Blindaje cibernetico para las renovables, una prioridad
Debido a la progresiva cifra de ataques cada vez más sofisticados en el sector de las energías renovables, resulta indispensable que las compañías se anticipen y actúen para proteger sus datos y sus activos.
Si se habla de cifras globales, la energía es uno de los tres sectores principales que son blanco de los ataques en Estados Unidos, con cifras de 59 incidentes en años recientes, lo que equivale al 20? un total de 290 incidentes informados ese año, según lo da a conocer Deloitte en el reporte titulado “Gestión del ciber-riesgo en el sector de energía eléctrica”.
Aunque esta problemática también atañe a naciones europeas, asiáticas y a Australia donde, como apunta el documento, se registraron la mayor cantidad de incidentes o casi-incidentes denunciados en relación con infraestructuras críticas, las compañías de energía eléctrica informan un continuo bombardeo de intentos de intrusión. Aún cuando han fallado, es notable que la actividad va en aumento.
Además, como señala el Consejo Mexicano de Asuntos Internacionales (Comexi), la infraestructura pública y los sistemas del gobierno son vulnerables a sufrir ataques, ya sea en las redes que proveen servicios a los ciudadanos como electricidad, agua, manejo de desechos, telecomunicaciones, así como en servicios de salud, educación y asistencia social que afectarían a millones de personas.
Es así que la gestión eficaz de los riesgos cibernéticos ya no es opcional y ofrecer ciber resiliencia es una parte central del gobierno corporativo efectivo para las compañías de energía y de energía renovable. Los directivos tienen que comprender la trascendencia de contar con una estrategia de seguridad y las consecuencias que podría ocasionar una falla.
Como expone el “Reporte de Revisión de Mercado de Energía y Energía Renovables 2019”, elaborado por la firma Willis Towers Watson, los incidentes han sido impredecibles y rápidos, al mismo tiempo que han crecido en sofisticación.
“El daño físico, la interrupción del negocio (daños y no daños relacionados) y las violaciones de datos resultantes de los ciberataques son una realidad. No importa si está involucrado en la generación, distribución o venta minorista, se debe estar al tanto de su exposición y tener un plan para administrarla”, subraya el estudio.
Y aunque los activos de energía críticos cuentan con un control que es independiente de los sistemas empresariales, a medida que crece la red de Internet industrial de las cosas (TIIoT), se está viendo una mayor interconexión en todos los niveles y entre organizaciones, que se está habilitando aún más a través del crecimiento de sensores de control de supervisión y adquisición de datos/sistemas de control industrial (SCADA/ICS) y dispositivos de tecnología operativa que tienen conexiones a Internet o están vinculados a redes empresariales.
Por ejemplo, en 2015, un ataque cibernético a las centrales eléctricas, conexiones a la red y sistemas SCADA industriales provocó apagones a gran escala durante más de 6 horas en Ucrania, provocando interrupciones monumentales y pérdidas financieras.
Es así que, como señala el reporte de Willis Towers Watson, los desarrolladores de proyectos de energía renovable se enfrentan a este riesgo en su cadena de suministro, con sus proveedores y con sus clientes, por ello es necesario asegurarse de que estos funcionen con una estrategia cibernética de alta calidad. De lo contrario, un incidente podría ocasionar un tiempo de inactividad inesperado del activo y una pérdida financiera posterior.
Sin embargo, el desafío por vencer es saber cómo asignar mejor los recursos a una estrategia de resiliencia cibernética. En términos generales, apunta el estudio citado, debe haber técnicos para colaborar y ofrecer soluciones, pero ninguna compañía está equipada para hacer todo esto. Una estrategia cibernética sólida necesita un enfoque integrado y técnico.
Es así que la compañía establece estos cinco pasos para abordar los riesgos cibernéticos:
- Identificar la exposición, vulnerabilidad y escenarios de riesgo
- Cuantificar la Pérdida Máxima Probable (PML) de las principales consecuencias del escenario de riesgo
- Recibir asesoría para saber cómo tratar un riesgo organizativo y técnico
- Identificar las consecuencias asegurables y diseño de cobertura de seguro óptima
- Recomendación sobre las mejores prácticas para tomar conciencia del riesgo que implica el personal
Finalmente, si una compañía de energía renovable confía en sus pólizas de seguro actuales para reaccionar en caso de un incidente cibernético importante, será fundamental antes verifique si tiene una exclusión cibernética y qué significaría para su negocio en caso de un ciberataque, tanto en el aspecto de datos y privacidad, como en lo que respecta a los elementos de interrupción de negocios y daños a la propiedad física.
