Resumen
La Corporación de Confiabilidad Eléctrica de Norteamérica (NERC) es un organismo regulador internacional sin fines de lucro dedicado a establecer estándares de cumplimiento que ayudan a reducir los riesgos para la red eléctrica y los sistemas de energía que prestan servicio a cientos de millones de personas en Estados Unidos, Canadá y parte de México.
Los requisitos de NERC sobre Protección de Infraestructura Crítica (CIP) describen por qué un marco de ciberseguridad diseñado para proteger y asegurar activos críticos es vital para el suministro confiable y eficaz de electricidad en el sistema eléctrico a gran escala (BES) de Norteamérica. Estos estándares se aplican como regulaciones, por lo que constituyen un requisito legal.
La Comisión Federal Reguladora de Energía (FERC) desempeña un papel crucial en la aplicación de estos estándares NERC CIP para mejorar la seguridad y confiabilidad de la red eléctrica, especialmente después de apagones importantes en la historia.
NERC señaló un aumento de las amenazas cibernéticas contra las redes eléctricas de Norteamérica, e indicó en un webcast que los “puntos débiles virtuales y físicos de las redes, o puntos en el software o hardware susceptibles a los ciberdelincuentes, aumentaron hasta un rango de 23,000 a 24,000”.
Este artículo profundiza en la naturaleza de las amenazas crecientes para la red eléctrica. También explora cómo la gestión de contraseñas de nivel empresarial mejora la resiliencia de seguridad del sector energético, fortalece la seguridad de las contraseñas y garantiza controles de acceso que limitan las amenazas internas y externas en cumplimiento con los estándares NERC CIP.
La red eléctrica como vector de ataque
La red eléctrica es un componente crítico del crecimiento económico, con impacto tanto en la infraestructura como en la seguridad nacional. En pocas palabras, sin un sistema eléctrico a gran escala en funcionamiento, la sociedad se paralizaría. Esto también la convierte en un objetivo excepcionalmente atractivo para los ciberdelincuentes.
Un hallazgo reciente de la Oficina de Rendición de Cuentas del Gobierno (GAO) revela los crecientes desafíos para proteger la tecnología operativa en la industria energética, y señala lo siguiente:
“Existen varios puntos de vulnerabilidad en el sistema de redes eléctricas de EE. UU. Por ejemplo, los sistemas de distribución de la red —que transportan electricidad desde los sistemas de transmisión hasta los consumidores— se han vuelto más vulnerables, en parte porque su tecnología operativa permite cada vez más el acceso remoto y las conexiones a redes empresariales. Esto podría permitir que los actores maliciosos accedan a esos sistemas y potencialmente interrumpan las operaciones.
Las naciones y los grupos criminales representan las amenazas cibernéticas más significativas para la infraestructura crítica de EE. UU., según la Evaluación Anual de Amenazas 2022 del Director de Inteligencia Nacional. Estos actores maliciosos tienen cada vez más capacidad para atacar la red”.
Los ataques recientes contra la red eléctrica aprovechan vulnerabilidades físicas y de ciberseguridad. NERC se refirió a las amenazas cibernéticas como “más difíciles de cuantificar directamente”. Como se mencionó anteriormente, las debilidades de seguridad en el sistema eléctrico han aumentado, lo que genera un promedio de 60 ciberataques adicionales por día.
Desglose de los estándares NERC CIP para la protección de infraestructura crítica
Hay 13 requisitos NERC CIP relevantes para las empresas de redes eléctricas:
Categorización de sistemas cibernéticos del BES: Exige que las organizaciones identifiquen los activos que podrían comprometer el BES en general en caso de un ciberataque, y que categoricen y protejan esos activos según corresponda. Esto incluye identificar y proteger los “activos cibernéticos del BES” y los “activos cibernéticos críticos” para garantizar la operación confiable del BES.
Controles de gestión de seguridad: Las organizaciones deben implementar controles de gestión de seguridad, como capacitar al personal e informar incidentes de seguridad, que protejan los sistemas cibernéticos del BES contra compromisos.
Personal y capacitación: Las personas que acceden a sistemas cibernéticos del BES deben recibir una evaluación de riesgos y capacitación en concientización sobre seguridad.
Perímetros de seguridad electrónica: Las organizaciones deben definir y luego proteger perímetros de seguridad electrónica (ESP) que protejan los activos del BES.
Seguridad física de los sistemas cibernéticos del BES: Los equipos deben contar con un plan de seguridad física para proteger los sistemas cibernéticos del BES contra compromisos.
Gestión de seguridad del sistema: Este estándar especifica los requisitos técnicos, operativos y procedimentales necesarios para proteger la ciberinfraestructura del BES, como monitorear y eliminar código malicioso y cambiar contraseñas predeterminadas conocidas.
Informe de incidentes y planificación de respuesta: Describe los requisitos de respuesta a incidentes, como la frecuencia con la que se debe documentar y durante cuánto tiempo se debe conservar la evidencia de los incidentes.
Planes de recuperación para sistemas cibernéticos del BES: Aborda los requisitos de los planes de recuperación para respaldar la estabilidad continua del BES en caso de un incidente.
Gestión de cambios de configuración y vulnerabilidades: Para prevenir y detectar cambios no autorizados en los sistemas cibernéticos del BES, las organizaciones deben seguir las especificaciones sobre cuándo y cómo establecer configuraciones.
Protección de la información: Las empresas deben proteger la información crítica para la operación del BES durante su almacenamiento, uso y tránsito.
Comunicaciones entre centros de control: Los datos transmitidos entre centros de control deben estar protegidos en todo momento.
Gestión de riesgos de la cadena de suministro: Las organizaciones deben implementar controles de seguridad para mitigar el riesgo de la cadena de suministro.
Seguridad física: Las organizaciones deben implementar un plan para proteger sus ubicaciones físicas y subestaciones contra ataques físicos.
La lista de verificación de cumplimiento de NERC CIP es bastante extensa. Centrándonos aquí en las recomendaciones de seguridad de contraseñas, las pautas recomiendan que las organizaciones:
Revoquen el acceso a cuentas compartidas para evitar una situación en la que las contraseñas de los dispositivos de subestaciones y generación se cambien constantemente debido a la rotación del personal.
Usen un administrador de contraseñas para garantizar contraseñas sólidas y únicas para las cuentas, a fin de ayudar a mitigar el riesgo de ataques exitosos de rociado de contraseñas o relleno de credenciales, así como a minimizar el uso compartido inseguro o accidental de contraseñas con personas no autorizadas.
Implementen autenticación multifactor para reforzar aún más la seguridad.
Prevengan ataques de contraseña en línea limitando el número de intentos que un atacante puede realizar.
Por qué Bitwarden es la mejor solución de contraseñas para el sistema eléctrico masivo
Un ciberataque contra un sistema de red eléctrica podría paralizar las operaciones y detener el suministro eléctrico crítico. Afortunadamente, el software de cumplimiento de NERC CIP, como Bitwarden, es la primera línea de defensa contra los ciberdelincuentes. Al permitir que los proveedores de energía generen y gestionen contraseñas sólidas y únicas, Bitwarden reduce su vulnerabilidad a las filtraciones relacionadas con contraseñas. Otros beneficios clave incluyen:
Controles de acceso basados en roles que permiten a los administradores personalizar y otorgar permisos granulares, así como controlar quién tiene acceso a determinadas funciones. Al limitar el acceso de los usuarios según la necesidad, las organizaciones de redes eléctricas mantienen el control sobre los sistemas sensibles.
Una caja fuerte cifrada de extremo a extremo que protege no solo las contraseñas, sino también las tarjetas corporativas y otra información de identificación personal (PII).
Capacidades de autenticación multifactor brindan a las organizaciones una segunda capa de autenticación para disuadir ataques de fuerza bruta o amenazas internas.
Capacidades para compartir contraseñas permiten que los equipos y departamentos generen, gestionen y compartan de forma segura contraseñas complejas y otros datos sensibles desde cualquier ubicación o dispositivo.
Opciones de integración fluidas y flexibles incluyen inicio de sesión único (SSO) con proveedores de identidad y servicios de directorio (incluido SCIM).
Incorporación sencilla con una consola de administrador centralizada donde se pueden habilitar políticas empresariales y los usuarios se aprovisionan automáticamente.
Acceso multiplataforma con un número ilimitado de dispositivos.
Informes de vulnerabilidades que revelan contraseñas débiles o reutilizadas y registros de eventos detallados para monitorear el acceso de usuarios y grupos a datos sensibles con rastros de auditoría.
Auditorías periódicas de seguridad de terceros, análisis criptográfico y pruebas de penetración de Bitwarden para garantizar que el administrador de contraseñas mantenga los estándares de seguridad más altos.
Debido a que el sistema eléctrico masivo impulsa la economía, impacta la seguridad nacional y mueve la vida cotidiana, es de vital importancia que las credenciales usadas por los proveedores de energía permanezcan altamente protegidas con contraseñas sólidas y únicas. Implementar un administrador de contraseñas en toda la empresa también beneficiará enormemente a las organizaciones que necesitan cumplir con los estrictos requisitos de NERC CIP, legalmente vinculantes.
Comienza con Bitwarden
Para explorar las características y capacidades empresariales de Bitwarden, comienza con una prueba gratuita hoy.