Los piratas informáticos están provocando apagones. Es hora de mejorar nuestra resistencia cibernética

Un apagón invernal de seis horas en la Francia metropolitana podría causar daños a hogares, empresas e instituciones esenciales por más de 1500 millones de euros. Un ataque cibernético bien organizado a una infraestructura crítica de electricidad podría tener este tipo de repercusión económica en un país. ¿Es esta una opción realista? En 2018, los funcionarios del Departamento de Seguridad Nacional de los Estados Unidos declararon públicamente que piratas informáticos se habían infiltrado en las salas de control de varias empresas de electricidad de los Estados Unidos, hasta el punto de tener la capacidad de interrumpir el flujo de electricidad a los clientes.

Como copresidentes del pasado año de los sistemas de resistencia cibernética del Foro Económico Mundial: grupo de trabajo público-privado sobre electricidad, hemos dedicado tiempo a analizar la manera de mitigar el riesgo de ataques cibernéticos que afecten a la infraestructura crítica de electricidad y definir el mejor enfoque para la resistencia cibernética en una comunidad eléctrica cada vez más compleja.

En los últimos 10 años, el sector eléctrico ha padecido ataques cibernéticos importantes: el mapa a continuación ofrece una vista rápida no exhaustiva. En 2010, el virus informático Stuxnet ocasionó un daño considerable a las centrifugadoras nucleares de Irán, que fueron manipuladas para quedar fuera de control. En 2014, un equipo de piratas informáticos canceló alrededor de 650 000 dólares de facturas de electricidad, que se debían pagar a una empresa de energía turca. En 2015, los sistemas de control de tres empresas de energía de Ucrania se vieron afectados, y dejaron a 225 000 clientes en la oscuridad. Nuevamente en 2016, el malware 'Crash Override' provocó un segundo apagón cibernético en Ucrania.

Nuestro sector cuenta con una larga experiencia en la protección de infraestructuras críticas contra fenómenos ambientales y ataques físicos, así como en la construcción de redes resistentes. Ahora necesitamos mejorar estos protocolos, mediante la implementación de nuevas prácticas y estrategias para atender los nuevos riesgos digitales. En especial, debido al número cada vez mayor de nuevas tecnologías y agentes que ingresan al ecosistema que, si se ven comprometidos, podrían tener efectos en cadena en todo el sistema eléctrico.

A pesar de las numerosas iniciativas específicas de la electricidad para compartir información cibernética, como se muestra en la ilustración siguiente, el intercambio de información transnacional en tiempo real y conocimiento colectivo de la situación aún están lejos. Si bien la evolución continua de la tecnología ayudará a incrementar la madurez del análisis de seguridad, el aprendizaje automático, la inteligencia artificial e incluso la computación cuántica, siguen existiendo muchos desafíos.

El sector eléctrico siempre ha estado muy interconectado con dependencias en toda la cadena de suministro, por no mencionar con otras industrias de infraestructura crítica, como telecomunicaciones, puertos y plantas de tratamiento de aguas residuales. Esta interconectividad está aumentando. Como dijo la secretaria de Seguridad Nacional de los Estados Unidos, Kirstjen Nielsen: “La hiperconectividad significa que su riesgo es ahora mi riesgo y que un ataque al ‘eslabón más débil’ puede tener consecuencias que nos afecten a todos”. En el entorno actual, las empresas no solo deben asegurar su “casa” sino también cooperar con toda la cadena de suministro para garantizar que todo el “vecindario” esté protegido.

Dado que nuestro sector es uno de los más regulados, hacer frente a las cuestiones de normativas es un desafío permanente, en especial para las organizaciones multinacionales que deben cumplir con regulaciones ligeramente diferentes en cada mercado.

No obstante, es fundamental reconocer que, para nuestro negocio, “cumplir con las normas” no significa “ser seguro”. La verdadera resistencia cibernética es más una cuestión de estrategia y cultura que de tácticas. Estrategias que lidian con los riesgos cibernéticos de manera tan sistemática como con otros riesgos empresariales y una cultura en la que cada empleado se siente personalmente responsable de la capacidad de recuperación de la empresa.

El resultado de nuestros análisis es el informe recientemente publicado “Cyber Resilience in the Electricity Ecosystem” (Resistencia cibernética en el ecosistema eléctrico), que enumera siete principios para las juntas directivas de empresas del sector eléctrico. Estos principios de alto nivel están diseñados específicamente para respaldar el avance de la resistencia cibernética de todo el ecosistema en nuestro sector.

La electricidad es mucho más que otro sistema técnico, es la esencia de las sociedades. Para preservar el funcionamiento de este importante sistema, es necesario contar con mejoras continuas. Aprovechando el impulso de 2018, nuestras ambiciones están creciendo. En 2019, como copresidentes, nuestro plan es seguir dirigiendo y trabajando con este grupo público-privado. Con la plataforma neutral única del Foro Económico Mundial, apuntamos a desarrollar de manera conjunta métricas para respaldar a los líderes en el seguimiento de sus esfuerzos de resistencia cibernética. Además, tenemos la intención de presentar recomendaciones a los responsables políticos con respecto a un enfoque común a escala mundial para las políticas de resistencia cibernética, y nuestro objetivo es mejorar la colaboración en la cadena de suministro de electricidad mediante un acuerdo sobre las funciones y responsabilidades entre las diferentes partes interesadas en lo que respecta a la resiliencia cibernética. ¿Es esta una opción realista? Venga a vernos en 12 meses.

Los autores han sido copresidentes de los “Sistemas de resistencia cibernética” del Foro Económico Mundial: grupo de trabajo de electricidad desde mayo de 2018. Este grupo de trabajo, conformado por los socios de la industria eléctrica del Foro Económico Mundial y los principales líderes de los sectores público y privado, junto con Boston Consulting Group, publicó recientemente el informe Cyber Resilience in the Electricity Ecosystem: Principles and Guidance for Boards. (Resistencia cibernética en el ecosistema eléctrico: principios y directrices para las juntas)

Rosa Kariger, directora de Seguridad de la Información, Iberdrola

Pierre-Alain Graf, vicepresidente sénior, ABB