Por qué es importante la ciberseguridad para los interruptores automáticos MasterPacT, ComPacT y PowerPacT

Descripción general

El interruptor automático MasterPacT, ComPacT y PowerPacT es un componente clave de cualquier planta o equipo porque controla la alimentación eléctrica del proceso, proporciona protección eléctrica y ofrece información crítica.

MasterPacT, ComPacT y PowerPacTLos interruptores automáticos con funciones de comunicación también proporcionan acceso 24 horas al día y 7 días a la semana a funciones de control en tiempo real y a datos de supervisión. Estas funciones aumentan la eficiencia y la flexibilidad de gestión del sistema de distribución eléctrica. Sin embargo, podrían quedar expuestas a ciberataques.

Interruptor automático MasterPacT MTZ con entorno operativo de la unidad de control MicroLogic X

En la imagen siguiente se muestran las distintas maneras de comunicarse con la unidad de control MicroLogic X del interruptor automático MasterPacT MTZ.

USB

ULP

Ethernet

Tecnología inalámbrica Bluetooth®

Wi-Fi

Unidad funcional inteligente (IMU) MasterPacT MTZ

Red de tecnología operativa (TO)

Internet público

La unidad funcional modular inteligente (IMU) de MasterPacT MTZ representa el interruptor automático, la unidad de control MicroLogic X y los módulos ULP asociados, la interfaz de comunicación y los módulos IO.

Para comunicarse con el interruptor automático MasterPacT MTZ por medio de su unidad de control MicroLogic X, se encuentran disponibles las siguientes rutas de comunicación:

MicroLogic X Interfaz hombre-máquina (HMI) de)
Visualizador de cuadro FDM121 para un interruptor automático
Conexión inalámbrica NFC desde un smartphone
Conexión inalámbrica Bluetooth Low Energy desde un smartphone
Conexión al puerto mini tipo B USB de la unidad de control MicroLogic X desde:
- Un PC que ejecuta el software EcoStruxure™ Power Commission
- Un smartphone que tenga instalada la aplicación Aplicación EcoStruxure Power Device
Ethernet (protocolos Modbus TCP/IP o IEC 61850) a través de la tecnología operativa (OT) cuando están presentes la interfaz IFE o EIFE, o el servidor IFE
Conexión Modbus-SL a través de la red de tecnología operativa (OT) cuando la interfaz IFM está presente

Interruptor automático MasterPacT MTZ con entorno operativo de la unidad de control MicroLogic Active

En la imagen siguiente se muestran las distintas maneras de comunicarse con la unidad de control MicroLogic Active del interruptor automático MasterPacT MTZ.

USB

NFC

Wi-Fi

IEEE 802.15.4

Unidad funcional inteligente (IMU) MasterPacT MTZ

Red de tecnología operativa (TO)

Internet público

A Panel Server páginas web

Software B EcoStruxure Power Monitoring Expert (PME)

Software C EcoStruxure Power Operation (PO)

D POI Plus, estación de trabajo industrial con software de gestión de energía

La unidad funcional modular inteligente (IMU) de MasterPacT MTZ representa el interruptor automático, la unidad de control MicroLogic Active y la interfaz de comunicación.

Para comunicarse con el interruptor automático MasterPacT MTZ por medio de su unidad de control MicroLogic Active, se encuentran disponibles las siguientes rutas de comunicación:

MicroLogic Active Interfaz hombre-máquina (HMI) de)
Conexión inalámbrica NFC desde un smartphone
Conexión al puerto USB-C de la unidad de control MicroLogic Active desde:
- Un PC que ejecuta el software EcoStruxure™ Power Commission
- Un smartphone que tenga instalada la aplicación Aplicación EcoStruxure Power Device
Conexión IEEE 802.15.4 inalámbrica a un Panel Server para unidades de control MicroLogic Active AP/EP.

Entorno operativo del interruptor automático MasterPacT NT/NW, ComPacT NS y PowerPacT de marcos P y R

En la imagen siguiente se muestran las distintas maneras de comunicarse con la unidad de disparo remoto MicroLogic del interruptor automático.

USB

ULP

Ethernet

Unidad modular inteligente (IMU)

Red de tecnología operativa (TO)

Internet público

La unidad funcional modular inteligente (IMU) representa el interruptor automático MasterPacT NT/NW, ComPacT NS y PowerPacT de marcos P y R, la unidad de disparo MicroLogic y los módulos ULP asociados, la interfaz de comunicación y los módulos IO.

Para comunicarse con el interruptor automático por medio de su unidad de disparo remoto MicroLogic, se encuentran disponibles las siguientes rutas de comunicación:

MicroLogic Interfaz hombre-máquina (HMI) de)
Unidad de visualización frontal FDM121 para un interruptor automático
Conexión con la unidad de disparo remoto MicroLogic desde un PC con el software EcoStruxure Power Commission a través de la interfaz de servicio
Ethernet (protocolo Modbus TCP/IP) a través de la tecnología operativa (OT) cuando están presentes la interfaz IFE o el servidor IFE
Conexión Modbus-SL a través de la red de tecnología operativa (OT) cuando la interfaz IFM está presente

Entorno operativo del interruptor automático ComPacT NSX y PowerPacT de marcos H, J y L

En la imagen siguiente se muestran las distintas maneras de comunicarse con la unidad de disparo remoto MicroLogic del interruptor automático.

USB

ULP

Ethernet

Unidad modular inteligente (IMU)

Red de tecnología operativa (TO)

Internet público

La unidad funcional modular inteligente (IMU) representa el interruptor automático ComPacTNSX o PowerPacT de marcos P y R, la unidad de disparo MicroLogic y los módulos ULP asociados, la interfaz de comunicación y los módulos IO.

Para comunicarse con el interruptor automático por medio de su unidad de disparo remoto MicroLogic, se encuentran disponibles las siguientes rutas de comunicación:

MicroLogic Interfaz hombre-máquina (HMI) de)
Unidad de visualización frontal FDM121 para un interruptor automático
Conexión a la unidad de disparo MicroLogic desde un PC con el software EcoStruxure Power Commission a través de la interfaz de servicio o la interfaz de mantenimiento USB
Ethernet (protocolo Modbus TCP/IP) a través de la tecnología operativa (OT) cuando están presentes la interfaz IFE o el servidor IFE
Modbus-SL conexión a través de la tecnología operativa (OT) cuando el IFM interfaz o BSCM Modbus SL/ULP módulo está presente

Vulnerabilidad del sistema frente a ciberataques

Cada una de las rutas de comunicación enumeradas anteriormente representa un punto vulnerable de su sistema si no se toman medidas de seguridad. Esta guía ofrece directrices para ayudar a proteger estas rutas de comunicación frente a ataques intencionados o mal uso accidental.

Las siguientes características de seguridad pretenden mitigar las amenazas inherentes vinculadas al uso de las interfaces IFE y EIFE, el servidor IFE y los dispositivosMasterPacT, ComPacT y PowerPacT en una entorno de tecnología operativa (OT).

Funciones de seguridad incluidas

Las IMU MasterPacT, ComPacT y PowerPacT admiten las siguientes funciones de ciberseguridad:

Gestión de cuentas de usuario:
- En interfaces IFE y EIFE
- En el servidor IFE
- En la unidad de control MicroLogic Active
Protección mediante código de acceso
Servicios y ajustes de seguridad configurables
Mecanismo de actualización del firmware
Comunicación segura máquina a máquina mediante Modbus TCP/TLS (en interfaces IFE y EIFE, y servidor IFE)
Registros de seguridad en formato Syslog o formato CSV (en interfaces IFE y EIFE, y servidor IFE)

Estas funciones proporcionan funcionalidades de seguridad que contribuyen a proteger el producto de posibles amenazas a la seguridad que podrían:

Interrumpir el funcionamiento del producto (disponibilidad)
Modificar la información (integridad)
Revelar información confidencial (confidencialidad)

Comparación de las funciones de seguridad entre la interfaz IFE/EIFE y el servidor IFE

En la siguiente tabla se proporciona una comparativa entre las características de seguridad de:

La interfaz IFE/EIFE con versiones de firmware 004.•••.••• y 005.•••.•••
El servidor IFE con versión de firmware 003.•••.•••
El servidor IFE con versión de firmware 005.•••.•••

Schneider Electric recomienda actualizar la versión de firmware de la interfaz IFE/EIFE y el servidor IFE para utilizar las funciones más recientes.

Características	Interfaz EIFE (LV851001) Interfaz IFE (LV434001)	Servidor IFE (LV434002) (versión de firmware 003.•••.•••)	Servidor IFE (LV434002) (versión de firmware 005.•••.•••)
HTTP	Sí	Sí	Sí
HTTPS	Sí	No	Sí
Servidor FTP	Sí	Sí	Sí
Cliente FTP	Sí	Sí	Sí
FTPS	Sí	No	Sí
NTP	Sí	No	Sí
SNTP	No	Sí	No
RSTP	Sí	No	Sí
Modbus TCP	Sí	Sí	Sí
Modbus Secure	Sí	No	Sí
RBAC	Sí	No	Sí
IEC 61850	Sí	No	Sí
Syslog	Sí	No	Sí
SMTP	Sí	Sí	Sí
Compatibilidad con IPv6 y detección de DPWS	Sí	No	Sí
SNMP	Sí	Sí	Sí
Tiempo para actualizar el firmware	4 minutos aproximadamente	16 minutos aproximadamente	4 minutos aproximadamente

Características	Interfaz EIFE (LV851001) Interfaz IFE (LV434001)	Servidor IFE (LV434002) (versión de firmware 003.•••.•••)	Servidor IFE (LV434002) (versión de firmware 005.•••.•••)
HTTP	Sí	Sí	Sí
HTTPS	Sí	No	Sí
Servidor FTP	Sí	Sí	Sí
Cliente FTP	Sí	Sí	Sí
FTPS	Sí	No	Sí
NTP	Sí	No	Sí
SNTP	No	Sí	No
RSTP	Sí	No	Sí
Modbus TCP	Sí	Sí	Sí
Modbus Secure	Sí	No	Sí
RBAC	Sí	No	Sí
IEC 61850	Sí	No	Sí
Syslog	Sí	No	Sí
SMTP	Sí	Sí	Sí
Compatibilidad con IPv6 y detección de DPWS	Sí	No	Sí
SNMP	Sí	Sí	Sí
Tiempo para actualizar el firmware	4 minutos aproximadamente	16 minutos aproximadamente	4 minutos aproximadamente

Características	Interfaz EIFE (LV851001) Interfaz IFE (LV434001)	Servidor IFE (LV434002) (versión de firmware 003.•••.•••)	Servidor IFE (LV434002) (versión de firmware 005.•••.•••)
HTTP	Sí	Sí	Sí
HTTPS	Sí	No	Sí
Servidor FTP	Sí	Sí	Sí
Cliente FTP	Sí	Sí	Sí
FTPS	Sí	No	Sí
NTP	Sí	No	Sí
SNTP	No	Sí	No
RSTP	Sí	No	Sí
Modbus TCP	Sí	Sí	Sí
Modbus Secure	Sí	No	Sí
RBAC	Sí	No	Sí
IEC 61850	Sí	No	Sí
Syslog	Sí	No	Sí
SMTP	Sí	Sí	Sí
Compatibilidad con IPv6 y detección de DPWS	Sí	No	Sí
SNMP	Sí	Sí	Sí
Tiempo para actualizar el firmware	4 minutos aproximadamente	16 minutos aproximadamente	4 minutos aproximadamente