El tema de la ciberseguridad está tan candente en el país que la Superintendencia de Electricidad y Combustibles (SEC) encargó al Coordinador Eléctrico Nacional un informe sobre el estado de la misma en las empresas coordinadas del sistema eléctrico que debería estar listo a fines de junio. Esto porque el Gobierno definió al sector eléctrico como una de las áreas sensibles a los ciberataques. Según Patricio Valenzuela, Subgerente de Tecnologías e Innovación del Coordinador Eléctrico Nacional, “lo que sí es de común consenso y entendimiento, es que las nuevas tecnologías traen consigo una serie de desafíos y riesgos de ciberseguridad que es necesario abordar cuando se piensa en su implementación. En particular, la industria eléctrica ha experimentado una importante integración y adopción de nuevas tecnologías, tanto a nivel de generación como a nivel de sistemas de información para la gestión de la operación. Esto implica enfrentar y hacerse cargo de los desafíos de ciberseguridad. Los eventos de ciberataques registrados en el último tiempo en la banca y a nivel internacional en sistemas eléctricos -el primero fue el 23 de diciembre de 2015 en Ucrania cuando 80.000 personas se quedaron sin suministro eléctrico y sin calefacción durante 6 horas-  impulsan la necesidad urgente de implementar estándares y establecer protocolos que permitan mitigar estos riesgos y actuar en forma eficiente y efectiva ante incidentes de esta naturaleza en los distintos sectores”.

Sin duda, “la Autoridad y el Coordinador Eléctrico Nacional han entendido esto y han estado trabajando e impulsando diversas iniciativas en la materia. Asimismo, CIGRE no ha estado ajeno y desde el año 2018 cuenta con un grupo de trabajo que ha estado evaluando recomendaciones de buenas prácticas y la forma de adoptar estándares, lo que será difundo en el Tutorial organizado por el Comité Chileno este próximo 8 de julio” comentó Valenzuela. Participa e inscríbete aquí.

Por Carlos Landeros C., Jefe Departamento Informática del Ministerio del Interior y Seguridad Pública

La responsabilidad de manejar los riesgos en ciberseguridad empieza por los líderes de la industria. A diferencia de otras transformaciones que enfrenta la sociedad, el cambio cultural que demanda la ciberseguridad no parte por los usuarios de los servicios, sino por quienes las conducen.

El manejo de recursos y la toma de decisiones entre unos y otros, les asigna una mayor cuota de responsabilidad a estos últimos. Y si esta brecha puede ser considerada significativa, la que existe entre ambos y los expertos en las Tecnologías de la Información y Comunicación solo puede ser calificada como preocupante.

Los líderes industriales, así como lo está haciendo el gobierno, están obligados a cuestionar el rol que ejercen frente a la ciberseguridad. El Presidente Sebastián Piñera, hizo un ejercicio retórico al preguntarse si estamos preparados frente a los avances de las tecnologías en esta cuarta revolución. Lo mismo cabe para cada uno de los líderes en el ámbito de la ciberseguridad, especialmente aquellos que, como en el sector eléctrico, están al frente de una infraestructura crítica para el país. Las preguntas son simples: ¿cuál es el rol que jugamos en este ámbito? y si ¿estamos realmente preparados?

La principal diferencia para contar con una cibercapacidad robusta y resiliente, en cualquier ámbito, se supera con inversión y saber en qué invertir. Adquirir herramientas es un paso importante pero disponer de la capacidad humana para administrar esas tecnologías es esencial, así como crear conciencia en los usuarios.

La ciberseguridad, al final del día, es un desafío de las organizaciones. Todos deben entender y manejar los riesgos en ciberseguridad con la misma prudencia con que se manejan los riesgos físicos, y quizás en esto,  estriba el principal cambio cultural en las organizaciones. La otra perspectiva que debe cambiar es aquella que nos hace pensar que los esfuerzos se terminan o se acotan sólo a la organización a la que pertenezco.

Es cierto que el mercado se define, en gran medida, por una competencia natural entre diferentes oferentes de servicios, pero a la hora de proteger al sector y a la economía en general, el esfuerzo no se limita a la protección de una organización específica. En nuestro hiperconectado ecosistema, el ataque cibernético a una organización podría permearse a todo un sector industrial y llevar a la parálisis al mismo.

Lo cierto es que los riesgos y las consecuencias de los ataques informáticos que pueden afectar a una industria o a un área de la economía, podrían afectar también a las demás. No cuesta mucho imaginar las consecuencias de un ataque al sector eléctrico. Sin esa fuente de energía se limitarían los trabajos, las comunicaciones, el comercio y el transporte. En otras palabras, colapsaría la economía.

Así como en el pasado, los líderes de la industria fueron capaces de proporcionar a la sociedad chilena la energía que necesitaba para emprender, hoy recae en los nuevos liderazgos la responsabilidad de resolver las demandas por atender y preservar este recurso frente a la amenaza cibernética. La coordinación entre las organizaciones que son parte de este sistema y la forma de compartir la información en su sector económico para enfrentar estos desafíos son esenciales.

El sistema eléctrico juega un rol fundamental en la sociedad. Proteger este sistema contra las amenazas es brindar mayores garantías a la prosperidad del país. La colaboración, por encima de la legítima competencia del mercado, obliga a todos a desarrollar, adoptar y compartir buenas prácticas con el objetivo de alcanzar la resiliencia en ciberseguridad.

El Estado, a través de tres proyectos legislativos -la Nueva Ley de Delitos Informáticos para proteger los sistemas informáticos, incluyendo el del sector eléctrico; la Nueva Ley de Datos Personales para proteger la información o datos de estos sistemas; y la Nueva Ley de Gobernanza e Infraestructura Crítica de la Información que asigna obligación al sector privado de reportar y cumplir con estándares de ciberseguridad- y la creación del CSIRT Nacional (Equipo de Respuesta ante Incidentes de Seguridad Informática), está liderando esos esfuerzos en el sector público en materia de ciberseguridad, y en su rol, busca crear un ciberespacio libre, abierto y seguro. Porque hoy sabemos, que solo uniendo esfuerzos podremos enfrentar los desafíos de la digitalización y la hiperconectividad y podremos avanzar como país.

Por Kenneth Pugh, Senador Región Valparaíso

El acelerado avance y despliegue de la tecnología digital y de informaciones en las empresas y organizaciones del Estado se ha convertido en una oportunidad para mejorar sus procesos productivos, pero también representa una gran vulnerabilidad debido a lo expuesto que se encuentran los sistemas y que en muchos casos la amenaza de los ciberataques aún no existía cuando fueron diseñados. 

Estas empresas y organizaciones públicas que proveen servicios básicos para el correcto funcionamiento y desarrollo de la sociedad, se denominan Infraestructuras Críticas. Cualquier falla o daño puede afectar los servicios o procesos, por ejemplo, el sector eléctrico, el del agua, del gas, del transporte, de los sistemas sanitarios o de salud, e incluso, el sistema financiero que habilita las transacciones digitales o los medios de pago electrónico. Un ciberataque a la infraestructura crítica pone en riesgo a las personas, incluso pudiendo afectar sus vidas, si los sistemas afectados son críticos en la seguridad de ellas. 

 Un ciberataque a los sistemas eléctricos por ejemplo produciría un apagón completo, dejando a la ciudad sin la posibilidad de funcionar correctamente, lo que generaría un caos, tal como lo haría un terremoto. Es factible incluso que se provoquen daños físicos o estructurales, a los sistemas o, incluso, la pérdida de activos industriales por daño irreparable.

 El caso reciente más conocido y documentado por la literatura especializada es el ciberataque del que fue víctima Ucrania el 2015, mediante un malware conocido como “BlackEnergy”, que fue introducido mediante un correo electrónico. Este programa atacó los sistemas de control digitales industriales conocidos como SCADA y generó un apagón que duró, en algunos lugares, hasta seis horas, afectando a más de 200 mil personas. Por esta razón, el sistema eléctrico es el más importante de todos los sistemas de un país, por lo que su protección es de responsabilidad nacional.

 La mayoría de estos sistemas fueron diseñados sin prácticas de codificación segura o sin el empleo de equipos especializados. Los sistemas de distribución eléctrica tienen sistemas de control digitales industriales del tipo PLC y controladores SCADA que, en la mayoría de los casos, están conectados a internet para permitir su monitoreo o su operación de forma remota. Este proceso es el que permitió que los primeros ciberataques fueran exitosos, pero en la actualidad, gracias a la transformación digital segura de los sistemas, se está considerando la Ciberseguridad, incluyendo la encriptación de los canales de control digitales tradicionales y aumentando los niveles de protección de los dispositivos conectados a la “Internet de las cosas” (IoT).

 Uno de los grandes problemas que se suscitan tras un ciberataque es determinar la atribución, con el objetivo de conocer el verdadero atacante y sus motivaciones. El otro es la interdependencia de los sistemas, por lo que la caída de una infraestructura crítica puede afectar a otros sistemas relacionados u otras infraestructuras críticas.

A nivel internacional ha habido avances legislativos respecto a la Ciberseguridad del IoT, particularmente en California, Estados Unidos, y en la Unión Europea, que busca robustecer la capacidad de los dispositivos conectados a internet que puedan tener efectos sobre la infraestructura crítica.

En general, los esfuerzos de las empresas del sector eléctrico en Chile están orientados a migrar a sistemas más robustos y resilientes, pero dada su interdependencia, se debe avanzar en la coordinación y respuesta nacional unificada, pues en la actualidad, todo el sistema industrial es susceptible y los sistemas eléctricos no son la excepción.

 La clave para enfrentar nuevas amenazas cibernéticas y vulnerabilidades es que las empresas inviertan en Ciberseguridad. No sólo en términos técnicos, sino también en capacitación y entrenamiento, es decir, crear una cultura basada en estándares y establecer rutinas que se conviertan en hábitos. Es vital trabajar este tema de forma colectiva, tanto dentro como fuera de la organización, para que se genere el conocimiento necesario con base en la colaboración. Es imposible resistir este tipo de ataques si no es de forma colaborativa, con coordinación nacional y apoyo internacional.

Por otra parte, es necesario invertir, como región y como país, en organismos especializados en protección de la infraestructura crítica. En España, por ejemplo, existe un Centro Nacional de Protección de Infraestructura Crítica (CNPIC), operado por ambas policías.

La educación formal del personal también juega un rol fundamental. No solo el personal técnico del área de Tecnologías de la Información, sino todos los niveles de la organización, dado que cualquiera puede generar una brecha de seguridad que puede ser explotada por un atacante.

Realizar cursos, entrenamientos y ejercicios del ámbito de la Ciberseguridad; participar con equipos entrenados en desafíos y competencias nacionales e internacionales; adquirir equipamiento y programas para mantenerse actualizado con lo que el mercado recomienda y la situación demanda; invertir en I+D, ojalá vinculados a centros de excelencia para innovar con procesos más seguros y; anticipar las acciones preventivas al descubrir nuevas vulnerabilidades son acciones que permitirán fortalecer el mercado eléctrico en relación a la Ciberseguridad.

Por Eduardo Morales, Jefe Desarrollo Productos de Ciberseguridad Corp Entel 

La ciberseguridad se ha convertido en uno de los desafíos más recientes para la industria eléctrica en este proceso de transición energética que avanza de la mano de nuevas tecnologías y la transformación digital impulsada por la 4° Revolución Industrial. Y es que los sistemas de control que se usan en el mundo para el monitoreo y la operación de los sistemas eléctricos también se han vuelto un blanco de los ciberatacantes, debido a la gran cantidad de información sensible que se maneja como infraestructura crítica, teniendo una relación directa con la seguridad nacional.

Los expertos ponen el acento en el imperativo de mejorar los controles de ciberseguridad y gestión del riesgo de los sistemas de control en la industria eléctrica, pues estas tecnologías usan protocolos de comunicaciones que pueden ser objeto de ataques informáticos. Lo anterior, plantea el desafío para que los proveedores de estos protocolos y otros equipos que se usan en el sector, al igual que proyectos eléctricos, comiencen a incorporar la ciberseguridad embebida en sus diseños.

Este tema ha sido abordado por el Gobierno, desde donde se alista un proyecto de Ley de Ciberseguridad que contendrá la definición de “infraestructuras críticas de la información”, aspecto que toca directamente al sector eléctrico ya que se trata de un servicio que genera un alto impacto para la sociedad y el aparato productivo del país. Es necesario también que en su discusión legislativa se aborde una estrategia integral en el tema que, además de abordar los aspectos técnicos, contemple los puntos de vista legales y regulatorios, junto a la revisión de las políticas internas y la estructura organizacional del negocio de los actores de esta industria.

Justamente para aportar a esta discusión, el Comité Chileno de CIGRE se encuentra actualmente trabajando en este tema con un grupo técnico conformado por cerca de 40 especialistas del sector entre empresas, proveedores e instituciones gubernamentales, quienes tienen la misión de elaborar un Plan Director Estratégico, para su entrega a fines de este año, con acciones recomendadas de corto, mediano y largo plazo en ciberseguridad para las infraestructuras críticas del sector eléctrico.

Esto permitirá aportar a una futura Ley de Infraestructuras Críticas de la Información, así como también año a año hacer seguimiento y evaluaciones de medición del Mapa de Madurez de Ciberseguridad que nos llevará a dar cumplimiento a los lineamientos generales de nuestra Política Nacional de Ciberseguridad.

El diagnóstico hecho hasta el minuto por este grupo de trabajo es que: «si bien el sector eléctrico adopta algunas medidas de protección en materia de ciberseguridad aún está por debajo de los niveles de madurez que debiera alcanzar, como por ejemplo comenzar a definir un CSIRT (Equipos de respuesta ante incidentes de seguridad) del sector eléctrico, actualizar normativas técnicas que incluyan las buenas prácticas de ciberseguridad a nivel de las redes IT/OT, y aumentar los niveles de capacitación y concienciación del personal, entre otras acciones».

A nivel internacional existen múltiples tecnologías y servicios avanzados asociados a los ciberataques a sistemas Scada y equipos eléctricos. Todo esto será abordado en un Tutorial que realizará CIGRE Chile el próximo 8 de julio en el Hotel Intercontinental de Santiago, donde se abordarán los fundamentos de la ciberseguridad, normativas asociadas, experiencias en otros países y nuevas tecnologías aplicables a la protección de los sistemas eléctricos.