Desafíos de los sistemas y protocolos heredados en SCADA para plantas de energía renovable

A medida que la industria de las energías renovables avanza, la adopción de nuevas tecnologías es esencial para garantizar eficiencia y seguridad. Sin embargo, muchas plantas de energía renovable aún dependen de los sistemas SCADA heredados, que presentan importantes riesgos de ciberseguridad a medida que luchan por integrarse con los protocolos modernos.

Los sistemas SCADA (Control de supervisión y adquisición de datos) son la columna vertebral de la supervisión y el control en las plantas de energía renovable. Sin embargo, a medida que estos sistemas envejecen, sus vulnerabilidades aumentan, lo que los convierte en objetivos principales para ciberataques. Los sistemas obsoletos a menudo carecen de las sólidas medidas de seguridad necesarias para protegerse contra las ciberamenazas modernas, lo que crea un punto débil en las operaciones de la planta.

Muchos sistemas SCADA en plantas de energía renovable, como las que administran parques eólicos, plantas solares e instalaciones hidroeléctricas, siguen confiando en hardware y protocolos antiguos como Modbus, DNP3 e IEC 60870-5-104. Algunas versiones desactualizadas de estos protocolos estaban presentes en algunas de las primeras plantas renovables y carecían de medidas de ciberseguridad sólidas, ya que el enfoque principal en el momento en que se desarrollaron estos protocolos era la funcionalidad operativa y la interoperabilidad. En consecuencia, la falta de funciones de seguridad esenciales, como el cifrado y los mecanismos de autenticación sólidos, hace que estas versiones de estos protocolos sean vulnerables a una variedad de ciberataques.

La implementación del modelo Purdue, según las normas IEC 6244, puede mejorar significativamente la ciberseguridad al proporcionar un marco estructurado que segmenta la red en distintas zonas y conductos, lo que permite estrategias sólidas de defensa en profundidad y garantiza una protección integral contra posibles amenazas.

Una vulnerabilidad importante es la susceptibilidad a la interceptación y manipulación de datos. Sin cifrado, los datos transmitidos entre los componentes de SCADA pueden ser interceptados por posibles actores malintencionados. Esto datos no cifrados a menudo incluye comandos operativos críticos e información confidencial que, si se manipula, puede provocar un mal funcionamiento del equipo o interrumpir la producción de energía. Por ejemplo, un atacante podría alterar las señales de comando y provocar problemas operativos importantes.

La naturaleza obsoleta de estos sistemas también crea desafíos en cuanto a integrar soluciones modernas de ciberseguridad. La mejora de las funciones de seguridad en estos sistemas antiguos puede resultar difícil y costosa, y a menudo requiere modificaciones sustanciales o revisiones completas del sistema. Como resultado, muchos operadores de energía renovable siguen utilizando estos sistemas vulnerables para mantener la funcionalidad, a pesar de los crecientes riesgos de ciberseguridad.

Además, los sistemas heredados no son compatibles con las prácticas de seguridad modernas, como parches y actualizaciones regulares. Esta falta de apoyo aumenta la exposición de vulnerabilidades conocidas que los atacantes pueden aprovechar y provocar posibles cierres u otros incidentes que pueden afectar no solo a una planta específica, sino también a la estabilidad de la red en determinados escenarios. Esta situación también se complica aún más debido a la ubicación remota de muchas plantas de energía renovable, lo que dificulta las actualizaciones y el mantenimiento oportunos.

La mitigación de los riesgos de ciberseguridad asociados con los sistemas heredados requiere un enfoque multifacético. La implementación de la red, que implica aislar las redes SCADA de otras redes de TI, puede ayudar a limitar la propagación de posibles ciberataques. Además, incorporar la zero trust network access (ZTNA) garantiza que todos los usuarios, tanto de dentro como de fuera de la organización, estén autenticados, autorizados y validados continuamente antes de que se les conceda acceso a las aplicaciones y los datos. Además, la tunelización de VPN proporciona conexiones seguras y cifradas, lo que protege la transmisión de datos y mitiga el acceso no autorizado. La evolución natural de los sistemas IDS/IPS hacia los sistemas de detección y respuesta de redes (NDR) también puede ofrecer capacidades mejoradas, como la detección avanzada de amenazas y la respuesta automatizada, fortaleciendo aún más la defensa contra las ciberamenazas sofisticadas.

Por lo tanto, el Proyecto de investigación europeo ELECTRÓN, del que formamos parte junto con otras 33 empresas, aplica un marco novedoso e integral que incluye la evaluación de riesgos, la ciberdefensa y la certificación para apoyar la prevención, la detección, la respuesta y la mitigación de las ciberamenazas, dirigidas a las infraestructuras energéticas críticas, teniendo en cuenta las especificidades de los sistemas modernos (por ejemplo, la interconexión de los sistemas antiguos, como el SCADA, con el IoT y los dispositivos de medición inteligentes). El marco de ELECTRON identifica y rastrea las relaciones entre los activos físicos y cibernéticos de la infraestructura de comunicación y energía disponible y los utiliza para calcular de manera eficiente los riesgos individuales, acumulativos y propagados, así como para aplicar acciones de mitigación para abordar las ciberamenazas identificadas.

‍