ERIAC XVIII: Éxito pese a la adversidad

La frase que podría resumir la realización del XVIII Encuentro Regional Iberoamericano de CIGRE (ERIAC) realizado entre el 19 y 23 de mayo en Foz de Iguazú, Brasil, es de “éxito pese a la adversidad” comentó Iván Saavedra, socio de CIGRE Chile y uno de los expositores chilenos en las Sesiones Técnicas Plenarias de este encuentro, quien además representó al Comité Chileno de CIGRE en las distintas instancias de administración que tuvieron lugar. La adversidad estaba dada por la situación económica de la Región, no muy alentadora, que preocupó a los organizadores del evento respecto al número de  asistentes, auspiciadores y expositores. No obstante, el flujo de personas se estima que sobrepasó los 500 asistentes por día, catalogando el evento como  indudablemente exitoso. Incluso la última actividad que corresponde al cierre del encuentro denominado “Foro de las Naciones”, se realizó con el auditorio completo, con una asistencia de más de 500 personas. Por otra parte, “tanto las muestras técnicas como las exposiciones de los distintos autores, como ya es tradición en los encuentros del ERIAC, fueron de una amplia diversidad de materias con distinta profundidad y alcances. Se presentaron más de 350 trabajos técnicos por sus autores y se realizó un interesante intercambio entre los asistentes tanto en las sesiones de presentación (sesiones técnicas) como en otras instancias”, comentó Saavedra. La logística fue todo un desafío ya que simultáneamente en 9 salas se realizaron sesiones técnicas de 4 bloques de 15 minutos por paper seguido de 30 minutos de discusión.  16 Comités de Estudio de CIGRE estuvieron representados en este encuentro a través de los distintos trabajos presentados. La mayoría de los autores fue de nacionalidad brasileña (230), no obstante se destaca una participación importante del resto de los países miembros del ERIAC como Argentina (51), Colombia (29), Paraguay (19) y España (15). Mientras que Chile presentó 8 papers concernientes a 4 Comités de Estudio (B5, C1, C4, C5).     

 

 

Coordinador: “Necesidad urgente de implementar estándares y establecer protocolos”

El tema de la ciberseguridad está tan candente en el país que la Superintendencia de Electricidad y Combustibles (SEC) encargó al Coordinador Eléctrico Nacional un informe sobre el estado de la misma en las empresas coordinadas del sistema eléctrico que debería estar listo a fines de junio. Esto porque el Gobierno definió al sector eléctrico como una de las áreas sensibles a los ciberataques. Según Patricio Valenzuela, Subgerente de Tecnologías e Innovación del Coordinador Eléctrico Nacional, “lo que sí es de común consenso y entendimiento, es que las nuevas tecnologías traen consigo una serie de desafíos y riesgos de ciberseguridad que es necesario abordar cuando se piensa en su implementación. En particular, la industria eléctrica ha experimentado una importante integración y adopción de nuevas tecnologías, tanto a nivel de generación como a nivel de sistemas de información para la gestión de la operación. Esto implica enfrentar y hacerse cargo de los desafíos de ciberseguridad. Los eventos de ciberataques registrados en el último tiempo en la banca y a nivel internacional en sistemas eléctricos -el primero fue el 23 de diciembre de 2015 en Ucrania cuando 80.000 personas se quedaron sin suministro eléctrico y sin calefacción durante 6 horas-  impulsan la necesidad urgente de implementar estándares y establecer protocolos que permitan mitigar estos riesgos y actuar en forma eficiente y efectiva ante incidentes de esta naturaleza en los distintos sectores”.

Sin duda, “la Autoridad y el Coordinador Eléctrico Nacional han entendido esto y han estado trabajando e impulsando diversas iniciativas en la materia. Asimismo, CIGRE no ha estado ajeno y desde el año 2018 cuenta con un grupo de trabajo que ha estado evaluando recomendaciones de buenas prácticas y la forma de adoptar estándares, lo que será difundo en el Tutorial organizado por el Comité Chileno este próximo 8 de julio” comentó Valenzuela. Participa e inscríbete aquí.

 

Los líderes industriales están obligados a cuestionar el rol que ejercen frente a la ciberseguridad

Por Carlos Landeros C., Jefe Departamento Informática del Ministerio del Interior y Seguridad Pública

La responsabilidad de manejar los riesgos en ciberseguridad empieza por los líderes de la industria. A diferencia de otras transformaciones que enfrenta la sociedad, el cambio cultural que demanda la ciberseguridad no parte por los usuarios de los servicios, sino por quienes las conducen.

El manejo de recursos y la toma de decisiones entre unos y otros, les asigna una mayor cuota de responsabilidad a estos últimos. Y si esta brecha puede ser considerada significativa, la que existe entre ambos y los expertos en las Tecnologías de la Información y Comunicación solo puede ser calificada como preocupante.

Los líderes industriales, así como lo está haciendo el gobierno, están obligados a cuestionar el rol que ejercen frente a la ciberseguridad. El Presidente Sebastián Piñera, hizo un ejercicio retórico al preguntarse si estamos preparados frente a los avances de las tecnologías en esta cuarta revolución. Lo mismo cabe para cada uno de los líderes en el ámbito de la ciberseguridad, especialmente aquellos que, como en el sector eléctrico, están al frente de una infraestructura crítica para el país. Las preguntas son simples: ¿cuál es el rol que jugamos en este ámbito? y si ¿estamos realmente preparados?

La principal diferencia para contar con una cibercapacidad robusta y resiliente, en cualquier ámbito, se supera con inversión y saber en qué invertir. Adquirir herramientas es un paso importante pero disponer de la capacidad humana para administrar esas tecnologías es esencial, así como crear conciencia en los usuarios.

La ciberseguridad, al final del día, es un desafío de las organizaciones. Todos deben entender y manejar los riesgos en ciberseguridad con la misma prudencia con que se manejan los riesgos físicos, y quizás en esto,  estriba el principal cambio cultural en las organizaciones. La otra perspectiva que debe cambiar es aquella que nos hace pensar que los esfuerzos se terminan o se acotan sólo a la organización a la que pertenezco.

Es cierto que el mercado se define, en gran medida, por una competencia natural entre diferentes oferentes de servicios, pero a la hora de proteger al sector y a la economía en general, el esfuerzo no se limita a la protección de una organización específica. En nuestro hiperconectado ecosistema, el ataque cibernético a una organización podría permearse a todo un sector industrial y llevar a la parálisis al mismo.

Lo cierto es que los riesgos y las consecuencias de los ataques informáticos que pueden afectar a una industria o a un área de la economía, podrían afectar también a las demás. No cuesta mucho imaginar las consecuencias de un ataque al sector eléctrico. Sin esa fuente de energía se limitarían los trabajos, las comunicaciones, el comercio y el transporte. En otras palabras, colapsaría la economía.

Así como en el pasado, los líderes de la industria fueron capaces de proporcionar a la sociedad chilena la energía que necesitaba para emprender, hoy recae en los nuevos liderazgos la responsabilidad de resolver las demandas por atender y preservar este recurso frente a la amenaza cibernética. La coordinación entre las organizaciones que son parte de este sistema y la forma de compartir la información en su sector económico para enfrentar estos desafíos son esenciales.

El sistema eléctrico juega un rol fundamental en la sociedad. Proteger este sistema contra las amenazas es brindar mayores garantías a la prosperidad del país. La colaboración, por encima de la legítima competencia del mercado, obliga a todos a desarrollar, adoptar y compartir buenas prácticas con el objetivo de alcanzar la resiliencia en ciberseguridad.

El Estado, a través de tres proyectos legislativos -la Nueva Ley de Delitos Informáticos para proteger los sistemas informáticos, incluyendo el del sector eléctrico; la Nueva Ley de Datos Personales para proteger la información o datos de estos sistemas; y la Nueva Ley de Gobernanza e Infraestructura Crítica de la Información que asigna obligación al sector privado de reportar y cumplir con estándares de ciberseguridad- y la creación del CSIRT Nacional (Equipo de Respuesta ante Incidentes de Seguridad Informática), está liderando esos esfuerzos en el sector público en materia de ciberseguridad, y en su rol, busca crear un ciberespacio libre, abierto y seguro. Porque hoy sabemos, que solo uniendo esfuerzos podremos enfrentar los desafíos de la digitalización y la hiperconectividad y podremos avanzar como país.

Los desafíos de la ciberseguridad en el mercado eléctrico

Por Kenneth Pugh, Senador Región Valparaíso

El acelerado avance y despliegue de la tecnología digital y de informaciones en las empresas y organizaciones del Estado se ha convertido en una oportunidad para mejorar sus procesos productivos, pero también representa una gran vulnerabilidad debido a lo expuesto que se encuentran los sistemas y que en muchos casos la amenaza de los ciberataques aún no existía cuando fueron diseñados. 

Estas empresas y organizaciones públicas que proveen servicios básicos para el correcto funcionamiento y desarrollo de la sociedad, se denominan Infraestructuras Críticas. Cualquier falla o daño puede afectar los servicios o procesos, por ejemplo, el sector eléctrico, el del agua, del gas, del transporte, de los sistemas sanitarios o de salud, e incluso, el sistema financiero que habilita las transacciones digitales o los medios de pago electrónico. Un ciberataque a la infraestructura crítica pone en riesgo a las personas, incluso pudiendo afectar sus vidas, si los sistemas afectados son críticos en la seguridad de ellas. 

 Un ciberataque a los sistemas eléctricos por ejemplo produciría un apagón completo, dejando a la ciudad sin la posibilidad de funcionar correctamente, lo que generaría un caos, tal como lo haría un terremoto. Es factible incluso que se provoquen daños físicos o estructurales, a los sistemas o, incluso, la pérdida de activos industriales por daño irreparable.

 El caso reciente más conocido y documentado por la literatura especializada es el ciberataque del que fue víctima Ucrania el 2015, mediante un malware conocido como “BlackEnergy”, que fue introducido mediante un correo electrónico. Este programa atacó los sistemas de control digitales industriales conocidos como SCADA y generó un apagón que duró, en algunos lugares, hasta seis horas, afectando a más de 200 mil personas. Por esta razón, el sistema eléctrico es el más importante de todos los sistemas de un país, por lo que su protección es de responsabilidad nacional.

 La mayoría de estos sistemas fueron diseñados sin prácticas de codificación segura o sin el empleo de equipos especializados. Los sistemas de distribución eléctrica tienen sistemas de control digitales industriales del tipo PLC y controladores SCADA que, en la mayoría de los casos, están conectados a internet para permitir su monitoreo o su operación de forma remota. Este proceso es el que permitió que los primeros ciberataques fueran exitosos, pero en la actualidad, gracias a la transformación digital segura de los sistemas, se está considerando la Ciberseguridad, incluyendo la encriptación de los canales de control digitales tradicionales y aumentando los niveles de protección de los dispositivos conectados a la “Internet de las cosas” (IoT).

 Uno de los grandes problemas que se suscitan tras un ciberataque es determinar la atribución, con el objetivo de conocer el verdadero atacante y sus motivaciones. El otro es la interdependencia de los sistemas, por lo que la caída de una infraestructura crítica puede afectar a otros sistemas relacionados u otras infraestructuras críticas.

A nivel internacional ha habido avances legislativos respecto a la Ciberseguridad del IoT, particularmente en California, Estados Unidos, y en la Unión Europea, que busca robustecer la capacidad de los dispositivos conectados a internet que puedan tener efectos sobre la infraestructura crítica.

En general, los esfuerzos de las empresas del sector eléctrico en Chile están orientados a migrar a sistemas más robustos y resilientes, pero dada su interdependencia, se debe avanzar en la coordinación y respuesta nacional unificada, pues en la actualidad, todo el sistema industrial es susceptible y los sistemas eléctricos no son la excepción.

 La clave para enfrentar nuevas amenazas cibernéticas y vulnerabilidades es que las empresas inviertan en Ciberseguridad. No sólo en términos técnicos, sino también en capacitación y entrenamiento, es decir, crear una cultura basada en estándares y establecer rutinas que se conviertan en hábitos. Es vital trabajar este tema de forma colectiva, tanto dentro como fuera de la organización, para que se genere el conocimiento necesario con base en la colaboración. Es imposible resistir este tipo de ataques si no es de forma colaborativa, con coordinación nacional y apoyo internacional.

Por otra parte, es necesario invertir, como región y como país, en organismos especializados en protección de la infraestructura crítica. En España, por ejemplo, existe un Centro Nacional de Protección de Infraestructura Crítica (CNPIC), operado por ambas policías.

La educación formal del personal también juega un rol fundamental. No solo el personal técnico del área de Tecnologías de la Información, sino todos los niveles de la organización, dado que cualquiera puede generar una brecha de seguridad que puede ser explotada por un atacante.

Realizar cursos, entrenamientos y ejercicios del ámbito de la Ciberseguridad; participar con equipos entrenados en desafíos y competencias nacionales e internacionales; adquirir equipamiento y programas para mantenerse actualizado con lo que el mercado recomienda y la situación demanda; invertir en I+D, ojalá vinculados a centros de excelencia para innovar con procesos más seguros y; anticipar las acciones preventivas al descubrir nuevas vulnerabilidades son acciones que permitirán fortalecer el mercado eléctrico en relación a la Ciberseguridad.