Los ataques con drones a dos grandes refinerías de Aramco en Arabia Saudí en septiembre pasado reavivan la inquietud sobre las consecuencias de conectar las infraestructuras críticas del sector energético al mundo digital. Todos los expertos coinciden en que los riesgos para la tecnología operativa del sector energético y el Internet industrial de las Cosas (IIoT) están generalizados y en aumento en una magnitud que debería ser un motivo de gran preocupación.
Es lo que afirma el último informe de Kaspersky ICS CERT, una de las compañías mundiales dedicada a la seguridad informática con presencia en aproximadamente 200 países del mundo. Según su último informe sus productos se activaron en el 41,6% de las computadoras ICS (sistemas de control industrial) en el sector energético a nivel mundial en solo los primeros seis meses de 2019.
En su opinión, estos ataques deberían estar entre las mayores preocupaciones de los profesionales de seguridad, no solo por el tiempo de inactividad de la producción y las consecuentes pérdidas financieras, sino que si ese incidente ocurre en un sector como la energía, entonces las implicaciones tienen un alcance mucho más amplio y crítico.
"A diferencia de la ciberseguridad que se centra en la protección de la confidencialidad, los datos y la privacidad; en el sector energético nos dedicamos a proteger a las personas, los procesos, las operaciones y los activos [a menudo estratégicos]. La amenaza es real, creciente y muy alta", según ha declarado Zeff Zindel, vicepresidente y gerente general de Honeywell Connected Enterprise Cybersecurity a la revista Forbes, "de hecho, estos últimos podrían causar una pérdida de vidas, impactar el medio ambiente, provocar una pérdida de producción e interrumpir las operaciones, no solo daños a la reputación. Cada vez más casos entran al dominio público; por ejemplo, incidentes ampliamente publicitados como ataques de ransomware".
"La naturaleza misma del sector energético, los objetivos de alto valor y los sensores y dispositivos distribuidos en múltiples sitios, brindan una gran superficie para el ataque", dice Raj Kapoor, ingeniero de aplicaciones de campo en Telesoft Technologies en la web de American Public Power Association.
Por ejemplo, a principios de septiembre, la investigación del Centro de Inteligencia de Amenazas Mimecast confirmó un ataque determinado contra una compañía energética en EEUU que usaba malware Hawkeye y Loki, ambos no específicos de las TIC. Hace un año, en julio de 2018, la Inteligencia Nacional de EEUU también advirtió de ataques cibernéticos diarios a la infraestructura crítica del país que podrían ser paralizantes.
En la primavera pasada, la North American Electric Reliability Corporation alertó que los piratas informáticos que fueron responsable de un ataque que puso en peligro la seguridad de una planta petroquímica saudita, también habían comenzado a atacar el sector eléctrico estadounidense.
El enfoque en ciberseguridad ha cambiado en los últimos cinco años más o menos, dice Barak Perelman, CEO y cofundador de Indegy, una compañía que se especializa en proteger la infraestructura crítica al proporcionar ciberseguridad para sistemas de control industrial. Hace solo un par de años, la red eléctrica típica no tenía conexión a Internet. "Si una red eléctrica no está conectada a Internet, es bastante difícil dirigir un ataque cibernético", señaló Perelman, "una vez que una red está conectada al mundo exterior, el mundo exterior puede hacer agujeros en sus defensas".
Este aumento de los ciberataques en los últimos años, tiene una relación directa con la proliferación de tecnologías digitales, desde la Infraestructura de medición avanzada hasta el Internet de las cosas (IoT), que están diseñadas para hacer que las energéticas sean más eficientes y respondan mejor a las necesidades de los clientes. Los clientes también obtienen ganancias al poder acceder a sus cuentas, monitorear el uso eléctrico y acceder a dispositivos de forma remota con sus dispositivos móviles.
Si bien la combinación de esas funciones proporciona características beneficiosas como el mantenimiento predictivo, la eficiencia mejorada y el tiempo de inactividad reducido, también hace que las redes eléctricas sean más vulnerables al expandir la superficie de ataque. "La digitalización de la red está cambiando el panorama del sector eléctrico", añadió Perelman, lo que plantea un gran riesgo de seguridad porque normalmente los Controles de Supervisión y la Adquisición de Datos (SCADA) y otros sistemas OT no fueron diseñados para conectarse a Internet y carecen de seguridad protocolos que ahora están integrados.
Desde una perspectiva de ciberseguridad, la red eléctrica presenta una variedad de desafíos. Además del hecho de que muchos de los activos en la red, desde generadores de turbinas hasta transformadores, son anteriores a las preocupaciones de seguridad que se han vuelto comunes en la era de Internet, esos activos provienen de una variedad de proveedores que cada uno agrupa en sus propios sistemas de control. Algunos activos antiguos del sector energético heredado ni siquiera tienen el nivel básico de seguridad que se encuentra en un ordenador portátil o un teléfono móvil, como la verificación de un nombre de usuario y contraseña, por ejemplo.
Y, a diferencia del sector financiero, que a menudo se basa en software común, los activos de infraestructura crítica están controlados por tecnología especialmente diseñada y dedicada. El resultado es que una vez que un hacker pasa la puerta principal, tiene muchas más posibilidades de obtener el control de un sistema completo.
Y donde hay alarma, hay oportunidades para el sector de la industria de la seguridad. Según algunas estimaciones publicadas en la revista Forbes, se ha gastado más de 36.000 millones de euros en ciberseguridad en 2018, una cifra que podría aumentar en más del 12%, hasta los más de 41.000 millones a finales de 2019.
Sin embargo, la cifra real podría ser aún mayor, porque varias compañías de petróleo y gas incluyen el gasto en ciberseguridad en sus costes generales de informática. Algunos incluso lo incluyen como gastos generales de administración.
Deja tu comentario
Tu dirección de correo electrónico no será publicada. Todos los campos son obligatorios