*María Pilar Torres, Head of Cibersecurity everis Americas

La base que la digitalización está aportando a las empresas y al conjunto del sector energético es una gran mejora de sus servicios, pues se modernizan las infraestructuras, mejorando eficiencia y fiabilidad, algo que de un modo u otro repercute de manera satisfactoria y positiva en el consumidor. Sin embargo, no dejamos de observar un aumento de ciberataques en un sector que, no olvidemos, forma parte de nuestra red de infraestructuras críticas (energía, agua, gas, etc.) y como se puede observar en los numerosos estudios que se realizan por organizaciones como European Union Agency for Cybersecurity (ENISA), la ciberseguridad es un aspecto que no se está teniendo en cuenta, cuando en realidad debería ser priorizada y actualizada de una manera continua.

La necesidad de obtener, analizar, tratar y almacenar el dato es un peaje para pagar, que las empresas actualmente ven como ineludible para no perder el tren del futuro de la tecnología a corto y mediano plazo. No perdamos de vista que la gran mayoría de empresas del sector energético poseen un negocio cuyo alcance no se limita sólo a infraestructuras IT, sino que lo hace en gran medida al sector industrial (OT). Esta combinación de infraestructuras IT y OT, y la convergencia entre ambas hace que este tipo de compañías deban afrontar estrategias de ciberseguridad integrales, que cubran las necesidades de dos mundos tan diferentes y que sirvan de escudo contra posibles ataques que afecten a su servicio.

No tenemos más que imaginar si durante un largo periodo de tiempo no hubiera luz, agua, o gas. No sólo se vería afectado el propio consumidor, sino las interdependencias o efectos cascada que ello acarrearía a otros sectores como, por ejemplo, el transporte o el sector nuclear o incluso a otros países que consuman esos recursos.

Ataques al sector

Los ataques a lo largo de la última década han estado azotando al sector energético. En 2014, un total de 250 compañías eléctricas de Estados Unidos y Europa fueron objetivo del grupo Energetic Bear, que había estado operativo e infectando desde el 2011 a numerosos productores y distribuidores de energía. Un año más tarde, un ciberataque atribuido al grupo sandworm provocó un apagón que cortó el suministro a 230.000 residentes de Ucrania tras obtener el control, a través de la infección de los terminales de los operadores, de la red SCADA que gestionaba el flujo de corriente en la red eléctrica. Al año siguiente, Ucrania volvió a ser víctima de otro ciberataque dirigido a su red eléctrica, aunque esta vez el objetivo fue una subestación de transmisión, lo que produjo una interrupción del servicio eléctrico.

Al ser uno de los sectores más importantes, el sector energético es el que está más expuesto a ciberataques de todo tipo, desde malware, ataques DoS y patrones estándar de ataques APTs hasta verse envueltos en ataques patrocinados por países.

¿Estamos preparados para la siguiente década?

El sector energético resulta de vital importancia dentro de la economía y la sociedad, asegurando su resiliencia y capacidad de adaptación y continuidad del servicio ante cualquier tipo de amenaza o incidente de ciberseguridad.

Si bien los sistemas actuales son diseñados, implantados y operados teniendo en cuenta la ciberseguridad como requisito inicial (o al menos deberían), el mayor desafío que se nos plantea en el mundo industrial es el que suscitan los sistemas heredados, cuyas medidas de seguridad no se pensaron para afrontar las ciberamenazas actuales. Uno de los principales problemas que proponen estos sistemas de operación (OT), radica en los ciclos de vida del mismo.

A diferencia de los sistemas IT, los sistemas OT poseen un ciclo de vida que no es extraño supere los 25 años. Esto es debido a que son sistemas pensados para perdurar en el tiempo, debido a su complejidad y a la necesidad de ofrecer la máxima disponibilidad del proceso a controlar. Por lo tanto, se plantea la necesidad de “securizar” sistemas ya operativos y “añadir” seguridad a sistemas que fueron diseñados e instalados sin tener en cuenta las medidas de control para amenazas actuales y para los que una sustitución no sería una opción viable, por su complejidad y por la inversión necesaria.

Habida cuenta de que una gran puerta de entrada de amenazas para los SCI viene dada por su apertura y convergencia con el mundo IT, no hay que olvidar que el corazón del sistema automatizado es el controlador y la instrumentación que le provee de señales. Tomar medidas de protección dirigidas al núcleo del sistema debe ser obligatorio (bastionado de equipos, control de accesos, control de la configuración y del cambio, autentificación, etc.). Combinar este tipo de herramientas y medidas con soluciones de gestión del cambio y configuración en componentes críticos dentro de los entornos industriales, confiere a la estrategia de una gran visibilidad sobre los activos del sistema para que, ante el caso de detección de anomalías, sea posible tomar acciones oportunas para no perder el control del proceso.