31 December, 2014
category: Seguridad física
Nuevas regulaciones sitúan plazos a las instalaciones para introducir mejoras en seguridad física
Por Mickey McCarter, Asociación de la Industria de Seguridad
Aproximadamente a la 1 a.m. de la mañana del 16 de abril de 2013, desconocidos armados atacaron una subestación eléctrica cerca de San José, California. Durante unos 19 minutos los atacantes efectuaron más de 100 disparos contra el equipamiento de infraestructura eléctrica que posee y opera Pacific Gas and Electric en la estación de transmisión de energía Metcalf. El ataque produjo daños por cientos de miles de dólares. A pesar de que 17 transformadores sufrieron impactos, los atacantes ya habían desaparecido cuando llegó la policía y nunca se identificaron sospechosos.
Como resultado directo del ataque, la Comisión Federal de Regulación de Energía (FERC) asumió la creación de normativas obligatorias para las subestaciones más críticas del sector eléctrico. FERC proyecta publicar la reglamentación definitiva a finales de 2014, poniendo en marcha actualizaciones de seguridad dirigidas a evitar que se produzcan nuevamente semejantes ataques.
La red eléctrica ya tenía incluida mucha redundancia, así como algunas precauciones para mitigar tales daños, señaló Brian Harrell, director del Centro de Análisis e Intercambio de Información del Sector Eléctrico, en el Consejo de Confiabilidad Eléctrica de Norteamérica (NERC), durante un webcast presentado por la Asociación de la Industria de Seguridad.
“Es muy importante observar que ese día no se produjo absolutamente ninguna pérdida de electricidad”, apuntó Harrell. “Eso habla de la significativa resiliencia del sistema de electricidad masiva. Estamos muy segmentados y tenemos la habilidad para redireccionar energía”. Aunque ataques similares pudieran causar algunos cortes eléctricos, explicó que la integridad general del sistema energético se mantendría intacta.
Nuevos estándares y requerimientos de seguridad física para la red
El consultor Bradley Schreiber, presidente de Soluciones de Seguridad Nacional, explicó los requerimientos tal como se describen en FERC CIP-014, sugiriendo que los mismos estimularán la adopción de nuevas tecnologías de identificación en todo el sector eléctrico.
En primer lugar, los propietarios y operadores de utilidades eléctricas identificarán las estaciones y subestaciones críticas, así como los centros de control. Han de considerarse las estaciones y subestaciones que “si quedan dañadas o inoperables, pueden producir una inestabilidad generalizada, separación incontrolada o un efecto cascada dentro de una interconexión”. Los centros de control afectados incluirían aquellos que operan esas estaciones y subestaciones específicas. Después de identificar esas instalaciones críticas, una tercera parte no afiliada debe verificar la selección efectuada.
Una vez que los operadores estén informados de que están administrando un sistema primario de control, deben evaluar las potenciales amenazas y vulnerabilidades de un ataque físico. Entonces tienen que desarrollar e implementar planes de seguridad física para proteger esos objetivos. A esto le sigue una revisión de un tercero para determinar lagunas en los planes de seguridad física.
NERC está organizado nacionalmente en ocho regiones y emplea un total de 63 auditores de infraestructura crítica. Según FERC CIP-014, los auditores de NERC visitarían una vez cada uno a tres años las utilidades para garantizar el cumplimiento de los estándares. Ya lo hacen así en conformidad con las directrices anteriores de FERC CIP-006, que fija los estándares de seguridad física para los activos críticos informáticos.
Asegurar el cumplimiento del nuevo estándar ha de requerir más auditores y especialización en seguridad física dentro de NERC. Schreiber predice que, para cumplir con esa demanda, se trasladará personal hacia NERC que ha pertenecido anteriormente al sector militar, policial y de inteligencia. “Gran número de las utilidades ya disponen de esos profesionales, pero pienso que el año próximo serán muchos más”, señaló.
Cronograma de implementación
La red eléctrica de EEUU consta de más de 55,000 subestaciones de transmisión de 100kV o más, pero la reglamentación definitiva de FERC será obligatoria para menos de 500 de estas. Aunque solo se exigirá el cumplimiento de esas reglas a un pequeño subconjunto, Harrell sugiere que esto llevará a un primer plano el tema y conducirá a que otros inviertan en medidas de seguridad física, tanto si se les exige como si no.
“Lograr que toda una industria se involucrara en torno a un concepto y se lograra acuerdo en un sector completo, ha sido un avance significativo”, señaló.
En marzo se presentó a NERC una directiva sobre las normas de seguridad física de acuerdo a FERC CP-014 y en mayo la industria aprobó el concepto para el desarrollo de los planes de seguridad física. FERC publicó en julio su notificación sobre la regulación propuesta. NERC anticipa una orden definitiva en noviembre o diciembre, explicó Harrell, quien integró el equipo de ocho personas que elaboraron el estándar.
El plazo echa a andar para las instalaciones eléctricas cuando se publique la norma final de FERC, señala David Batz, director de infraestructura e infraestructura informática del Instituto Eléctrico Edison. La membresía del instituto, que representa a los propietarios y operadores de instalaciones eléctricas, es responsable por el suministro del 70% de la electricidad de Estados Unidos, desde la generación hasta la transmisión y distribución.
Esas compañías y otras tendrán 180 días para identificar sus instalaciones afectadas, y después otros 90 días para obtener la verificación de terceros sobre esas facilidades. En los próximos 120-180 días, las instalaciones deberán tener listos sus planes de seguridad y análisis de amenazas. Luego dispondrán de 90 días para que nuevamente terceras partes verifiquen dichos planes. Sesenta días después, las instalaciones han de comenzar a implementar sus planes de seguridad física.
Batz estimó que la terminación de los planes finales de seguridad y análisis de amenazas tendrá lugar entre julio y septiembre de 2016.
Cubriendo la demanda
Las compañías suelen ser conservadoras cuando se trata de comprar equipamiento para dar soporte a sus planes de seguridad física, dice Batz. “No quieren efectuar compras e instalar productos que no tengan un historial de uso”, señala.
Los fabricantes deben demostrar que sus productos pueden satisfacer las necesidades de las instalaciones — quizás en lo referido a soportar los desafíos del clima o del trabajo con comunicaciones de bajo ancho de banda para subestaciones remotas — y estar en capacidad de referirse a su comportamiento en otros sectores y en otras instalaciones, explicó Batz.
El estándar FERC le permite a las compañías una flexibilidad en el desarrollo de sus planes de seguridad física. Esto es importante, ya que cada estación va a necesitar algo diferente para cumplir los requerimientos de sus planes específicos de seguridad física, plantea Harrel. “No existe una fórmula fija para una subestación, cada una tiene sus desafíos individuales y específicos”, advierte.
NERC ve las recomendaciones para el cumplimiento de las normas FERC como un ejercicio en la protección de las personas, que es el activo más importante de la industria. Existen poderosas tecnologías de seguridad disponibles, incluyendo la vigilancia por video en vivo con tecnologías disuasivas contra intrusiones, cerraduras inteligentes para acceso limitado y sistemas de tarjetas de acceso, chequeo de los empleados contra eventuales amenazas internas, así como otras contramedidas, explica Harrell.
Anticipando costos
Las compañías eléctricas ya tienen ideas en cuanto a lo que funciona y lo que no funciona tan bien, así como lo que pueden costar las medidas de seguridad física.
NERC publicó previamente una guía para el desarrollo de los planes de seguridad física a través de su Comité de Protección de Infraestructura Crítica, y ha efectuado ejercicios de entrenamiento conocidos como GridEx, en que se simulan violaciones en plantas eléctricas, donde los atacantes utilizan dispositivos explosivos improvisados.
Las instalaciones se basarán en estas y otras experiencias para solicitar el financiamiento que cubra sus planes de seguridad física, explica Batz. Se presentarán ante una comisión estatal de servicios públicos o, en el caso de las municipalidades, ante el órgano local de gobierno para conformar un caso de incremento de tasas, señaló. “Habrá necesidad de aprobación regulatoria para las inversiones que se hagan en este espacio”, añadió.
En general, los reguladores han dado mucho apoyo, pero puede existir preocupación si el incremento en las inversiones representa facturas más elevadas por las utilidades a los consumidores. “Esto será un esfuerzo llevado a cabo por compañías versus un esfuerzo con fondos públicos”, dijo Schreiber. “”No hay un fondo monetario de donde puedan extraer para realizar esas grandes mejoras”.
Las compañías interesadas en saber más sobre este tópico, pueden contactar a Elizabeth Hunger, gerente de relaciones gubernamentales en la Asociación de la Industria de Seguridad, a la dirección [email protected].