramedidas y documentación, señala D’Agostino. Los auditores revisarán cómo la instalación realiza la evaluación de riesgo, si esa evaluación es válida, qué nivel de riesgo define, y si la instalación hizo las cosas adecuadas para ese nivel de riesgo. “De modo que, honestamente, esto es materia de Cumplimiento 101”, expresa.