Estrategia integral de ciberseguridad en el sector eléctrico

Primera jornada de supervisión y quinta de ciberseguridad – Consejo Nacional de Operación

Cali, 25 y 26 de septiembre de 2019

01 Antecedentes

AGENDA

Agenda

02 Desarrollos en Colombia y alcance

03 Documento CREG 065 de 2019

04 Recursos Energéticos Distribuidos - DER

01 Antecedentes

AGENDA

Agenda

02 Desarrollos en Colombia y alcance

03 Documento CREG 065 de 2019

04 Recursos Energéticos Distribuidos - DER

Temas claves sector electricidad

Los recursos de energía distribuida, DER, están

transformando la manera en que se planifican, funcionan y se usan los sistemas eléctricos

El sector de la energía está cada vez más digitalizado, debido a que las tecnologías computacionales y de control están integradas.La digitalización está creando nuevas oportunidades, pero también riesgos para la seguridad cibernética

Mayor consumo en sectores: comunicaciones, transporte, calefacción, climatización, iluminación, demanda industrial

Mayor impacto por materialización riesgos de ciberseguridad

(Mayor dependencia) Mayor riesgo ciberseguridad(dependencia en operación y administración)

Mayor riesgo ciberseguridad(mayor vulnerabilidad “mas

puertas de acceso”)

Que hacer? Convivir con esta situación Prepararse Gestionar riesgos

Minimizar la ocurrencia de eventos

Minimizar impactos Minimizar tiempo de

recuperación

Operar, mantener, recuperar

Fuente: WEF https://intelligence.weforum.org

Objetivos ciberseguridad sector eléctrico

Fuente: Cybersecurity White paper MIT energy initiative utility of the future, Diciembre 2016

Ser capaz de operar en un ambiente con ciberataques

Reducir el efecto y el alcance de los ataques a los sistemas

Adaptación de los sistemas, “tratamiento adecuado”

Defensa cibernética por niveles o capas

Monitoreo continuo y aplicación de mejores prácticas, no solo estándares

Incorporación de seguridad desde el diseño de los sistemas

Ciclo de vida de seguridad (identificar, proteger, detectar, responder y recuperar)

Establecer sistemas de respuesta efectiva

Resiliencia

Promover innovación

Reconocimiento de costos asociados

Privacidad y seguridad de información

Grupos de seguimiento

Dimensiones de la ciberseguridad

• CIS• Sistemas información activos• Sistemas contables• Facturación• Sistemas medición

2. Tecnologías de información (IT)

• AMI• Autos eléctricos• Integradores• Equipos del usuario• Baterías

3. Redes inteligentes

• SCADA• Sistemas de control • Sistemas de protecciones

1. Tecnologías de operación (OT)

Recomendaciones

For the three reasons mentioned in the previous paragraphs (potential contagion(s), lack of trust,

cost/bias in the market), CEER recommends that all parties interacting with the grid notincluded in the list of Operators of Essential Services should nevertheless, aim todevelop and apply cybersecurity standards and measures. This may contribute to thecreation of a homogenous and secure ecosystem which will allow the development of a secure culturefor further innovation and digitalisation in the energy sector.

Fuente: CEER, Cybersecurity Report on Europe’s Electricity and Gas Sectors, October 2018

Cybersecurity is important to maintain the integrity and correct operation of the electric grid. Thus,minimumcybersecurity regulatory standards are needed for all components of an interconnectednetwork: the bulk power and transmission systems, distribution systems and distributedenergy resources, metered points of connection with network users, and internet-enableddevices in residential, commercial, and industrial buildings. All entities that interact with andconnect to the electric grid (e.g., DERs, microgrids) should adhere to minimum cybersecurity standards, not onlythose entities, such as utilities, that are registered with the North American Electric Reliability Corporation(NERC). Non-traditional energy providers and electricity service providers, including DER aggregators, should beobligated to address cyber risks because their actions (or inactions) could have a dramatic impact on the overallsecurity of the electric grid.

Fuente: MIT, Cybersecurity White paper MIT energy initiative utility of the future, Diciembre 2016

01 Antecedentes

AGENDA

Agenda

02 Desarrollos en Colombia y alcance

03 Documento CREG 065 de 2019

04 Recursos Energéticos Distribuidos - DER

Desarrollos en el país

Ministerio de Defensa Nacional

Ministerio de Defensa Nacional Apoyo CNO

Define la Política nacional de seguridad digital

Mindefensa formuló el plan nacional de protección y defensa de infraestructura para la infraestructura critica cibernética de Colombia

Plan sectorial de protección y defensa para el sector electricidad, PSPSE - 2018

Acuerdo CNO 788 de 2015Mediante el Acuerdo se aprobó la guía de ciberseguridad del sector eléctrico.

Circular 034 de 2019 CNOPropuesta de Acuerdo "Por el cual se aprueba la modificación de la Guía de Ciberseguridad" y el documento de modificación de la Guía de Ciberseguridad

Resolución XXXIV-0/04 OEA Los Estados miembros aprobaron la Estrategia Interamericana Integral para Combatir las Amenazas a la seguridad cibernética en la Resolución AG/RES. 2004 (XXXIV-O/04).

CONPES 3701 de 2011 Define lineamientos de política para ciberseguridad y ciberdefensa en el país

CONPES 3854 de 2016

Acuerdo CNO 1043 de 2018Se modifican las condiciones mínimas de seguridad e integridad para la transmisión de lecturas de medidores.

Alcance PSPSE y Acuerdos CNO

Fuente: Presentación CNO

Desarrollo regulación

• Por desarrollar

2. Tecnologías de información (IT)

• Por desarrollar

3. Redes inteligentes

• Revisión alcance y profundidad• Identificación y asignación de

costos• Cumplimiento acuerdos• Verificación de terceros• Plazos y pertinencia• Implementación CSIRT

1. Tecnologías de operación (OT)

Estrategia integral de ciberseguridad

01 Antecedentes

AGENDA

Agenda

02 Desarrollos en Colombia y alcance

03 Documento CREG 065 de 2019

04 Recursos Energéticos Distribuidos - DER

Plan de trabajo

1. Documento de consulta

Problema: Aumento del riesgo de fallas en el suministro de energía eléctrica asociado conproblemas de seguridad digital y mayor impacto por una eventual falta de suministro

Objetivo: Desarrollar una estrategia integral de ciberseguridad que prepare al sectoreléctrico para enfrentar los riesgos asociados con incidentes de ciberseguridad quepuedan afectar la operación del sector y poner en riesgo el suministro de energíaeléctrica de manera oportuna y confiable

Alternativas regulatorias identificadas: Co-regulación, auto-regulación, información ycampañas educativas

Metodología para definir la estrategia de ciberseguridad, Cibersecurity StrategyDevelopment Guide, NARUC, 2018

Diagnostico empleando documento Understanding Cybersecurity Preparedness: Questionsfor Utilities, NARUC, 2019

2. Estudio de consultoría, último trimestre de 2019.

3. Reuniones de trabajo con stakeholders

4. Propuesta de resolución y resolución definitiva en 2020

Circular CREG 072/19

Plazo: 15 de octubre

Plazo: 31 de octubre

01 Antecedentes

AGENDA

Agenda

02 Desarrollos en Colombia y alcance

03 Documento CREG 065 de 2019

04 Recursos Energéticos Distribuidos - DER

¿Hacia dónde vamos?

Red tradicional

Red inteligente

Recursos Energéticos Distribuidos

Recursos Energéticos Distribuidos

A DER is a resource sited close to customers that can provide all or some of their immediate electric and power needs and can also be used by the system to either reduce demand (such as energy efficiency) or provide supply to satisfy the energy, capacity, or ancillary service needs of the distribution grid. The resources, if providing electricity or thermal energy, are small in scale, connected to the distribution system, and close to load. Examples of different types of DER include solar photovoltaic (PV), wind, combined heat and power (CHP), energy storage, demand response (DR), electric vehicles (EVs), microgrids, and energy efficiency (EE)

Fuente: NARUC Manual on Distributed Energy Resources Rate Design and Compensation, Prepared by the StaffSubcommittee on Rate Design, 2016

¿Cuál es la definición adecuada para nuestro sistema? Considerando:

Autogeneración a pequeña y gran escala, Generador distribuido, Cogenerador, Plantas menores, Demanda Desconectable Voluntaria, Respuesta de la demanda,

eficiencia energética

Y aún faltan… baterías, agregadores, vehículos eléctricos, microredes aisladas o no aisladas, domótica, etc

Recursos Energéticos Distribuidos

En una ambiente de gran granularidad y con la red de distribución como el nuevo Market Place:

¿Qué puedo supervisar?

¿Cómo gestiono el gran volumen de datos?

¿Quién debe supervisar una micro red? ¿un autogenerador?

¿Debo dejar que los sistemas se autosupervisen, aprendan e informen?

¿Cuál es el rol del operador del sistema? ¿Debe limitarse a su condición actual? ¿Debe fortalecerse el papel del OR? ¿se deben retomar los centros de control regional?

Recursos Energéticos Distribuidos

Autogenerador a pequeña y gran escala, generador distribuido

Infraestructura de medición avanzada

Reglas existentes Res 080/99

Planes de inversión de parte de los OR

Demanda desconectable

voluntaria

Cogeneración

Código de redes y reglamento de

distribución

Formula tarifaria

@ComisionCREG

www.creg.gov.co

creg@creg.gov.co

GRACIAS