Si bien existen diferentes iniciativas relacionadas con la protección y ciberseguridad de las infraestructuras críticas a nivel mundial, todas parten de la misma base, que consiste en identificar aquellos servicios que resultan esenciales para el correcto funcionamiento de la sociedad y de su economía.
Servicios esenciales
Particularmente en Argentina, la Resolución 1523/2019 de la Secretaría de Gobierno de Modernización define las infraestructuras críticas como “aquellas que resultan indispensables para el adecuado funcionamiento de los servicios esenciales de la sociedad, la salud, la seguridad, la defensa, el bienestar social, la economía y el funcionamiento efectivo del Estado, cuya destrucción o perturbación, total o parcial, los afecte y/o impacte significativamente”. Tales servicios abarcan diversos sectores como Químicos, Comunicaciones, Manufactura, Salud, Finanzas, Alimentos, Transporte y Energía, entre otros.
Sector energético
Resulta más que evidente la importancia y criticidad del sector energético, principalmente debido a que su interrupción afecta a más de un servicio esencial como resultado de la interdependencia que existe desde la mayoría de estos servicios hacia dicho sector, siendo esta última potenciada con la aparición de la industria 4.0. Es allí donde la ciberseguridad en infraestructuras críticas cobra un rol protagónico, buscando desde su componente tecnológica garantizar la disponibilidad de los servicios esenciales relacionados a estas.
Establecer leyes y/o marcos regulatorios en materia de ciberseguridad para el sector energético es necesario y de gran valor para la industria. Sin embargo, ello debe estar acompañado de programas de financiación que faciliten a las organizaciones alcanzar el cumplimiento de las mismas a corto plazo, más aún con el incremento de los ciberincidentes producidos en los últimos años. Además, es fundamental la alineación de estas regulaciones con la realidad de la industria del sector energético, puesto que, de lo contrario, se generan conflictos entre los objetivos de las organizaciones del sector y los objetivos del estado.
Ciberseguridad industrial
Por lo que respecta a la ciberseguridad industrial, la mayoría de las organizaciones del sector energético se encuentran en un estado de madurez inicial para la implementación de medidas de protección destinadas a gestionar los ciberriesgos de sus activos.
Esto se debe a que hace no mucho tiempo atrás, la ciberseguridad no se encontraba entre las prioridades de las organizaciones del sector. Y a que la aparición de esta disciplina de riesgos ha generado la necesidad de nuevas asignaciones de responsabilidades internas, las cuales muchas veces recaen en personal insuficientemente preparado o bien tienden a intentar ser absorbidas o delegadas en los fabricantes y/o proveedores de servicios debido al alto grado de externalización que existe en el sector.
A esta problemática se suma que no es habitual que las empresas contratistas incorporen la ciberseguridad en infraestructuras críticas e industria 4.0 entre sus servicios. Y son pocos los casos donde las responsabilidades de ciberseguridad se encuentran correctamente definidas.
La importancia y criticidad de los servicios esenciales energéticos se debe a que su interrupción afectaría a la prestación de otros como resultado de la interdependencia
Impacto en el TCO
Incorporar la ciberseguridad en infraestructuras críticas debe ser una etapa excluyente en todo nuevo proyecto o instalación y una exigencia para toda infraestructura existente.
Diversos estudios demuestran cómo impacta la adopción temprana de medidas de protección cibernética en el TCO de activos industriales. Se ha comprobado que, para una instalación existente, el costo de adecuación de la misma para operar dentro de niveles de ciberriesgos tolerables representa hasta un 25% del TCO del activo en cuestión, mientras que la incorporación de la ciberseguridad industrial en las etapas de ingeniería básica y detallada (concepto de Security by design establecido dentro del estándar ISA99/IEC62443) reduce ese costo a un 5% del TCO –fuente: Madurez de la Ciberseguridad Industrial y su relación con el Costo Total de Propiedad (TCO) de los Sistemas de Control, publicado por la consultora WisePlant–. Esto se debe a que se alcanza un estado donde la mayor parte del esfuerzo por la ciberseguridad es realizada por los fabricantes.
La inversión en ciberseguridad es distribuida (prorrateada) entre todos los operadores/propietarios de infraestructuras críticas, evitando la mayor parte de este nuevo costo que el sector energético debe asumir. Los fabricantes incorporan los requerimientos de ciberseguridad (niveles de seguridad según ISA99/IEC62443) de forma nativa en sus productos y sistemas y estos son certificados a través de organismos especializados como ISA Security.
Compromiso ineludible
Proteger las infraestructuras críticas del sector energético, desde el punto de vista de la ciberseguridad, implica un compromiso ineludible para las organizaciones que operan dentro de dicho sector. Consiste en abordar la problemática más allá del mero esfuerzo por cumplimentar regulaciones, lo cual puede hacernos caer en un estadío de falsa sensación de seguridad.
La decisión es atacar la disciplina desde la óptica de un nuevo elemento de riesgo que puede afectar o comprometer los servicios esenciales que el sector provee o aquellos que dependen de él. Así como sucede desde hace ya varios años con la seguridad funcional en procesos industriales, hoy el ciberriesgo debe ocupar un lugar destacado dentro de la matriz de riesgos empresariales. Si bien las causas que se evalúan son distintas, la seguridad funcional y la ciberseguridad comparten las consecuencias.
Estas consecuencias exceden el concepto de servicio esencial o de infraestructura crítica, afectando a los mismos receptores de riesgos: las personas, el medio ambiente, los costes y la imagen corporativa. En otras palabras, un ciberincidente puede no afectar el servicio esencial que se está brindando ni a los que dependen de él; sin embargo, puede exceder su naturaleza virtual y/o tecnológica e impactar al mundo físico ocasionando muertes o daños al medio ambiente. Otra razón más que importante y esencial para su consideración.