Febrero 27, 2017
El Corporación Norteamericana de Fiabilidad Eléctrica (NERC) lanzamientos (reporte) compartir conocimientos y sugerencias para ayudar a los profesionales de la industria de servicios públicos a identificar, prevenir o al menos mitigar las amenazas al sistema de energía a granel (BPS).
Categorías de riesgo
NERC, la organización de confiabilidad eléctrica (ERO) que cubre América del Norte, clasifica el riesgo en tres categorías:
- Alto riesgo:Vulnerabilidades de ciberseguridad, combinación cambiante de recursos, planificación de BPS y adecuación de recursos.
- Riesgo moderado:Pérdida de conciencia de la situación, vulnerabilidades de seguridad física y eventos naturales extremos.
- Riesgo bajo:Gestión y mantenimiento de activos, desempeño humano y fuerza laboral calificada.
Si bien los fenómenos meteorológicos siguen siendo las amenazas más comunes, no sorprende que el NERC sitúe los problemas de ciberseguridad en la cima de la pirámide de amenazas. Las ciberamenazas son cada vez más sofisticadas y numerosas.
Las amenazas a la ciberseguridad pueden ser muy graves
La explotación de vulnerabilidades de ciberseguridad puede resultar en pérdida de control o daños en el BPS, comunicaciones de voz, datos, monitoreo, sistemas de protección y control y otros, dejando a las personas en la oscuridad y en el frío por períodos prolongados de tiempo.
NERC pide ayuda a la industria
NERC insta a la industria a colaborar con ella para adoptar un enfoque ágil y multifacético que aborde la amenaza de ciberseguridad en constante evolución. Ofrece varios ejemplos. Por ejemplo, busca una mayor participación y productos en los centros de intercambio de información y análisis (E-ISAC), revisiones por pares y visitas de asistencia para avanzar hacia lo que denomina un modelo de "mejores prácticas". También busca recomendaciones para abordar amenazas nuevas y menos definidas.
Importancia de la planificación BPS y la gestión de riesgos
La planificación del BPS también es fundamental para Gestión sistemática del riesgo, NERC afirma que ERO Enterprise debe coordinarse con la industria, los fabricantes y los desarrolladores de recursos asíncronos para desarrollar y poner a disposición modelos dinámicos precisos. ERO también debe colaborar con la industria para:
- Identificar el tipo y la frecuencia de la información necesaria de los recursos energéticos distribuidos.
- Crear pautas y mejores prácticas para desarrollar y mantener modelos precisos de sistemas, dinámicos y electromagnéticos que incluyan transmisión, recursos, carga y dispositivos controlables para su uso en la planificación operativa y a largo plazo.
- Continuar evaluando el desempeño del ERS para desarrollar las pautas necesarias para determinar si se requieren estándares de confiabilidad.
- El NERC también debe seguir colaborando con los Coordinadores de Planificación para ampliar el desarrollo de modelos de interconexión acordes con los despachos previstos. Esta colaboración facilitará la realización de evaluaciones de planificación a largo plazo más eficaces.
Cómo identificar las trampas de recursos
El informe también destacó la importancia de la adecuación y el rendimiento de los recursos. En este sentido, señala que la Empresa ERO debería:
- Continuar mejorando los métodos de modelado y probabilidad con la industria para evaluar la adecuación de los recursos a fin de incluir los impactos del ERS, los retiros de unidades y la variabilidad de la carga y los recursos durante diferentes períodos de tiempo, incluidos los meses intermedios.
- Evaluar y desarrollar recomendaciones de mitigación para abordar puntos únicos de interrupción, como contingencias de combustible, que darán lugar a grandes cortes de recursos.
- Desarrollar nuevas medidas de confiabilidad más allá de los márgenes de reserva, incluida la suficiencia del ERS.
- Continuar evaluando las vulnerabilidades de la disponibilidad de combustible como parte de la evaluación de la adecuación de los recursos y la capacidad operativa.
Se necesita análisis adicional
El informe subraya que el sector de servicios públicos también debe contribuir. Debe evaluar las oportunidades para desarrollar modelos de pronóstico de carga a corto plazo más precisos.
La industria también debe analizar los requisitos de datos necesarios para garantizar que exista suficiente detalle sobre la capacidad y el rendimiento del BPS, dado el impacto de los recursos energéticos distribuidos. Asimismo, la industria debe recopilar datos que vayan más allá de las simples previsiones de demanda y ampliarlos para identificar la capacidad de los recursos, la ubicación y la capacidad del ERS.
Se necesitan soluciones potentes de gestión del cumplimiento de NERC
Ante el nivel y la intensidad de estas amenazas más sofisticadas, los responsables de cumplimiento de las empresas de servicios públicos deben adoptar un potente sistema automatizado de gestión de cumplimiento de NERC. AssurX ha colaborado estrechamente con una importante empresa de servicios públicos en la implementación integral de su Sistema de Gestión Empresarial de Energía y Servicios Públicos.
La implementación creó flujos de trabajo altamente automatizados e integrados, diseñados para cumplir con las nuevas normativas de cumplimiento de NERC CIP. En concreto, se abordaron las normas NERC Cyber CIP-002-5.1 y CIP-007-6. Los flujos de trabajo de AssurX abordan la gestión de activos, la gestión de parches de software/firmware, la gestión de cambios y los controles.
Las soluciones proporcionan un registro de auditoría completo en tiempo real de todos los cambios y modificaciones realizados en un activo durante su vida útil. Esto incluye el historial de parches de software/firmware instalados. Los flujos de trabajo de AssurX incluyen tareas de revisión recurrentes basadas en calendario, recordatorios, escalamientos, notificaciones por correo electrónico y firmas electrónicas de los responsables de cumplimiento y operaciones.
