Compañías vascas finalizan un novedoso proyecto que permitirá desarrollar soluciones para proteger la red eléctrica de ciberataques

El proyecto Sec2Grid se enmarca en el programa Hazitek 2022 del Gobierno Vasco con un presupuesto de 6,4M€. La red eléctrica es un sistema completo y complejo, y lo novedoso de Sec2Grid es que ha abordado de manera global sus múltiples servicios, infraestructuras y equipamientos desde toda la cadena de valor para desarrollar medidas y protocolos de ciberseguridad que eviten posibles ataques y vulnerabilidades en los citados elementos

«Si podemos comunicar a las operadoras de antemano dónde puede haber posibles problemas a futuro por nuestra parte, podemos corregirlos antes de que aparezcan», subrayan las entidades participantes en el proyecto. El proyecto está liderado por Ingeteam y participan en el mismo: Arteche, Barbara, Ormazabal,  PwC, Zigor, ZIV, Ikerlan y el Clúster GAIA

Uno de los principales retos de las redes eléctricas inteligentes (Smart Grids) es su ciberseguridad debido, entre otros factores, a la digitalización y el aumento de la conectividad entre los numerosos dispositivos que integra. Sus particularidades dificultan la adaptación de las medidas de seguridad existentes actualmente en el mundo de las Tecnologías de la Información (IT).

Este escenario complica la detección proactiva de las posibles vulnerabilidades existentes en los dispositivos desplegados. Hay que tener en cuenta que, cuando se habla de activos críticos, como es el caso de las redes eléctricas, los tiempos de respuesta a la hora de parchearla -no de poderla solucionar-, son muy largos. La ciberseguridad de la red eléctrica se ha convertido, por lo tanto, en un elemento clave y en uno de los principales retos a los que se enfrenta el sector.

En este contexto, este mes finaliza el proyecto Sec2Grid financiado por el programa Hazitek 2022 del Gobierno Vasco y con un presupuesto de 6,4M€. En el mismo trabajan de manera colaborativa empresas fabricantes de equipamiento para el sector eléctrico, proveedores de soluciones y servicios de ciberseguridad y consultoría, para establecer mecanismos que permitan descubrir de manera proactiva las posibles vulnerabilidades en los dispositivos que integran la red eléctrica inteligente, integrando a toda la cadena de valor y con una visión global a lo largo de todo el ciclo de vida del equipamiento.

Liderado por Ingeteam, en el proyecto participan Arteche, Barbara, Ormazabal,  PwC, Zigor, ZIV, Ikerlan y el Clúster GAIA. Todos ellos han colaborado para analizar continuamente y de un modo automatizado las vulnerabilidades que pueden aparecer en los equipos de los fabricantes participantes, información puesta además a disposición del resto de empresas que toman parte en el proyecto. Tal y como subraya Imanol García, director de Proyectos de I + D en Ingeteam, «esto nos permite desarrollar funcionalidades agregadas orientadas a la infraestructura eléctrica, de tal manera que compartiendo esa información se puedan analizar los riesgos de un modo global y adecuado a toda la red». En esta línea, García explica que «si nosotros podemos comunicar a las operadoras eléctricas de antemano dónde puede haber posibles problemas a futuro por nuestra parte, podemos corregirlos antes de que aparezcan».

Además, en el marco del proyecto, se han desarrollado mecanismos para mantener vigilados los equipos cuando ya están desplegados en campo, tratando de garantizar así que las configuraciones y su modo de funcionamiento en operación sean los adecuados y mantengan el nivel de ciberseguridad que se espera, para que no puedan ser atacados de manera sencilla.

También se han desarrollado metodologías para el despliegue de las correcciones o parches de un modo seguro, teniendo en cuenta que algunos de los vectores de ataque más comunes se basan en aprovechar las debilidades de la cadena de suministro, enfocándose en los mecanismos utilizados en la actualización de equipos desplegados en las redes eléctricas. Por ello, se ha trabajado en modelos de datos, cifrado, atributos y formatos, para poder disponer de autorizaciones firmadas autenticadas con doble firma, etcétera. «Esto permite garantizar -no solamente que la versión que sale proviene del fabricante con garantías de ciberseguridad-, sino que también ha sido probada y aceptada por la propia operadora eléctrica», explica Imanol García.

Infraestructura virtual para testar
Igualmente, el proyecto Sec2Grid ha hecho posible trabajar en test rápidos que se han implementado en una infraestructura virtual en ubicada en Ikerlan (Arrasate). «Todos los fabricantes hemos instalado así nuestros equipos y se han pasado una serie de test de ciberseguridad que han permitido probar los cambios realizados en menor tiempo del habitual. Para ello, hemos creado un simulador de infraestructura de operador eléctrico, que incorpora la funcionalidad necesaria para probar lo implementado y en la que hemos podido realizar pruebas conjuntas todos los participantes».

La infraestructura se ha diseñado con el objetivo de que pueda ser utilizada en las empresas que integran el consorcio. «Podremos realizar las pruebas internamente, como si tuviésemos una infraestructura eléctrica, generada en base a una serie de máquinas virtuales y secuenciadores de test automáticos que van a probar nuestros equipos de un modo ágil», explican.

Las entidades participantes en el proyecto subrayan que uno de los grandes éxitos del mismo ha sido el trabajo colaborativo, que ha constituido también un reto importante, colaborando de una manera muy abierta a pesar de ser competidores. «El proyecto nos ha enriquecido muchísimo a todos», concluye Imanol García, director de Proyectos de I + D en Ingeteam.