Laboratorio de Ciberseguridad en la Smart Grid

El laboratorio se compone de dos entornos, el entorno Centro de Control en el que se ha instalado un SCADA que simula la operación de la red eléctrica (reducido a una subestación), y el entorno Subestación en el que están instalados los equipos electrónicos (SCU y Relés de Protección).

COMPONENTES DEL CENTRO DE CONTROL:
- Router: permite establecer una conexión VPN con el router de la subestación.
- Internal switch: Conecta todos los equipos del centro de control.
- Equipo SCADA. Contiene el software de monitorización y control (SCADA) de la subestación. También permite modificar la configuración de los IEDs desde el Centro de Control.
- Equipo Servidores LDAP y NTP: Este equipo alberga los diferentes servidores que son accedidos desde los IEDs de la subestación:
- Servidor en el que se ejecutan los servicios:
o LDAP: Realiza la gestión del control, de acceso (autentificación y autorización) de los usuarios y sistemas de información a los IEDS.
o NTP: Proporciona el servicio de sincronización de tiempos.

SecureGrid Hacking Tool Box (HTB) es un tool box que permite configurar y realizar diferentes pruebas de penetración a dispositivos electrónicos de una subestación eléctrica.
SecureGrid HTB está pensada para ser utilizada por los fabricantes de equipamiento para comprobar el nivel de seguridad que ofrecen sus equipos.

Monitorización de anomalías en las subestaciones eléctricas y plantas industriales.

El laboratorio se compone de dos entornos, el entorno Centro de Control en el que se ha instalado un SCADA que simula la operación de la red eléctrica (reducido a una subestación), y el entorno Subestación en el que están instalados los equipos electrónicos (SCU y Relés de Protección).

EQUIPAMIENTO SUBESTACIÓN:
- Router: permite establecer una conexión VPN con el router de la subestación.
- Unidad de Control de la Subestación (SCU): Hace las funciones de unidad remota estableciendo la comunicación con el SCADA del centro de control a través del protocolo de telecontrol IEC 60870-5-104. Otros protocolos que puede aceptar son el Modbus TCP y el DNP3-TCP. Por otra parte, también hace las funciones de cliente 61850 de los Relés de Protección a través del protocolo IEC-61850.
- Switch Industrial: Conecta todos los IEDs estableciendo el Bus de Subestación.
- Relés de Protección: Realiza las funciones de protección de los equipos eléctricos (interruptores, transformadores, …). Estos relés implementan el protocolo IEC-61850, lo que les permite recibir las señales eléctricas generadas por el equipo OMICRON – CMC 850, comunicarse con el SCU, y lanzar GOOSE entre ellos.
- Fuentes de alimentación: Aquellos relés cuya alimentación sea en continua (Vcc) están equipados con su correspondiente fuente de alimentación.
- Equipo SCADA. Contiene el software de monitorización y control (SCADA) de la subestación. También permite modificar la configuración de los IEDs desde el Centro de Control.
- OMICRON – CMC 850: Permite simular hasta 3 Merging Units, equipos de adquisición de datos eléctricos de la subestación. Este equipo se conecta a los relés de protección por TCP/IP a través del Bus de Subestación.
- OMICRON – CMC 256: Permite simular señales eléctricas y conectarlas directamente a los relés de protección a través de las conexiones de entradas y salidas digitales. Además, permite simular la actividad de interruptores.

WHITEZONE previene la presencia de malware en la zona operativa de las plantas industriales, restringiendo el acceso al área delimitada diseñada como zona operativa, sólo a los usuarios autorizados que transportan software seguro e identificado. Esta es una forma de asegurar la zona industrial y mejorar el proceso de actualización de los dispositivos de control de producción industrial (ICS). Ofrece las siguientes funcionalidades:

• Asegura que la información que se va a utilizar dentro de la zona operativa por medio de una llave USB es segura, es decir, no hay virus o malware.
• Autentica a los usuarios manualmente o a través de una tarjeta NFC.
• Permite elegir los datos que se van a utilizar en la zona protegida y los analiza para buscar cualquier virus o malware o cualquier dato no permitido a través de un servicio multi-virus en la nube. Si se supera esta verificación, expulsa una tecla "USB Whitezone © " donde se copiarán los datos encriptados y firmados, para evitar modificaciones. Estos USB Whitezone © serán los únicos válidos dentro de la zona de operación protegida. Además, este componente envía, en tiempo real, toda su actividad al software backend.
• El agente de software es un elemento que controla toda la actividad del puerto USB en el equipo en el que está instalado. Si se inserta un dispositivo no Whitezone © USB, éste será expulsado inmediatamente, haciendo imposible su uso. Si un USB Whitezone © está conectado, comprueba que su contenido no ha sido alterado. Si ha sido alterado, expulsa el USB. El agente de software puede comunicar, en tiempo real, toda su actividad al backend.