Fernando Muñoz.

¿Por qué la infraestructura eléctrica puede ser vulnerable ante un ciberataque?
Hay que pensar en que la Tecnología está completamente inmersa en todos los procesos eléctricos. Es decir, si cuento aquellos procesos que no requieren de esta, me sobran dedos de una mano. Entonces, al estar involucrada la Tecnología, van a coexistir vulnerabilidades, que pasarán a ser riesgos que deben ser de alguna forma mitigados, y es ahí donde la Ciberseguridad pasa a tener un rol paliativo o de catalizador.

En otras palabras, las eléctricas (y en general, aquellas empresas del ámbito industrial), se mueven en dos mundos: el de las “TI” (Tecnologías de la Información), donde se encuentran los sistemas de abastecimiento, compras, logística, etc., y el de la operación misma, el de las llamadas “TO” (Tecnologías de Operaciones), que son la infraestructura (como SCADA, PLCs y DCS) que hace funcionar los procesos industriales. Por ejemplo, un SCADA “expuesto” a Internet, sin los resguardos debidos, puede poner en riesgo incluso la continuidad operacional.

Por lo tanto, es necesario someterlo a normas y estándares que sean controlables y auditados, evitando así que sus vulnerabilidades puedan ser explotadas. Además, muchos procesos eléctricos están dentro de empresas definidas como “infraestructura crítica”, la que hay que proteger, reduciendo los riesgos, implementando, entre otras medidas, seguridad física y lógica, simulacros, y por sobre todo, concientizando al usuario.

¿Por qué es necesario concientizar a estos usuarios?
Primero que nada, el usuario de una infraestructura crítica debe entender el lugar donde trabaja y, además, ser concientizado de manera que la Ciberseguridad sea parte de su ADN, un “intransable”. A diferencia de un usuario de Retail, Forestal, o de otro rubro, acá cualquier transgresión a las políticas de Ciberseguridad, muchas veces por desconocimiento, podría desencadenar en un incidente significativo a toda una comunidad. Por ejemplo, tenemos en lo inmediato el caso de la ciudad de Baltimore (EE.UU.), cuyos servicios básicos están bloqueados por un ransomware.

En este sentido, resulta fuerte tomar conciencia de lo que un ciberataque podría llegar a hacer a la infraestructura crítica en nuestro país. Si caen las redes eléctricas, seguramente caerán los hospitales, las empresas de telecomunicaciones, sanitarias, etc. Se produce un "efecto dominó".

La importancia de la ciberseguridad para la infraestructura crítica, ¿tiene resonancia entre las gerencias?
Los gerentes deben entender que están administrando una infraestructura crítica y que los riesgos existen. Sin embargo, y a raíz de ciertos eventos que han ocurrido alrededor del mundo, como los ataques a los servicios básicos de Estonia en 2007, el apagón eléctrico que tuvo Ucrania en diciembre de 2016, más otros posteriores, ha provocado que las planas gerenciales tomen real conciencia de la relevancia de este tema y prioricen lineamientos para crear un plan de acción que ayude a mitigar los riesgos inherentes a una disrupción de los servicios.

Hasta hace algún tiempo se notaba una falta de interés y esto no es una cuestión netamente chilena, sino que se aprecia en todo el mundo, especialmente en nuestra Región. No obstante, esto ha ido mejorando paulatinamente. En nuestro continente, la cultura de Ciberseguridad ha estado muy alejada de los ejecutivos, con la posible excepción de Colombia, donde en la década de los 90, tuvo que implementar muchas medidas de Ciberseguridad para resguardar su infraestructura crítica (debido al llamado “Plan Colombia”).

¿Qué medidas se pueden tomar para impulsar la concientización alrededor de este tema?
Es un tema que los oficiales de seguridad informática conversamos mucho y todos estamos empujando este carro, para que existan los presupuestos y tiempos adecuados para culturizar a trabajadores, profesionales y ejecutivos. También debemos generar plataformas redundantes y resilientes, entre otras medidas.

El norte está en que la Ciberseguridad pase a ser un pilar que acompañe la estrategia del negocio. Creo que varios oficiales de seguridad se sienten aislados del mundo del negocio y, de nuevo, esa es una situación que no es exclusiva de Chile. Sin embargo, cuando empiezan a suceder cosas, los ejecutivos se dan cuenta de que un ciberataque es una realidad y no solo son amenazas latentes.

En ese sentido, tenemos que avanzar mucho en este ámbito. Todo lo que se ha venido haciendo desde el Estado va por buen camino, pero tenemos que tomar un poco más de velocidad. Por esta razón, como Empresas Eléctricas AG, estamos uniéndonos sectorialmente en torno a esta materia para intercambiar conocimientos, experiencias y ayudar a adoptar leyes, normativas y estándares que nos protejan.

¿Qué están haciendo en Empresas Eléctricas en este tema?
Tras crear nuestro grupo de trabajo sobre Ciberseguridad, nuestro objetivo ha sido buscar un estándar para el medio chileno que nos permita autocontrolarnos y autogestionarnos de mejor manera. En la actualidad, existen diversos estándares internacionales, auditables y certificables (como NERC, ISA 62433, ISO 27001, NIST, etc.), los que permiten un buen gobierno de las Tecnologías de Operaciones y de la Información dentro de la organización; no obstante, creemos que debería existir un framework que reúna lo mejor de estas normativas, asociarlo al mundo eléctrico chileno y, de esa forma, podríamos lograr una red segura, con riesgos mitigados y ciber-resiliente.

Además, nos hemos reunido con diversas autoridades, tanto del mundo energético como del ámbito informático, y creemos que esta buena comunicación y colaboración que ha existido entre los profesionales participantes, debería traducirse en la creación de un CSIRT sectorial.

¿Qué tareas quedan por hacer para proteger nuestra infraestructura eléctrica?
Queda mucho trabajo por hacer y brechas por cubrir. Estamos trabajando en buen pie y tenemos buenos modelos a seguir, pero hay un largo camino por recorrer.

Por ejemplo, existen en el país muchos (y muy buenos) especialistas en el mundo Sistémico, pero no tantos en el ámbito de las OT (los primeros se preocupan de la seguridad de la información normalmente basados en la ISO 27001, mientras que los segundos se enfocan más en la continuidad operacional de una infraestructura crítica).

En esta línea, es necesario que algunos especialistas tengan una perspectiva orientada a la Ciberseguridad del mundo industrial.

Como asociación, ya hemos organizado encuentros y videoconferencias con profesionales de otros países (como Colombia y España), donde hay gente de muy buen nivel. Creo que, como país, debemos acelerar el paso hacia esos modelos, adaptados obviamente a la cultura chilena.