En abril de 2022, pocos meses después de que comenzara el ataque ruso a Ucrania, tres empresas de energía eólica en Alemania fueron atacadas por ciberdelincuentes. Los ataques inutilizaron miles de turbinas eólicas controladas digitalmente.
Se estima que para 2050, los sistemas energéticos del mundo dependerán en un 70 por ciento de energía renovable, principalmente de fuentes solares, eólicas, mareomotrices, de lluvia y geotérmicas. Estas fuentes de energía suelen ser descentralizadas, geográficamente remotas y relativamente pequeñas. A menudo se gestionan y operan utilizando tecnologías digitales insuficientemente seguras y conectadas directamente a la infraestructura obsoleta de la red eléctrica nacional. Una situación que abre la puerta a los ciberataques.
Del riesgo a la resiliencia
Para implementar una ciberresiliencia sólida en los sistemas digitales de energía renovable, primero es importante comprender las áreas de riesgo. Los 10 más importantes son los siguientes:
1. Vulnerabilidades de código y configuraciones erróneas en software integrado. La demanda de energía renovable significa que las tecnologías y aplicaciones de soporte a menudo se desarrollan e implementan rápidamente, dejando poco tiempo para incorporar o probar controles de seguridad. Los proveedores y sus desarrolladores son expertos en ingeniería eléctrica y es posible que no tengan los conocimientos de seguridad adecuados para ello. El riesgo aumenta si el software no se parchea y actualiza periódicamente tras los informes de errores.
2. API no seguras. Otro riesgo relacionado con el software es que las aplicaciones basadas en API pueden comunicarse y compartir datos y funcionalidades con otras aplicaciones, incluidas aplicaciones de terceros. Son una característica común de los sistemas en red o de acceso público. La seguridad de las aplicaciones web y los firewalls son esenciales para evitar que los atacantes utilicen API para robar datos, infectar dispositivos y crear botnets.
3. Sistemas de gestión, control, información y análisis. El software de gestión y control como los sistemas SCADA (Supervisory Control and Data Acquisition) y otros sistemas que importan, analizan y visualizan datos de fuentes de energía son los principales objetivos de los ciberataques porque permiten a los delincuentes acceder a todo el sistema, manipular datos, permitir el envío de instrucciones y más. Los sistemas que integran datos de fuentes de terceros, como torres meteorológicas, ofrecen otra oportunidad de compromiso. Medidas de autenticación sólidas, al menos multinivel pero idealmente basadas en confianza cero, junto con derechos de acceso limitados, son cruciales para garantizar que solo aquellos que tienen autorización puedan acceder al sistema.
4. Automatización. Los sistemas de energía renovable distribuidos y descentralizados, particularmente a gran escala, requieren monitoreo y gestión las XNUMX horas del día, los XNUMX días de la semana, que se realiza cada vez más de forma automática. El riesgo es que estos sistemas no se monitorean con suficiente atención para detectar tráfico anómalo o sospechoso que podría indicar la presencia de un intruso. Las soluciones de seguridad que ofrecen detección y respuesta avanzadas, así como funciones de seguridad especializadas de IoT, pueden ayudar en este sentido.
5. Servicios de Acceso Remoto. Las fuentes de energía renovables están muy dispersas y a menudo ubicadas en lugares aislados. Esto significa que necesitan algún tipo de acceso remoto para compartir datos y recibir instrucciones e informes, por ejemplo a través de servicios en la nube o VPN. Los servicios de acceso remoto son notoriamente vulnerables a los ciberataques y son esenciales medidas sólidas de autenticación y acceso.
6. Ubicación Física. Otro riesgo geográfico es que la ubicación puede ralentizar los tiempos de respuesta y recuperación después de un incidente. La logística de viajar hacia y desde un parque eólico marino, por ejemplo para reparar o volver a tomar imágenes de sensores, puede ser compleja, llevar mucho tiempo y ser costosa. Las personas que viajan a ubicaciones remotas no suelen ser profesionales de TI, por lo que es esencial una solución de seguridad que sea fácil de instalar y reemplazar por un profesional que no sea de seguridad. Un electricista necesita poder sustituir un electrodoméstico averiado un domingo por la noche.
7. Tráfico de red. Todos los datos que pasan por la red deben ser monitoreados y cifrados. En los sistemas de energía conectados, el tráfico de datos entre un dispositivo y la aplicación central a menudo no está cifrado y es vulnerable a la manipulación. Los atacantes pueden interceptar datos en reposo y en movimiento. O los ataques DoS sobrecargan los sistemas de tráfico.
8. Conexión a Internet. Las centrales eléctricas tradicionales, como las que funcionan con gas, normalmente no están conectadas a Internet y tienen la denominada infraestructura “air-gapped”, lo que reduce el riesgo de un ciberataque. Sin embargo, debido a que las fuentes de energía renovables están conectadas a Internet, generalmente no cuentan con esta protección. Todos los sistemas conectados a Internet deben estar protegidos.
9. Infraestructura de la red eléctrica obsoleta. En la mayoría de los países, una parte importante de la red eléctrica estará desactualizada y, por lo tanto, no podrá recibir actualizaciones de seguridad. La mejor forma de proteger estos sistemas es incorporarles medidas seguras de autenticación y acceso.
10. Falta de regulación y coordinación de seguridad. Para la seguridad a largo plazo, las leyes y regulaciones (como NIS 2.0 en Europa) deben garantizar que existan estándares estrictos para las instalaciones de energía renovable, sin importar cuán pequeñas sean. Además, la tecnología de energía renovable está evolucionando rápidamente y las cadenas de suministro son complejas, lo que puede generar confusión sobre quién es responsable de la seguridad. El modelo de “responsabilidad compartida” que se aplica a los proveedores de nube también podría ayudar en este sentido.
Seguridad sostenible
En cierto modo, los sistemas de energía renovable no son tan diferentes de otros sistemas de IoT. Los atacantes pueden buscar y atacar componentes vulnerables, software sin parches, configuraciones predeterminadas inseguras y conexiones desprotegidas. Se debe construir una industria de energía renovable sostenible y conectada con seguridad y ciberresiliencia desde el principio, y luego mantenerla de forma continua, paso a paso.
Proteger un entorno complejo no tiene por qué ser complicado. Vale la pena considerar SASE (Secure Access Service Edge), una solución integrada que conecta de forma segura personas, dispositivos y cosas a sus aplicaciones, sin importar dónde se encuentren. Si a esto le sumamos la segmentación de la red y la capacitación de los usuarios, las organizaciones tendrán una base sólida de resiliencia cibernética, no solo para prevenir un ataque, sino también para mitigar el impacto si ocurre un ataque.
Comentario de Stefan Schachinger, gerente senior de productos, seguridad de red en Barracuda Networks
Acerca de Barracuda Networks Barracuda se esfuerza por hacer del mundo un lugar más seguro y cree que todas las empresas deben tener acceso a soluciones de seguridad para toda la empresa habilitadas para la nube que sean fáciles de comprar, implementar y usar. Barracuda protege el correo electrónico, las redes, los datos y las aplicaciones con soluciones innovadoras que crecen y se adaptan a lo largo del viaje del cliente. Más de 150.000 XNUMX empresas en todo el mundo confían en Barracuda para poder concentrarse en hacer crecer su negocio. Para obtener más información, visite www.barracuda.com.
Artículos relacionados con el tema