Los piratas informáticos afirman que fueron tras la infraestructura de gas de Canadá. ¿Pueden las energías renovables soportar los mismos ciberataques?

Las noticias de piratas informáticos prorrusos que supuestamente obtuvieron acceso a la infraestructura de gas de Canadá sacaron a relucir las preocupaciones de seguridad cibernética el mes pasado. Para proteger nuestra red eléctrica, los expertos de la industria dicen que Canadá necesita intensificar las regulaciones que salvaguardan los sistemas de energía que son vulnerables a los ataques.

La infraestructura energética en todo el mundo es blanco regular tanto de los ciberdelincuentes que buscan extorsionar a las empresas como de los actores patrocinados por el estado que intentan obtener una ventaja sobre otras naciones. La infraestructura petrolera fue el objetivo de casi un tercio de los 45 incidentes de ciberseguridad contra industrias de productos básicos globales como el transporte marítimo, la agricultura y la petroquímica entre 2017 y 2022, según datos de S&P Global. Esto incluye incidentes de alto perfil como el ataque de ransomware de 2021 en el oleoducto colonial de los EE. UU., que resultó en un cierre y un pago de rescate considerable, y el ataque de 2022 que interrumpió los envíos desde los principales centros de refinación de petróleo europeos. La generación de energía y las redes eléctricas fueron otros objetivos populares, según S&P Global.

No todos los ataques son tan impactantes. La supuesta violación de la infraestructura de gas de Canadá el mes pasado no resultó en ninguna interrupción, y el sitio web de Hydro-Québec fue víctima de un ataque común y corriente en el que el servidor se vio abrumado por el tráfico, lo que provocó que colapsara. El accidente no afectó la producción, transmisión o distribución de electricidad, según Hydro-Québec.

Ahora, a medida que Canadá amplía su energía renovable, los expertos dicen que los operadores de tecnologías limpias enfrentarán las mismas amenazas de seguridad cibernética que sus contrapartes de combustibles fósiles y deberían aprovechar la oportunidad para construir defensas sólidas en su infraestructura.

No existe una respuesta simple sobre qué tipos de sistemas de energía son más vulnerables a los ataques cibernéticos, dijeron Tarun Singh y Rich Hodgkinson de Ammolite Technology en una declaración detallada al National Observer de Canadá. Ammolite Technology es un proveedor de servicios de TI cuyos servicios incluyen soluciones de seguridad para pequeñas y medianas empresas, organizaciones benéficas y sin fines de lucro.

La infraestructura de petróleo y gas es un objetivo principal para los actores que buscan alterar la vida canadiense porque los combustibles fósiles representaron alrededor del 64 por ciento del consumo de energía primaria de Canadá en 2021, señalaron.

En este momento, la infraestructura de energía renovable, como los grandes parques eólicos y solares, representa una porción menor de la combinación energética general del país y, por lo tanto, es probable que sea un objetivo menos valioso, dijeron Singh y Hodgkinson. Pero esa proporción podría aumentar en los próximos años a medida que Canadá aumente la energía renovable en su intento por lograr una red eléctrica neta cero para 2035.

La agencia de inteligencia de señales extranjeras y cibernéticas de Canadá, el Establecimiento de Seguridad de las Comunicaciones (CSE), dijo al Observador Nacional de Canadá en un comunicado enviado por correo electrónico que toda la infraestructura crítica está cada vez más en riesgo de amenazas de seguridad cibernética, aunque no "tiene ninguna información específica sobre proyectos de energía renovable". "

Algunos factores clave que podrían poner en riesgo la infraestructura energética incluyen qué tan valioso y vulnerable es un objetivo y quién está buscando atacar.

Hay muchos malhechores a los que les gustaría hacer daño, con distintas motivaciones, dijo Ian L. Paterson, director ejecutivo de Plurilock, una empresa canadiense de ciberseguridad. Las organizaciones criminales a menudo buscan ganar dinero obteniendo pagos de rescate de empresas y organizaciones (como fue el caso del ataque al Oleoducto Colonial de 2021) o robando datos.

"A menudo se cita que la mayor transferencia de riqueza a nivel mundial fue de Estados Unidos a China como resultado de las campañas de robo de propiedad intelectual que tuvieron lugar", dijo Paterson al National Observer de Canadá en una entrevista telefónica. Además de las motivaciones financieras compartidas con los delincuentes, los estados-nación hostiles o las organizaciones patrocinadas por el estado también pueden beneficiarse de los ataques que roban información confidencial o buscan interrumpir la infraestructura crítica de un país, agregó.

Si la participación de energía renovable del país crece y su infraestructura es accesible en la misma medida que la infraestructura de petróleo y gas, podría convertirse en "un objetivo igualmente atractivo", dijeron Singh y Hodgkinson. Para todas y cada una de las infraestructuras, el problema es tener un único punto de falla, es decir, una falla que puede explotarse y hacer que todo el sistema deje de funcionar.

Singh y Hodgkinson dicen que son "cautelosamente optimistas" porque la infraestructura de energía renovable es inherentemente menos centralizada que la infraestructura de combustibles fósiles. Por lo general, también está diseñado con baterías y almacenamiento de energía para lidiar con el tiempo de inactividad causado por el anochecer o los patrones climáticos, lo que ofrece resistencia contra las interrupciones causadas por apagones, a diferencia de los sistemas de combustibles fósiles, agregaron.

Pero esto no quiere decir que todos los sistemas de energía renovable no tengan actualmente o no tendrán eventualmente grandes vulnerabilidades que los piratas informáticos pueden usar para incapacitar el sistema, dijeron Singh y Hodgkinson.

Hay innumerables factores en juego. Por ejemplo, si el sector de la energía renovable finalmente es monopolizado o dominado por un puñado de empresas, es razonable suponer que un incidente de seguridad cibernética podría colapsar todo el sistema para el proveedor de energía afectado, según Singh y Hodgkinson.

Para Paterson, director ejecutivo de Plurilock, el nacimiento de la infraestructura de energía renovable de Canadá presenta una oportunidad para elevar el nivel de la ciberseguridad.

En muchos casos, la tecnología limpia se construye desde cero y, como regla general, es mucho más fácil tener un sistema seguro si se construye teniendo en cuenta los estándares de seguridad desde el principio, dijo Paterson al National Observer de Canadá.

"Es muy difícil reforzar la seguridad después del hecho. Entonces, desde mi perspectiva, las tecnologías limpias y las energías renovables presentan, en realidad, una oportunidad para asegurar y fortalecer mejor la red", dijo. "Mientras que tratar de asegurar la red heredada, en realidad es un problema mucho, mucho más difícil".

También se han planteado preocupaciones sobre las vulnerabilidades de la energía solar.

La investigación de 2016 dijo que las fallas en los paneles solares de una empresa podrían hacer que la red eléctrica fuera vulnerable a la piratería, principalmente a través de los inversores conectados a Internet de los paneles. Los inversores toman la electricidad generada por los paneles y la convierten para que pueda usarse en la red eléctrica. En ese momento, otro investigador le dijo a la BBC que pensaba que el riesgo para la estabilidad de la red eléctrica estaba presente, aunque era menos extremo que el descrito en el estudio. Solo algunos modelos de inversores tenían vulnerabilidades, según la empresa.

Reflexionando sobre esta investigación siete años después, Singh y Hodgkinson dijeron que "no señalarían a la energía solar como más vulnerable que otros tipos de infraestructura de combustibles fósiles o renovables", principalmente porque el nivel de seguridad cibernética es bastante bajo para todos los tipos de energía. infraestructura.

Para disuadir a los atacantes, la próxima infraestructura de energía renovable debe estar sujeta a una "aplicación regulatoria enérgica", sostienen.

Existen algunos estándares diferentes y de uso común para guiar las medidas de seguridad cibernética y las mejores prácticas: a saber, un estándar internacional y un estándar estadounidense. Canadá tiene un estándar nacional, pero el país no exige que las empresas y organizaciones canadienses cumplan con ninguno de esos estándares.

Una posible herramienta para intensificar la seguridad cibernética de Canadá es el proyecto de ley C-26, que intentaría establecer un marco de seguridad cibernética claro que, entre otras cosas, requiere que los operadores de importantes sistemas cibernéticos en sectores como finanzas, energía, transporte y más establezcan un programa de ciberseguridad para proteger sus sistemas, gestionar posibles riesgos, detectar incidentes y hacer frente a cualquier impacto. Existe un requisito para que los operadores designados "informen de inmediato" todos y cada uno de los incidentes de seguridad cibernética al CSE y cumplan con las medidas emitidas por el gobernador en consejo para proteger los sistemas cibernéticos críticos.

Según la Ley de Protección de Sistemas Cibernéticos Críticos propuesta en el proyecto de ley, los operadores también tendrían la obligación continua de "tomar medidas razonables" para abordar los riesgos que surgen de su cadena de suministro o el uso de productos de terceros. El proyecto de ley C-26 está programado para ser revisado por el Comité Permanente de Seguridad Pública y Seguridad Nacional. No requiere que los operadores adopten un estándar específico de ciberseguridad. Junto con la guía básica de Canadá para la gestión de riesgos de seguridad de TI, EE. UU. tiene su propio marco similar y también existe un estándar internacional de seguridad cibernética bien reconocido.

La mayoría de las organizaciones "siguen un estilo que es bastante similar a esos estándares", dijo Paterson. Él dice que es un desafío para las organizaciones más grandes cumplir con múltiples estándares en diferentes mercados, por lo que sería beneficioso simplificar y alinear solo algunos estándares existentes.

Pero, por otro lado, las empresas más pequeñas con menos recursos pueden verse más presionadas para alinearse con estos estándares, señaló Hodgkinson en una entrevista de Zoom.

Otro miembro de la industria dice que las regulaciones estrictas para la ciberseguridad son clave, independientemente del sector.

"Se trata de dinero" y de encontrar un equilibrio entre la gestión de riesgos sin gastar demasiado, dijo Alex Dow, director de innovación de la firma de seguridad cibernética Mirai Security.

Las corporaciones legalmente tienen que tomar decisiones que sean mejores para el negocio, no necesariamente para el país, la gente y el medio ambiente, por lo que los gobiernos tienen que promulgar regulaciones y obligar a las corporaciones a tomar medidas de interés público, dijo Dow.

El Centro Canadiense para la Seguridad Cibernética, parte de CSE, trabaja con socios y asociaciones de la industria en el sector energético para "compartir información sobre amenazas cibernéticas y fortalecer la seguridad cibernética y la resiliencia cibernética en general", dijo Robyn Hawco de relaciones con los medios de CSE en un comunicado.

Cuando se le preguntó acerca de ejemplos relacionados con la energía, CSE citó dos "colaboraciones en curso" que dependen del intercambio de información. El centro de ciberseguridad y la Asociación Canadiense de Gas están trabajando juntos en el Programa Blue Flame, cuyo objetivo es fortalecer la seguridad de los sistemas de suministro de gas en todo Canadá. La otra asociación, con el Operador Independiente del Sistema Eléctrico de Ontario, busca reducir los riesgos de ciberseguridad y brindar información y análisis sobre el sector energético canadiense.

“Creo que donde vamos a obtener cambios es con el seguro de ciberseguridad”, dijo Hodgkinson en una entrevista de Zoom.

"Si soy una organización de seguros y... quiero suscribir una gran organización de petróleo y gas o... de energía renovable, quiero asegurarme de que están haciendo todo lo posible para fortalecer su seguridad cibernética", dijo.

Al sur de la frontera, EE. UU. está investigando la ciberseguridad solar y en 2020 lanzó un plan plurianual para mejorar la ciberseguridad en los sistemas de energía renovable y otras áreas. La Oficina de Energía Eólica también dispone de una hoja de ruta específica para la ciberseguridad en energía eólica.

La mayoría de las veces, Singh y Hodgkinson dicen que Ammolite Technology mira a los EE. UU. para mantenerse al día sobre los últimos desarrollos normativos y técnicos en ciberseguridad, y señalan que hay una "falta de fuentes de informes confiables y consistentes" para los desarrollos de ciberseguridad canadienses.

— Con archivos de The Canadian Press

Natasha Bulowski / Iniciativa de Periodismo Local / Observador Nacional de Canadá