Digitalización y ciberriesgos del sector energético

Con la revolución digital y las nuevas herramientas tecnológicas, el sector energético m undial busca optimizar sus operaciones y servicios frente a un mundo que demanda cada vez más energía para la consecución de sus actividades básicas e infraestructuras, con el ánimo de mejorar la eficiencia en el suministro, contribuyendo así al crecimiento económico.

Este proceso de digitalización ha traído consigo nuevos riesgos, como la ciberseguridad, la privacidad de la información y su regulación inteligente, los cuales deberán ser analizados y gestionados como parte importante también de esta transición energética.

En cuanto a la ciberseguridad, siendo el factor que más destaca, se puede definir como: “La capa de protección, para los activos, información e infraestructura tecnológica de una organización; a partir de ella se planifica a nivel estratégico, táctico y operacional las medidas necesarias para evitar todo tipo de amenazas, las cuales ponen en riesgo la información transportada y almacenada en cualquier activo que sea parte de la red o nube propiamente dicho”.

En la medida en que el sector de energía logre incorporar más tecnología digital a su funcionamiento, sin duda estará mucho más expuesto a los incidentes causados por el error humano o ataques informáticos realizado por cibercriminales, quienes buscan causar un impacto o daño sobre la infraestructura crítica de un país y en algunos casos la exigencia de dinero a cambio.

Para Antonio López Pérez, CEO de American Intelligence Group, con más de 20 años de experiencia en materia de seguridad y defensa, el sector eléctrico puede tener más riesgos frente al de hidrocarburos.

“Aunque sea un sector de alto impacto y de mucha necesidad en la cadena de infraestructuras críticas de un país, el sector de hidrocarburos (gas y petróleo) puede manejarse un poco más aislado en un esquema de digitalización o incorporación al ciberespacio”, dijo.

Esto “convierte al sector eléctrico en un punto más vulnerable por la interconexión que debe tener con otros sectores para brindar el servicio”, afirmó.

Bajo esta premisa, varios países han clasificado la infraestructura eléctrica como vital para el funcionamiento de la sociedad, por su “función facilitadora”.

Dando como ejemplo que, si ocurriese un corte de energía en una amplia región durante un período prolongado, los sistemas altamente dependientes, como las redes financieras, comunicaciones, transporte, agua y desagüe, se verían gravemente afectados y dejarían a la población inmóvil, incomunicada y en la oscuridad.

Entre algunos de los incidentes más publicitados está el ataque ocurrido en 2016 a la red eléctrica de Ucrania, mediante un software malicioso llamado 'Crash Override' que acabó con una subestación encargada de establecer los niveles de transmisión, causando un apagón de una hora a la ciudad de Kiev.

Mientras que en 2017, el virus 'Tritón' penetró los sistemas de seguridad de una planta petroquímica en Arabia Saudita, diseñado no solo para destruir datos o apagar la planta, sino para sabotear las operaciones y causar una explosión.

En 2018 ocurre otro ataque realizado a un proveedor de servicios en la nube, en donde compañías de petróleo, gas y electricidad almacenaban su información, exigiendo su autor, dinero a cambio para desencriptar los archivos, lo cual llevó a la interrupción de sus comunicaciones electrónicas, incidiendo además en la calculación y emisión de facturas, pero que no interrumpió el servicio.

Y finalmente, en diciembre de este año, el Departamento de Energía y la Administración Nacional de Seguridad Nuclear, que se ocupa del arsenal de armas nucleares de Estados Unidos, denunció que piratas informáticos accedieron a sus redes como parte de una extensa operación de espionaje que ha afectado al menos media docena de agencias federales, el cual se mantiene en investigación para determinar el alcance de los daños, según medios internacionales.

Durante los últimos años, se ha registrado un gran aumento en ciberataques realizados a la red eléctrica de América del Norte y Europa, donde muchas de estas intrusiones han resultado fallidas.

Es interesante que durante los primeros seis meses de 2019, Kaspersky ICS CERT, una de las compañías mundiales dedicada a la seguridad informática con presencia en aproximadamente 200 países del mundo, comunicó a través de su informe anual que sus productos se activaron en un 41,6% de las computadoras ICS (sistemas de control industrial) en el sector energético a nivel mundial.

Pese a esto, la ciberseguridad no figura entre las preocupaciones más urgentes del sector, de acuerdo con los resultados emitidos en la última encuesta del World Energy Council, aplicada a unos 2,300 directivos de 50 empresas y seis continentes a finales del año pasado.

En virtud de esta necesidad, la Agencia Internacional de la Energía (AIE) ha elaborado un menú de propuestas dirigidas a los organismos reguladores y políticos para favorecer el avance hacia la senda de la digitalización, siendo inclusive, un punto importante dentro de la agenda de transición energética 2020-2030 de nuestro país.

Sin embargo, para López Pérez se debe tomar en cuenta “fortificar el proceso, mientras se va acercando más a la digitalización total del sector de energía, especialmente para Latinoamérica, incluyendo Panamá, incorporando la ciberseguridad como parte de este y no como un esquema ajeno al mismo”.

Así se avanzaría “permitiendo la adecuación y los equipos de respuesta ante incidentes alertas que puedan suscitarse con intención o sin ella, dando lugar a lo que se conoce como defensa en capas, para proteger esta infraestructura crítica”, resaltó.

De acuerdo con el Banco de Desarrollo de América Latina (CAF), “es recomendable que cada país cuente con una estrategia sectorial y a la medida, la cual esté en sintonía con la seguridad operativa, promoviendo la modernización de la infraestructura energética”.

Además, agrega CAF, “existe una serie de aspectos clave para la agenda pública. Por ejemplo, establecer acciones a corto y mediano plazo dirigidas a generar pautas en la política pública, normativa, procedimientos y tecnologías que deban alcanzarse o desarrollarse en la región para reducir las brechas en materia de seguridad cibernética de la infraestructura eléctrica, contemplando aspectos como la interoperabilidad de sistemas de generación distribuida, Smart Grids, generación renovable no convencional, internet de las cosas (IoT), automatización y digitalización de los procesos en la demanda energética”.

Por otra parte, esta institución de desarrollo plantea que la modernización tecnológica de los sistemas en los sectores de servicios públicos, “principalmente sobre la infraestructura eléctrica, la automatización de procesos, la gestión telecomandada o remota sobre protocolos de internet (IP) genera una serie de desafíos de seguridad en la operación de la infraestructura, la cual debe ser cubierta mediante buenas prácticas, guiadas bajo la normativa y procedimientos vanguardistas en la materia”.

La autora es abogada y presidenta de la Comisión de Derecho Energético y Sustentabilidad de la Asociación Nacional de Juristas de Panamá.