Cómo aplicar la Ciberseguridad en el sector del petrolero
El sector energético es uno de los blancos más frecuentes y de los primeros en responder a las ciber-amenazas con controles obligatorios. Pero las amenazas siguen en desarrollo y alcanzan a los sistemas de control industrial y a las cadenas de suministro, demandando así mayores esfuerzos para gestionar el riesgo.
Debido a las nuevas tecnologías, el sector de Petróleo y Gas (Oil & Gas, O&G) está en continua evolución. Los sistemas y redes autónomos a menudo se están cambiando a redes wireless o cableadas basadas en protocolos IP estandarizados y en Ethernet. La tecnología COTS (Commercial Off-the-Shell) ha reemplazado dispositivos obsoletos y los equipos de IT y de OT han empezado a converger. Sin embargo, este aumento de la conectividad implica una mayor vulnerabilidad.
Establecer la seguridad del Sistema de Monitoreo y Control Energético (EMCS) para la industria petroquímica, y de gas es vital porque las interrupciones a las operaciones pueden exponer a los trabajadores y las instalaciones a riesgos serios y conducir a pérdidas financieras considerables. Asegurar un EMCS más digital permite operaciones adecuadas, continuas y más confiables, lo que ayuda a asegurar la funcionalidad de actividades críticas como el Sistema de Administración de Generación (GMS, Generation Management System ) y el Servicio de Descarga Rápida (FLS, Fast Load Shedding ), y a proteger a los trabajadores e instalaciones contra daños.
La seguridad y la fiabilidad de los sistemas de gestión de oleoductos y gasoductos son fundamentales y tienen que ser la máxima prioridad a todas horas, todos los días. Sin embargo, a medida que las empresas del sector de Petróleo y Gas integran el Industrial Internet of Things (IIoT), los sistemas están cada vez más en riesgo de ciberataques.
En las operaciones de OT donde las interrupciones pueden tener consecuencias enormes, la seguridad sigue siendo de primordial importancia, pero el concepto tradicional de TI (confidencialidad, integridad y disponibilidad) se ha reordenado para priorizar la disponibilidad por sobre la integridad y la confidencialidad (AIC). Aunque nadie cuestiona la importancia de proteger la integridad de los datos, en el entorno OT, esta preocupación se traslada para ayudar a garantizar la continuidad y la seguridad.
No solo tecnología
El Marco de trabajo sobre CiberSeguridad del NIST, en los últimos tiempos, ha enfatizado el aspecto humano de la seguridad. La tecnología juega un papel importante en las defensas de las organizaciones, pero las personas son igual de importantes. Emitir directrices y establecer prácticas estándar proporciona una base formativa para empleados y proveedores. La IEC-62443 utiliza un sistema que muestra cómo la tecnología, las personas y los procesos se unen para crear una defensa integral.
Las tres características distintivas de calidad que se requieren para un sistema de gestión de gasoductos y oleoductos son disponibilidad, integridad y confidencialidad. La IEC-62443 ha identificado 7 requisitos necesarios para que las aplicaciones, las infraestructuras y los dispositivos cumplan con esas 3 características de calidad: identificación y control de autenticación, control de uso, integridad del sistema, confidencialidad de datos, flujo de datos restringido, respuesta oportuna a eventos y disponibilidad de recursos.
La criptografía y el cifrado de datos son métodos para proteger los datos, lo que dificulta su manipulación. En el cifrado, se utilizan claves simétricas o asimétricas, normalmente en cualquier infraestructura WAN de acceso público o en datos almacenados. La autenticación de mensajes garantiza que el sistema de gestión de oleoductos y gasoductos reciba sólo datos precisos, por lo que se pueden tomar decisiones con seguridad.
Todos estos aspectos forman capas de seguridad que innovan constantemente para satisfacer las nuevas demandas de ciberseguridad en el sector O&G.
La ciberseguridad es un proceso continuo de evaluación, implementación y mantenimiento en un ciclo cerrado, donde una fase activa la siguiente durante todo el ciclo de vida del proyecto.
La ciberseguridad del ciclo de vida completo ofrece una seguridad superior para los sistemas de monitoreo y control de energía en el sector del petróleo y gas.