El Departamento de Energía de Estados Unidos (DOE) está trabajando con cuatro laboratorios nacionales y participantes de la industria para proponer requisitos de ciberseguridad para los recursos energéticos distribuidos, dijo Guohui Yuan, un gerente de programa con la Oficina de Tecnologías de Energía Solar del DOE, en un seminario web. Los requisitos podrían incluir normas, mejores prácticas y procedimientos de prueba y análisis.
La iniciativa del DOE, que también abarca la ciberseguridad para la energía solar a gran escala, se conoce como «Securing Solar for the Grid». Un informe del DOE sobre el tema insta al sector de los recursos energéticos distribuidos (DER) a participar en estos debates.
Según el informe del DOE, a medida que aumenta el despliegue de energía solar en tejados, baterías y otros recursos energéticos distribuidos, también aumentan los daños potenciales de un ciberataque contra estos recursos. En la actualidad, la capacidad de los DER asciende a 90 GW en Estados Unidos, y se espera que aumente a 380 GW en 2025, según el informe.
Los ciberataques sufridos en el pasado por la generación de energías renovables indican el riesgo de que se produzcan ataques contra los DER, explicó Meg Egan, analista de ciberseguridad de sistemas de control del Laboratorio Nacional de Idaho, en el seminario web. Tres naciones son capaces de realizar ciberataques, al igual que los grupos criminales, dijo, señalando 10 ciberataques a generadores renovables a gran escala o empresas de renovables desde 2019 en todo el mundo.
En dos escenarios potenciales de un ciberataque, un atacante podría usar ransomware para tomar el control de múltiples DER, o podría usar un ataque a la cadena de suministro en un agregador, o en otra parte que envía direcciones o actualizaciones a DER, para influir en el funcionamiento de los DER.
En otros dos escenarios, una «red de bots» podría infectar suficientes DER con malware para permitir al atacante crear oscilaciones de energía imprevistas en la red, o un «gusano» podría propagarse desde un DER a un sistema de gestión de recursos energéticos distribuidos (DERM) de nivel superior, que podría entonces enviar una orden falsa a muchos DER e instigar la inestabilidad de la energía.
Para ser resistentes a los ataques, los sistemas DER «deberían diseñarse, construirse y funcionar mediante un modelo de confianza cero», en el que los datos y las órdenes se validen «mediante mecanismos criptográficos seguros basados en normas, pruebas y evaluaciones de vulnerabilidad», según el informe del DOE. Un paso clave hacia ese objetivo, según el informe, es la publicación y aplicación de las directrices de ciberseguridad de los DER que se están desarrollando como norma IEEE 1547.3, una vez que dicha norma esté finalizada.
Los DER participan cada vez más en la estabilización de las redes regionales y en la garantía de la fiabilidad, según el informe del DOE. Este papel de los DER es el resultado tanto de la norma sobre inversores inteligentes conocida como IEEE 1547-2018, como de la Orden 2222 de la Comisión Federal Reguladora de la Energía (FERC) que abre los mercados mayoristas a los DER agregados. Sin embargo, las capacidades bidireccionales que permiten a los DER ayudar a la red también abren oportunidades para los ciberataques, según el informe.
Guohui Yuan, del DOE, dijo que tanto los estados como la FERC tendrán un papel en la adopción de normas de ciberseguridad para los DER.
El informe del DOE se titula «Consideraciones de ciberseguridad para los recursos energéticos distribuidos en la red eléctrica estadounidense«. El DOE dijo que publicaría las diapositivas del seminario web en la página del informe.
Este contenido está protegido por derechos de autor y no se puede reutilizar. Si desea cooperar con nosotros y desea reutilizar parte de nuestro contenido, contacte: editors@pv-magazine.com.
Al enviar este formulario, usted acepta que pv magazine utilice sus datos con el fin de publicar su comentario.
Sus datos personales solo se divulgarán o transmitirán a terceros para evitar el filtrado de spam o si es necesario para el mantenimiento técnico del sitio web. Cualquier otra transferencia a terceros no tendrá lugar a menos que esté justificada sobre la base de las regulaciones de protección de datos aplicables o si pv magazine está legalmente obligado a hacerlo.
Puede revocar este consentimiento en cualquier momento con efecto para el futuro, en cuyo caso sus datos personales se eliminarán inmediatamente. De lo contrario, sus datos serán eliminados cuando pv magazine haya procesado su solicitud o si se ha cumplido el propósito del almacenamiento de datos.
Puede encontrar más información sobre privacidad de datos en nuestra Política de protección de datos.