Las estaciones de recarga rápida de vehículos eléctricos y las unidades de generación solar y eólica podrían suponer una amenaza a medida que nuestra red se vuelve cada vez más vulnerable a los ciberataques.
Los proveedores de redes no deben disociar la ciberseguridad a la hora de invertir en fiabilidad y resistencia de la red. De hecho, las tres áreas trabajan juntas.
El impacto de los ciberataques no se limita a la pérdida potencial de información de identificación personal (PII) o propiedad intelectual, sino también a los niveles de servicio de las operaciones.
A modo de ejemplo, consideremos el ataque ransomware de 2021 a Colonial Pipeline, que robó 100 gigabytes de datos en el transcurso de unas pocas horas. El incidente interrumpió los sistemas informáticos de Colonial durante varios días, lo que ilustra el probable impacto operativo que pueden producir los ciberataques. Ignorando el vector y el motivo del ataque, la cuestión es que este ciberataque tuvo un impacto significativo tanto en las operaciones informáticas de la red como en sus clientes, especialmente las compañías aéreas que dependían del combustible de Colonial Pipeline. También se vieron afectadas cientos de gasolineras del sureste de EE.UU. En numerosos casos, las gasolineras se quedaron sin combustible, aunque en la mayoría de los casos se debió a compras irracionales provocadas por el pánico. No es de extrañar que los clientes no estuvieran contentos.
Nuevas preocupaciones
Un sector emergente en el que la intersección de la ciberseguridad y la fiabilidad y resistencia es evidente es el de los recursos energéticos distribuidos (DER), un ejemplo de IoT industrial para la red.
A medida que la red depende cada vez más de los DER, como las estaciones de carga rápida de vehículos eléctricos, la energía solar y las unidades generadoras de energía eólica, nuestra red se vuelve cada vez más vulnerable a la piratería informática, especialmente si se tiene en cuenta que se desconoce la superficie completa del vector de ataque. Dado el crecimiento explosivo que implica una miríada de proveedores de ecosistemas que van desde el hardware, los proveedores de la nube y las fuentes de energía -muchos de ellos nuevas empresas-, su fiabilidad y resistencia críticas también se ven a través de la lente de la seguridad.
Como se destaca en la publicación especial 1800-32A del NIST del Centro Nacional de Ciberseguridad de Excelencia (NCCOE) de febrero de 2022, "Cualquier ataque que pueda negar, interrumpir o manipular las comunicaciones DER podría impedir que una empresa de servicios públicos realice las acciones de control necesarias y podría disminuir la resiliencia de la red." Con el rápido cambio de una red de servicios públicos controlada centralmente a proveedores en el borde de la red, surgen retos únicos que, si no se abordan, podrían tener un impacto devastador en la integridad de los datos de clientes y proveedores, la privacidad, el acceso, así como la fiabilidad y la resistencia.
Dada la interdependencia, un compromiso -especialmente la denegación de servicio- de cualquiera de estos componentes/actores podría causar estragos en la disponibilidad y/o el rendimiento de todo el ecosistema.
Otro punto digno de atención es la Guía para la seguridad de los recursos energéticos distribuidos del NIST, que se recomienda encarecidamente a los participantes en DER que aprovechen.
Además, un informe de julio de 2022 (SAND2022-9315) de Sandia National Laboratories destaca la creciente preocupación en torno al impacto de las vulnerabilidades cibernéticas de las estaciones de recarga de vehículos eléctricos en la adopción por parte de los usuarios en caso de una interrupción importante. El informe también examina los efectos en cadena en sectores de infraestructuras críticas como los sistemas de energía y la fabricación debido a una mala implementación de los equipos de suministro de vehículos eléctricos (EVSE), los vehículos eléctricos (EV) o los sistemas de comunicación de los operadores de red. En el momento de la publicación, Sandia observó que las mejores prácticas adoptadas por la industria de EV/EVSE eran limitadas.
El NCCOE interviene con un marco de ciberseguridad
Un área particular que el NCCOE vigila de cerca es la infraestructura de recarga extremadamente rápida de vehículos eléctricos (https://www.nccoe.nist.gov/projects/cybersecurity-framework-profile-electric-vehicle-extreme-fast-charging-infrastructure). El NCCOE reconoce la naturaleza distribuida, la necesidad de escala, la conectividad inestable -así como las nuevas oportunidades- que presenta la carga extremadamente rápida de vehículos eléctricos. El NCCOE ha reunido a una comunidad de interesados y expertos para contribuir a la creación de un marco que los fabricantes de estaciones de recarga y vehículos eléctricos, las redes de recarga en la nube y las empresas eléctricas puedan aprovechar para aplicar las mejores prácticas de seguridad por diseño. (https://www.nccoe.nist.gov/projects/cybersecurity-framework-profile-electric-vehicle-extreme-fast-charging-infrastructure.)
Aunque los conceptos son los tradicionales - autenticación, control de acceso, confidencialidad, integridad de los datos, supervisión, etc. - la aplicación de este ecosistema emergente plantea nuevos retos y oportunidades de innovación, ya que los datos en reposo y en tránsito entre los principales subsistemas conectados, como las estaciones de recarga (EVSE), los vehículos eléctricos (EV), las redes de recarga en la nube o de terceros y las compañías eléctricas, requieren un método interoperable, altamente fiable y seguro para realizar transacciones. Los vectores de ataque son numerosos y exponen tanto a los operadores de red como a los clientes a todo tipo de vulnerabilidades.
Como ya se ha dicho, muchos de los puntos finales que necesitan seguridad se clasifican como IoT industrial y, como tales, pueden confiar en las salvaguardas tradicionales que se han aplicado en las redes de TI durante décadas.
El momento no podría ser más oportuno para que el explosivo y creciente ecosistema del EV se alinee en torno a las mejores prácticas de ciberseguridad, y anime a todas las partes interesadas a participar o, al menos, a prestar atención a los consejos del próximo producto de trabajo, que probablemente estará repleto de mejores prácticas presentadas en un marco y un conjunto de escenarios que abordan los casos de uso comunes y únicos, la fiabilidad y las necesidades de resiliencia.
