En los últimos diez años, la creciente digitalización de las interacciones de los clientes con las empresas ha proporcionado a éstos más información, lo que les permite ser más receptivos a las fluctuaciones de la demanda. Está comenzando a surgir una combinación de fuerzas que está desplazando fundamentalmente la cadena de suministro de una lógica lineal a una lógica más interconectada y sistémica. Y como consecuencia, se abre la veda a los ciberataques.
Hay que reinventar los procedimientos para adaptarse a las nuevas circunstancias, según señala el informe "Supply Chain in the Software Era" de **Scowcroft Center for Strategy and Security. **Si bien los problemas de las cadenas de suministro cibernético del sector energético se han reconocido y estudiado durante varios años, aún persisten. Esta investigación desgrana el sector energético para entender los riesgos a los que se expone, como la contaminación no intencionada, y define recomendaciones concretas y exploratorias para equipar a los responsables políticos y al sector privado.
Mientras que algunas de las opciones pueden ser poco atractivas para algunos, otras son comparativamente fáciles, si existe la voluntad. La opción mucho menos atractiva es continuar por el camino actual, proporcionando las vías para que los ciberataques socaven las operaciones de energía, lo que tendría un efecto mucho más profundo en el sector, la economía global y la seguridad nacional e internacional.
La mayoría de los sistemas son "inseguros por diseño", explica el informe. Los ingenieros de sistemas de control industrial (ICS) tienden a diseñar sistemas de manera tal que fallen de manera segura en contextos predecibles. Por ejemplo, las contraseñas codificadas aseguran que los ingenieros puedan acceder a los sistemas en situaciones de emergencia sin tener en cuenta las credenciales únicas y complejas. Pero al mismo tiempo, los 'hackers' también pueden acceder y usar estos sistemas si están conectados a Internet. Este diseño socava la seguridad, lo que puede afectar la seguridad. Estos patrones de diseño se han manifestado en numerosas ocasiones en todo el sector energético.
El sector de la energía debe conciliar la ciberseguridad con la fiabilidad y la seguridad. Cuando las consecuencias del fracaso impactan en una infraestructura del sector de la energía, es cuando todos se echan las manos a la cabeza pidiendo un nivel de cuidado más alto para administrar el riesgo en la cadena de suministro. Es necesario un marco que brinde el contexto adecuado y aclare el alcance de la seguridad.
El informe analiza el riesgo de todo el sector energético, desde el petróleo y el gas hasta la electricidad, las energías renovables y la nuclear. Si bien ya existe una gran cantidad de trabajo, los aspectos clave del riesgo de la cadena de suministro cibernético en el sector de la energía siguen sin ser analizados. Después de una extensa revisión de la literatura existente, el enfoque de la investigación se redujo a un aspecto significativo del sector de la energía que se pasa por alto: fallos en los componentes de software incorporados involuntariamente en los productos en el diseño o la implementación. Estos defectos se denominan "contaminación involuntaria", a diferencia de los productos de imitación o calidad menor que sustituyen a la falsificación, y de "corrupción maliciosa", que es una subversión intencional de la cadena de suministro.
Ciberataques en Ucrania y en Arabia Saudí
Para ampliar la investigación entre 2015 y 2017, dos ciberataques de alto perfil en Ucrania y Arabia Saudita aprovecharon las vulnerabilidades de la cadena de suministro de ambos países para impactar en las operaciones de dos organizaciones del sector energético. En diciembre de 2015, cientos de miles de hogares ucranianos quedaron temporalmente sumidos en la oscuridad en el primer ataque cibernético confirmado contra una red eléctrica. En agosto de 2017, un ciberataque detuvo las operaciones en Saudi Aramco. En ambos casos, las mejoras en la seguridad de los componentes habrían detenido los ataques.
Cada año, se descubren más de 10.000 vulnerabilidades de seguridad en componentes comunes de fábrica (COTS). Las debilidades y vulnerabilidades en el diseño e implementación del software se acumulan a lo largo del recorrido a través de la cadena de suministro, ya sea intencional o accidental. Esta confluencia de factores ha llevado a la ciberseguridad a convertirse en una de las preocupaciones más apremiantes del sector de la energía.
En particular, los procesos dependientes de la nube ceden las decisiones de seguridad a terceros que rara vez transmiten detalles sobre los procesos de gestión de riesgos y los umbrales que son suficientes para que las empresas del sector energético comprendan completamente las implicaciones. La necesidad de conectividad permanente y en tiempo real aumenta el número de socios a través de los cuales puede fluir un incidente cibernético. Además, las prácticas de datos en la nube pueden causar incertidumbre y retraso en la comprensión de las implicaciones operacionales de una violación de datos en la nube. Finalmente, como la toma de decisiones es automática y está muy aumentada a través del aprendizaje automático o la inteligencia artificial, las protecciones tradicionales de los procesos humanos en el ciclo pueden estar ausentes.
Por eso, propone aumentar los códigos de seguridad y encintar al máximo la información, y por eso, las cadenas de bloques es una de las soluciones más efectivas.
Impactos a la seguridad, seguridad y confiabilidad
En el sector de la energía, la ciberseguridad plantea riesgos no solo para los activos financieros o de datos, sino también para el daño físico o la destrucción de equipos que amenazan la vida de los ataques exitosos contra los sistemas de tecnología operativa (AT). Los impactos en los sistemas del sector de energía podrían causar interrupciones prolongadas en el suministro de energía (petróleo, gas y electricidad) que tienen el potencial de causar estragos en otros sectores y afectar a los ciudadanos en sus hogares también.
Hay soluciones, no solo un software más seguro, pero es una de las mejores opciones para evitar intrusos indeseables en las empresas energéticas.
Deja tu comentario
Tu dirección de correo electrónico no será publicada. Todos los campos son obligatorios