La creciente digitalización y conectividad de los sistemas energéticos también tiene una desventaja: se aumenta la vulnerabilidad de estos sistemas a los ciberataques. La clave es un enfoque holístico de la ciberseguridad.
Por Judith Wunschik, Directora de Ciberseguridad de Siemens Energy
Los terroristas tienen acceso a medidores eléctricos inteligentes, provocan un corte de energía en toda el área de Europa y propagan el caos, la ansiedad y el miedo. Esta visión distópica fue una característica del best-seller de 2012, BLACKOUT. Tomorrow will be too late. Si bien los escenarios de apagón descritos por el novelista Marc Elsberg pueden ser ficticios y el alcance del desastre resultante puede parecer exagerado, la historia resalta vívidamente una cosa: nuestras infraestructuras energéticas están cada vez más moldeadas por la conectividad digital y, por lo tanto, también son altamente vulnerables digitalmente.
La ciberseguridad ha abandonado hace mucho tiempo el enfoque punto a punto para vigilar las centrales de generación de energía individuales, los componentes de la red y las líneas eléctricas. Las conexiones entre los sistemas de generación, distribución y recepción de electricidad aumentan todos los días: innumerables componentes conectados en línea se conectan a una red gigantesca. Pero el número de gateways de ataque y la vulnerabilidad a las amenazas cibernéticas están creciendo al mismo ritmo. Se estima que la cantidad de dispositivos en red aumentará a alrededor de 50 millones este año y se multiplicará por diez para 2030. Aproximadamente dos billones y medio de dispositivos y sistemas industriales estarán conectados en red en los próximos dos años.
“La ciberseguridad ha abandonado hace mucho tiempo el enfoque punto a punto para vigilar las plantas de energía individuales, los componentes de la red y las líneas eléctricas”Judith Wunschik, Directora de Ciberseguridad de Siemens Energy
Infraestructuras críticas en el foco
Si las infraestructuras críticas, incluidos los sistemas de suministro de energía, se convierte en el objetivo de un delito cibernético, el daño podría ser mucho mayor que las pérdidas económicas. Pero los riesgos financieros en sí mismos ya son considerables. Por ejemplo, un estudio de la consultora Accenture concluyó que, después del sector bancario y financiero, el sector de la energía y el suministro de energía es el sector con mayor riesgo de ciberataque. El valor acumulado en riesgo para el sector de la energía y el suministro de energía a nivel mundial se estima en 425 mil millones de dólares (359 mil millones de euros) para el período de 2019 a 2023. La Oficina Federal de Seguridad de la Información de Alemania, BSI, publicó recientemente su informe sobre la situación de la seguridad de IT en Alemania para el año 2020 y señala que los operadores de infraestructura crítica han completado 419 informes de ataques "relevantes para la seguridad", en comparación con los 252 del año anterior (2018: 145). Y ese número ni siquiera incluye la gran cantidad de presuntos incidentes menores en los que no es necesario informar, como el phishing generalizado. El número de ataques exitosos que no se informan por razones de reputación se considera alto.
¿Qué muestra este desarrollo? Debido a su fundamental importancia para nuestra infraestructura, los generadores y proveedores de energía son un objetivo atractivo para los delitos cibernéticos. En este contexto, BSI menciona un aumento en la cantidad observada de "escaneo activo en busca de vulnerabilidades en sistemas conectados directamente a Internet". Los atacantes no están limitados por fronteras geográficas nacionales o esferas políticas de influencia. Los objetivos monetarios, en forma de chantaje, como en el caso de los ataques de ransomware o secuestro de datos, pueden ser una de las razones, como se mostró recientemente nuevamente en los ataques a los sistemas de IT en las empresas de servicios públicos administradas en los municipios. Esto significa que las pequeñas y medianas empresas a nivel regional, en particular, deben ser incluidas en las medidas preventivas apropiadas.
Pero un ataque montado digitalmente sería incomparablemente más serio y más destructivo si causara daño físico, y mucho menos un "accidente con máxima credibilidad" en nuestro mundo real. Imagínese comprometiendo plantas de energía, subestaciones de transmisión y redes eléctricas completas para el consumidor final o fábricas e industrias. Esto nos acercaría a un escenario como el de Marc Elsberg. El hecho es que, cuanto mayor es el nivel de digitalización, más puntos de ataque hay en nuestro sistema energético, y más importante es adoptar un enfoque profesional para derrotar a los ciberataques.
Relevancia de la ciberseguridad en el escenario energético conectado
Por otro lado, la ciberseguridad juega un papel crucial en el diseño de un sistema energético resiliente y para garantizar un suministro energético seguro. El ejemplo de Siemens Energy deja en claro cuán importantes pueden ser los productos, soluciones y servicios de ciberseguridad en toda la cadena de valor de la energía para los sistemas: aproximadamente una sexta parte de toda la electricidad generada en el mundo se basa en tecnologías de Siemens Energy. Es por eso que la ciberseguridad también juega un papel crucial en la estrategia de la compañía en todos los procesos críticos para el negocio: es una parte integral de la transformación digital.
Por ejemplo, la "Charter of Trust o Carta de Confianza" iniciada por Siemens AG en 2018, que ahora enumera a 17 empresas globales y líderes del mercado mundial como sus firmantes, requería reglas y estándares vinculantes para generar confianza en la ciberseguridad y hacer que nuestro mundo digital sea más seguro. Los principios básicos del Charter of Trust incluyen la construcción de una línea de defensa que recorre toda la cadena de valor y la protección contra los hackers mediante la aplicación de hardware y software seguros. Traspasando fronteras corporativas y nacionales, e independientemente de los modelos comerciales, la esperanza es que este esfuerzo conduzca al desarrollo de estándares comparables para la aplicación de estrategias efectivas de defensa cibernética y para proteger nuestra salud e infraestructura de manera rápida y confiable.
Una visión holística de la ciberseguridad, por supuesto, debe incluir a todos los involucrados y todos los aspectos. Se deben tener en cuenta las infraestructuras e instalaciones productivas de la empresa y sus colaboradores, así como los clientes, proveedores, socios comerciales y público en general. Las empresas, especialmente las energéticas, deben hoy tomar conciencia de la importancia de la seguridad en todo el ecosistema en el que operan. Cada individuo, proceso y producto debe incorporarse de la manera más perfecta posible en un sistema bien protegido que permita un funcionamiento totalmente cibernético. Después de todo, millones de unidades descentralizadas ya se están comunicando hoy. Al mismo tiempo, los numerosos sistemas inteligentes conectados a través del Internet de la Energía han aumentado su complejidad; nuestras cadenas de valor de la energía y, por tanto, nuestro suministro de energía, son cada vez más vulnerables a los ataques.
“La ciberseguridad juega un papel crucial en el diseño de un sistema de energía resistente y en garantizar un suministro de energía seguro.”
Construyendo y fortaleciendo la preparación digital
Por eso es tan importante no solo educar y capacitar a los colaboradores sobre cuestiones de ciberseguridad, sino ofrecer productos y servicios de consultoría para ayudar a los proveedores, clientes y socios a fortalecer su propia “preparación digital”. Las pruebas de seguridad, por ejemplo, de sistemas de control técnico e instrumentación y espacios de trabajo de oficina, son parte de esto; lo mismo ocurre con la realización de análisis de riesgos y requisitos de seguridad para proveedores, seguimiento de incidentes de seguridad y planificación de medidas a tomar en caso de catástrofe. En el entorno industrial y de automatización, se están aplicando los últimos métodos analíticos para obtener una visión general de la madurez cibernética individual de un sistema, sus fortalezas y debilidades. Las brechas que revelan estos métodos ayudan a identificar riesgos y preparar conceptos de seguridad adecuados que aborden los aspectos de seguridad de la instalación, la red y el sistema. Estos son los principales parámetros para proteger los sistemas industriales y las infraestructuras críticas de los ciberataques internos y externos.
Los principales puntos a recordar son los siguientes: la digitalización no solo ofrece muchas oportunidades, sino que también crea nuevos riesgos para el sector energético. El Internet de la Energía, como el "Internet Industrial de las Cosas" (IIoT), no puede funcionar sin ciberseguridad. En un mundo formado por más y automatización, comprometer un solo dispositivo terminal digital es suficiente para infiltrarse en sistemas completos y causar daños importantes. Entonces, para garantizar un suministro de energía confiable, asequible y sostenible, necesitamos una protección cibernética integral que no se detenga en las fronteras corporativas o nacionales.
Martes, 1 de diciembre de 2020
Dra. Judith Wunschik es Directora de Ciberseguridad en Siemens Energy y es responsable de garantizar la seguridad de las operaciones comerciales, los productos, los datos y los activos de la empresa. Es una conocida oradora y miembro respetado de prestigiosos comités de seguridad internacionales.
Créditos de imagen combinados: Servicios de energía de Siemens
Este artículo se publicó originalmente en el Handelsblatt Journal de Alemania.
Suscríbase a nuestro Newsletter
Suscríbase a nuestro newsletter para seguir las tendencias y tecnologías que dan forma a la transición energética.
