Pedro Huichalaf, experto en regulación y ciberseguridad: “La regulación eléctrica tendrá una mirada más transversal y estará ligada a una política de ciberseguridad nacional” ¿Cómo impacta a la industria eléctrica la llamada “Transformación Digital”? Hay que pensar que todos los sectores productivos, no tan solo el eléctrico, con los procesos de Transformación Digital que están llevando adelante, están cambiando sus modelos de negocios tradicionales. En particular, habrá una mayor diversificación en el mundo eléctrico, por ejemplo, con consumidores que pueden tener sus propios sistemas de generación, incluso de transmisión y prestación de servicios.
No obstante, la regulación tendrá una mirada más transversal y estará ligada a una política de ciberseguridad nacional. En ese sentido, la relación empresaregulador estará cruzada por otras normativas. En otras palabras, sacará a las industrias eléctricas de su zona de regulación propia a una cosa más amplia. Entonces, el desafío para las empresas eléctricas radica en que, dentro de sus procesos internos, tendrán que incorporar toda esta dimensión que excede lo eléctrico y se adecua a una normativa dentro de una política de ciberseguridad nacional.
Entonces, el llamado de atención, y por eso mi ponencia, es que tengan en mente estos cambios de regulaciones externas e internas que se les aplicará.
¿Por qué es atractivo atacar un sistema eléctrico? En este sentido, el problema que existe en los sistemas eléctricos e industriales, es que las plataformas SCADA no están ajustadas a la realidad actual; estaban pensados desde una lógica “cerrada” donde los controles eran más estrictos para los funcionarios, pero hoy en día, con la posibilidad de acceso remoto, se generan muchas brechas de seguridad.
Si revisamos algunos casos de otros paí- ses donde se habían producido problemas eléctricos de gran envergadura (como Argentina, Venezuela y Ucrania) y donde en principio podría haber tenido algún grado de incidencia la ciberseguridad, entendemos que estos ataques no solo son para la obtención de recursos, sino también para desestabilizar otros sistemas.
Cuando se producen ciberataques de esta clase, las debilidades estructurales del sistema eléctrico es obviamente uno de los primeros lugares donde se explotan las vulnerabilidades para poder desestabilizar un país. Si no tiene electricidad, se va a producir un efecto dominó, provocando la caída de otros sistemas básicos.
En otras palabras, el sistema eléctrico no está interconectado entre sí, sino también con otros servicios… Cuando ocurrió el terremoto en Concepción, en 2010, las telecomunicaciones fueron fuertemente afectadas porque dependían mucho del sistema eléctrico; toda la ausencia de comunicación entre los sistemas de emergencia no fue producto de que las torres de telecomunicaciones se hayan caído, sino porque no había electricidad. Si bien posteriormente salió una nueva normativa que exigía respaldo energético para las antenas, pero eso demostró que la integración entre diferentes sistemas puede generar que uno tenga efecto sobre el otro.
A mi juicio, las empresas eléctricas aún no han dimensionado lo que significa tener el control de las redes de telecomunicaciones, ya sea contratándolas o teniendo ellas mismas frecuencias para sus propios dispositivos. La idea es que surja un modelo de negocio sustentable, seguro y continuo.
¿Cómo maneja la política de ciberseguridad la industria eléctrica en otros países? Lo que pasa es que esta mirada de ciberseguridad no está segmentada únicamente a un sector, sino que es mucho más amplia. Sin embargo, cuando en EE.UU. se habla del sector eléctrico, se habla de la normativa relacionada a la infraestructura (por ejemplo, al mantenimiento de las torres, etc.), pero también está asociada a la normativa relacionada a ciberseguridad, a la mantención de los sistemas informáticos, a la custodia de la información.
En esa línea, cuando en Europa y EE.UU., cuando se hablaba de la propiedad de los medidores eléctricos, la discusión no era quién era el dueño del medidor, sino que se hacía con ese equipo, porque, al final, son computadores que procesan y almacenan información. Entonces, ¿quién se hace responsable del software de ese dispositivo para que no haya intromisiones? Es un escenario nuevo, porque con los medidores analógicos solo teníamos el registro de consumo, pero los medidores inteligentes tienen muchas más atribuciones, y por tanto, implican nuevos desafíos, en los que estamos muy “al debe”, porque aún no se responden las dudas de qué pasa con el cliente y sus datos, con sus derechos y obligaciones.
La ciberseguridad industrial puede causar disputas entre las áreas de TI y TO. ¿Puede la regulación ser el puente entre ambas? Hay que entender que una de las recomendaciones que siempre se ha planteado, sobre todo para el sector Industria, es la aplicación de normas ISO más específicas (como ISO 27001, sobre la Seguridad de la Información) antes de la regulación general.
En particular, ese estándar de seguridad de la información exige que la alta dirección corporativa tenga presencia en la definición de esa política. No está orientado solo al área TI o Legal, sino que es transversal en el sentido de que las definiciones tienen que partir del directorio y partir como una unidad. Y cuando se establecen ciertas políticas de control de riesgos bajo una mirada mucho más amplia, se genera una responsabilidad más transversal, donde los departamentos TI y de Operaciones son parte del proceso.
¿Es necesario que la Academia tenga participación en este debate? Creo que sí. En la consulta pública sobre la norma técnica de los medidores inteligentes, participaron solamente los actores de la industria, pero faltó más discusión académica, más técnica. Personalmente, formo parte del Centro de Investigación en Ciberseguridad en la Universidad Mayor, donde vemos algunos casos concretos.
En ese sentido, mi exposición también hizo referencia a un paper que hicieron unos investigadores que afirmaba que todas las centrales de generación y los sistemas de distribución en Chile tienen algún grado de vulnerabilidad, y eso lo hicieron testeando. El estudio se desarrolló hace unos tres años, así que pueden haber mejorado sus procesos, pero siento que, por la experiencia comparada, hay que tener más cuidado. |