- Bogota D.C - Calle 67 N° 7-94 Oficina 604
- 3138834959 - 601 7953297 Ext. 120
Menú
Un jueves por la tarde, repentinamente nos alertaron sobre una posible vulnerabilidad de seguridad relacionada con el software de registro log4j. Inmediatamente tuvimos que revisar todo nuestro software, nuestras instalaciones, todos nuestros archivos de respaldo, todo. Este incidente, recordado por Tor Heiberg, director ejecutivo de Tecnologías de Información (TI) de la empresa noruega de energía renovable Skagerak Energi, ilustra el costo y el desafío diarios de la seguridad en el contexto de cambio energético de la industria en la actualidad.
“Aunque no fuimos atacados, tuvimos que dejarlo todo y cerrar la vulnerabilidad. Fueron necesarios tres días completos, incluidos sábado y domingo, con todas las manos a la obra, incluidos todos nuestros socios y proveedores. Esas horas rápidamente se volvieron extremadamente caras”. Situaciones como éstas son cada vez más comunes en el sector energético y afectan a empresas de todos los tamaños y en todas las geografías. Ayudan a explicar por qué la seguridad cibernética ahora se ha convertido en un elemento habitual en la agenda de la sala de juntas para seis de cada 10 profesionales de la energía, según una investigación de la prestigiosa firma consultora DNV.
El trabajo de campo fue realizado entre febrero y marzo de 2023 y cubrió a más de 600 ejecutivos del sector energético de todas partes del mundo.
Las empresas de energía están actualizando y conectando su tecnología e infraestructura heredadas: para mejorar la seguridad, aumentar la eficiencia y descarbonizar la industria a través de una mayor electrificación, basada en una participación creciente de generación renovable.
Para dar un ejemplo de la escala de esta actividad, DNV prevé que la inversión se duplicará desde unos $us 270.000 millones en la actualidad a unos $us 500.000 millones hacia 2030. La inversión anual alcanzará el umbral del billón de dólares para 2050. Un billón de dólares compra una gran cantidad de infraestructura conectada digitalmente, y eso es solo en la red. No obstante, es una inversión que se necesita si la industria quiere alcanzar sus ambiciones netas cero.
Lea también: Google invierte US$20 millones para fortalecer la ciberseguridad en universidades estadounidenses
“La transición energética se basa en redes de infraestructura inteligente, pero lo inteligente solo es bueno siempre que no sea pirateado”, afirma Swantje Westpfahl, directora del Instituto de Seguridad y Protección GmbH en Alemania
“La energía limpia ha creado una superficie de ataque mucho más grande porque tenemos nueva generación de energía a cargo de pequeñas computadoras (parques solares y parques eólicos), así como medidores inteligentes que expanden la red a casas y automóviles. Hay más riesgo de que todo el sistema se vea afectado si hay un ataque exitoso”, explica.
La guerra en Ucrania conmocionó a un sector energético cuyos recuerdos de los ataques cibernéticos de antes de la guerra contra el suministro de energía de Ucrania siguen siendo vívidos. Muchos ejecutivos en generación y distribución de energía se dieron cuenta en el momento de la guerra de que estaban confiando en el mismo tipo de sistemas SCADA que las plantas de Kiev estaban usando cuando los apagones cibernéticos tuvieron lugar en mediados de la década de 2010.
El 78% de los profesionales de la energía consultados por DNV señalaron que la incertidumbre geopolítica los ha hecho más conscientes de las vulnerabilidades potenciales en su Tecnología Operativa (TO): los sistemas que administran, monitorean, automatizan y controlan las operaciones industriales. Además, dos tercios dicen que su enfoque en la cibernética se ha intensificado como resultado directo de las tensiones.
El ciberataque ruso al operador de internet satelital ViaSat en la primavera de 2022, por ejemplo, tuvo el efecto de desactivar miles de turbinas eólicas en Alemania cuando sus sistemas de monitoreo dependientes del satélite quedaron fuera de línea.
La preocupación no se restringe únicamente a Europa, en Asia Pacífico las cosa también se complican entre China y Taiwán, las dos coreas, Japón y sus propios desafíos.
El perfil de los atacantes cibernéticos viene cambiando rápidamente después de la guerra en Ucrania. Existe toda una fauna de potenciales adversarios. Hacktivistas motivados políticamente o por estados hostiles parecen estar concentrando la atención, sumándose a las ya conocidas bandas criminales e infiltrados maliciosos.
Por supuesto, sería un error minimizar la amenaza de estos otros jugadores, sobre todo porque puede haber una superposición cada vez mayor entre estos grupos, como explica Tor Heiberg de la noruega enfocada en renovables Skagerak Energi.
“Todavía hay motivos criminales detrás de muchos ataques cibernéticos”, dice. “Mi impresión es que se están fusionando porque la guerra cibernética entre Rusia y Ucrania probablemente ha llevado al desarrollo de nuevas herramientas, y éstas se venden en la web oscura donde pueden ser utilizadas por delincuentes económicos, y viceversa”.
La innovación por parte de los ciberdelincuentes es de hecho un desafío persistente, con nuevos métodos compartidos y adoptados por diferentes adversarios. El malware sin archivos y los ataques de living-off-the-land, en los que los ciberdelincuentes explotan herramientas nativas dentro del sistema de una empresa para llevar a cabo un ataque, es un ejemplo de ello. “Vemos un aumento de ataques sin malware en los que usan una cuenta legítima y la usan de forma indebida en lugar de crear malware”, dice Lars Idland de Equinor.
La seguridad por diseño debe ser la ambición de todas las empresas: la idea de que las protecciones se integran en los activos y las redes a medida que se desarrollan, en lugar de actualizarlos. Si la industria está incorporando la seguridad cibernética en el ADN de su infraestructura, sería un gran paso hacia el tratamiento rutinario de la disciplina con la misma seriedad que la salud y la seguridad física.
Claramente se han hecho algunos progresos en este sentido. Más de la mitad de los encuestados (54%) dice, por ejemplo, que considera la seguridad en cada etapa del ciclo de vida de sus activos e infraestructura. Al mismo tiempo, alrededor de siete de cada 10 (69%) dicen que la cibernética es una consideración durante las primeras fases de los nuevos proyectos de infraestructura.
Parte del problema es la incapacidad de los profesionales de la seguridad cibernética para articular e informar con precisión los desafíos de seguridad. Adam S. Lee en Dominion explica que la comprensión compartida, basada en una comunicación clara, fue uno de sus principales objetivos cuando comenzó a trabajar en su cargo actual. “Una de las primeras cosas que hice fue cultivar una relación de gran colaboración con nuestro jefe de Operaciones de Información, recuerda. “Si tenemos una coalición entre su equipo y mi equipo, estamos combinando la seguridad que hemos diseñado con la forma en que necesitamos construir controles, administrar el riesgo y cómo nos comunicamos con la junta, entregando las métricas que importan”.
Más allá de los muros de la organización, los profesionales de la energía son cada vez más conscientes de los riesgos cibernéticos que plantean sus proveedores. Los ejemplos recientes incluyen violaciones graves en la infraestructura energética crítica en los EEUU, como los realizados por el grupo 3CX a principios de este año. La gestión exitosa de este riesgo representa otra prueba de la madurez de la seguridad cibernética en relación con la salud y la seguridad.
Los encuestados del sector del petróleo y el gas son más propensos que las empresas eléctricas a sentir que tienen una buena supervisión de la cadena de suministro y también a invertir más en seguridad cibernética. Sin embargo, existe un alto porcentaje de ejecutivos del sector petrolero (42%) que afirma haberse visto perjudicado por una falla en la ciberseguridad, en comparación con el 35% del promedio general.
A pesar de la conciencia a nivel de directorio sobre el riesgo cibernético, a los profesionales de la energía les preocupa que la inversión no fluya a los niveles necesarios para abordar el problema. Menos de la mitad de los profesionales consultados (42%) piensa que el nivel actual de inversión de su organización es suficiente para garantizar la resiliencia de sus activos operativos e infraestructura.
“Para otras empresas, la preocupación es que, si bien las empresas de energía aceptan que el riesgo de seguridad cibernética va en aumento, no creen que un ataque sea algo que les sucederá específicamente a ellas y no dedican suficiente presupuesto”, señala Jalal Bouhdada de DNV.
Las organizaciones también están profundamente preocupadas por su capacidad para reclutar y retener el talento que necesitan para protegerse de las amenazas a la seguridad cibernética.
Fredrik Torp de Vattenfall dice que parte del problema en la industria es que los módulos estándar de aprendizaje electrónico pueden ser demasiado largos, poco atractivos y «dolorosos», lo que los vuelve ineficaces. “Debes ser creativo sobre las formas de capacitar a la fuerza laboral”, explica.
La regulación es el principal impulsor de la inversión en seguridad cibernética en la industria energética actual. A medida que los países marchan a renovar sus regulaciones, podemos esperar que las funciones de seguridad cibernética en el sector energético reciban fondos adicionales. En la UE, por ejemplo, las organizaciones que brindan servicios esenciales, incluidas muchas en el sector energético, se enfrentan a una regulación más estricta en forma de la Directiva revisada sobre seguridad de redes y sistemas de información (NIS2). Esta directiva, acordada por la UE en enero de 2023, debe transponerse a las leyes nacionales de los estados miembros a fines de 2024.
FUENTE: Santa Cruz. »Cambio energético y ciberseguridad: dos caras de la misma moneda» La-razón.com. 23/06/2023. (https://www.la-razon.com/energias-negocios/2023/06/23/cambio-energetico-y-ciberseguridad-dos-caras-de-la-misma-moneda/).
