Las tecnologías inteligentes y los dispositivos de Internet están revolucionando la industria energética al proporcionar sensores y otros componentes que permiten la gestión en tiempo real.
Estos dispositivos adicionales están demostrando ser increíblemente útiles cuando se trata de la lucha contra el calentamiento global, lo que permite a la industria energética crear redes de energía inteligentes. Dichas redes permiten a las organizaciones que operan en la industria comprender, predecir y adaptarse a las fluctuaciones en el uso de la energía, asegurando que haya suficiente energía limpia disponible para el consumo. Esto les permite reducir las emisiones al mejorar la planificación de la capacidad y ayudar a prevenir el cambio climático.
Estas tecnologías inteligentes también pueden presentar riesgos de seguridad cibernética adicionales si no se protegen adecuadamente contra los ataques cibernéticos. Para ayudar a defenderse contra estos ataques, los controles CIS se pueden usar para evitar vulnerabilidades y reducir la cantidad de vectores de ataque disponibles.
¿Qué son los controles CIS?
Los Controles CIS (anteriormente conocidos como controles críticos de seguridad o seguridad CSC) son un conjunto de acciones que se recomiendan como formas específicas de prevenir los ciberataques más peligrosos. Hay 18 controles diferentes en total, incluida la gestión de control de acceso, la protección de datos y las pruebas de penetración.
Entre 2009 y 2019, la cantidad de incidentes cibernéticos significativos relacionados con la electricidad que ocurren cada año aumentó de uno a 10. En la industria energética, el crecimiento en la cantidad de dispositivos interconectados a través de la red (IoT) se combinó con recursos de energía distribuida para combatir el cambio climático. Estas tecnologías incluían generación distribuida, vehículos eléctricos y almacenamiento detrás del medidor.
Esto significa que la adopción de dispositivos IoT en la industria de la energía ha dado lugar a una mayor superficie de ataque para que la exploten los actores malintencionados. Se espera que esta superficie de ataque duplique su tamaño para llegar a 30-40 mil millones de dispositivos para 2025, lo que hace que los marcos de seguridad cibernética como CIS sean aún más importantes.
¿La industria energética está adoptando los controles CIS?
Una encuesta reveló que en el 2016, el 44 % de las organizaciones con marcos de seguridad cibernética habían optado por utilizar controles CIS. Sin embargo, solo el 5% de las organizaciones en la industria de servicios públicos había adoptado al menos un marco de seguridad cibernética. Para 2020 , el 50 % de los líderes empresariales de la industria energética estaban considerando la seguridad cibernética y la privacidad integradas en cada decisión o plan comercial, y el 44 % estaba elaborando estrategias para una cuantificación mejor y más granular del riesgo cibernético.
Se encontró que las principales barreras para la adopción de un marco de seguridad cibernética eran la falta de requisitos regulatorios y la percepción de que se requeriría una gran inversión para implementar todos los controles. De las organizaciones que habían adoptado un marco, la mayoría afirmó que lo había hecho porque lo consideraba una buena práctica. Otras razones dadas para la adopción fueron las relaciones con los socios comerciales y los requisitos contractuales.
¿Qué problemas se derivan de esta falta de adopción?
La falta de adopción podría conducir a una serie de problemas en la industria energética. Un ciberataque exitoso en cualquier industria puede conducir a la pérdida de control sobre dispositivos y procesos. A su vez, esta pérdida de control puede provocar daños físicos y la interrupción del servicio. Específicamente en la industria energética, esto significaría que los hogares, las empresas y otros servicios críticos enfrentan apagones que podrían resultar catastróficos.
Uno de los primeros ejemplos confirmados de esto fue en 2015, cuando un ataque cibernético en la red eléctrica de Ucrania resultó en que los atacantes apagaran 30 subestaciones y provocaran que 225,000 personas se quedaran sin energía. Un informe publicado por Lloyd’s y el Centro de Estudios de Riesgo de la Universidad de Cambridge encontró que un gran ataque a la red eléctrica de EE. UU., como el que experimentó Ucrania, podría generar un costo económico de más de $ 243 mil millones.
¿Qué soluciones hay?
Los formuladores de políticas y los reguladores podrían incentivar o exigir a las organizaciones que implementen controles CIS o marcos de ciberseguridad similares. Esto aliviaría una de las mayores barreras para la adopción e impulsaría a toda la industria a trabajar para lograr este estándar.
Los expertos en la materia pueden evangelizar el proceso al publicar los riesgos asociados con la no implementación de controles de seguridad críticos, mientras documentan el viaje de sus organizaciones para implementarlos por completo.
De manera similar, las organizaciones de la industria energética pueden compartir informes de incidentes para crear conciencia sobre los ataques, su impacto y cómo se contrarrestaron o resolvieron.
Garantizar que la industria energética esté preparada cuando se trata de seguridad cibernética es un desafío cada vez mayor. Este desafío, como tantos otros, se puede superar a través de la colaboración y la transparencia. Sin embargo, al igual que la lucha contra el cambio climático, no poner en marcha las medidas necesarias puede tener consecuencias desastrosas que afectan a todos.
Descubra cómo Bitdefender puede ayudar a su negocio a desarrollar resiliencia y mantenerse protegido frente a estas crecientes amenazas.