Rosa Kariger es la máxima responsable de la ciberseguridad de Iberdrola y acaba de participar en la elaboración de una Guía para los consejos de administración, dentro de un grupo del Foro Económico Mundial.
¿Qué aporta la Guía?
La Guía que hemos preparado dentro del Grupo del Foro Económico Mundial ha sido un lujo, porque hemos reunido a expertos de todo el mundo. La madurez de la ciberseguridad industrial varía mucho por el tipo de regiones geográficas. No está igual en Estados Unidos o en Australia que en España. En Iberdrola, como tenemos la enorme suerte de estar en un montón de regiones, estamos viendo esos niveles de madurez, pero la Guía aborda unos temas específicos de nuestro sector, entre los que destaca la enorme interconectividad e interdependencia que tenemos entre los distintos agentes.
¿Cómo está Iberdrola?
Iberdrola, en lo que son sus capacidades internas, es una de las mejores prácticas en el modelo de gobierno, en el traslado de la responsabilidad a todos los ámbitos de la compañía. De hecho, hemos publicado dentro de la Guía un caso de buenas prácticas. Nos hemos dado cuenta de que no podemos garantizar la seguridad de nuestras infraestructuras por nuestra cuenta. Tenemos una interconexión muy grande y hay una interdependencia y un efecto cascada de todo el sector. Las grandes empresas, que tenemos más capacidad de inversión, establecimos esta Guía para que también las pequeñas empresas y los nuevos agentes que hay como el vehículo eléctrico, los prosumidores, tengan en cuenta estas recomendaciones. Solamente así podremos garantizar que si el de al lado está seguro, yo también lo estoy. Hoy en día mi riesgo se convierte en el tuyo.
¿Cómo lo valoran los consejos de administración?¿Asumen que es un riesgo?
En el año 2015, en Iberdrola se convirtió en uno de los principales temas de preocupación para nuestro consejo. Se aprobó una política de riesgos de ciberseguridad que, además, tiene un enfoque novedoso de todo el sector porque huye solo de la parte tecnológica y enfoca la ciberseguridad como un cambio cultural en la compañía, traslandando la responsabilidad a todos los ámbitos de gestión de uso de tecnología. Yo reporto trimestralmente al consejo y anualmente hay una formación específica para los consejos y eso está en la agenda muy presente.En España ha habido casos de captura de instalaciones por los que se han pagado rescates.
¿Ha existido algún caso en el sector eléctrico?
Todavía nada. Ransomware ha habido en todas partes y peticiones de rescate, pero creo que es un error. Desde luego conozco dos empresas que tienen su fondo de reserva y nosotros no nos planteamos en ningún momento pagar un rescate. Primero, porque no tenemos necesidad, pues normalmente un ransomware te paraliza una instalación cuando no tienes medidas de respaldo y nosotros sí tenemos medidas de respaldo. En segundo lugar, se está fomentando ese tipo de delincuencia y además no hay ninguna seguridad de que te liberen, pero sorprende que todavía haya empresas que en procesos críticos no tengan medidas de respaldo.
¿Han sufrido algún ataque de gravedad?
Intentos de ataque tenemos permanentemente, lo que pasa es que en lo que llaman incidentes cuenta el spam. Tenemos en distintos países situaciones geopolíticas que pueden estar afectando. Daño colateral. No nos atacan a nosotros, pero nos podemos ver afectados. Hay mucho intento de fraude a través del correo electrónico. La ingeniería social es bastante avanzada, pero gracias a Dios todavía no hemos tenido ningún incidente relevante que haya afectado a algún servicio crítico, ni a la continuidad de las instalaciones. Mientras que antes los incidentes físicos se trataban de un forma muy local, ahora para la parte ciber sí que nos podemos plantear un evento que nos afecte en varios países y regiones. Yo estoy dentro de la división de seguridad corporativa y una de las cosas diferenciales es que abordamos la seguridad de forma integral, combinando todos los aspectos. Nuestros atacantes también están combinando los ataques.¿Un 'pinchazo' de conversaciones entraría en esta protección?Combinan absolutamente todo. Los atacantes y las motivaciones no han variado desde el siglo pasado. Tenemos espionaje, fraude, activismo y sabotaje. Antes para el espinaje te metían a un tío con una camarita y ahora te cogen la captura de la cámara. Cambia el uso de la tecnología que hacen los delicuentes de a pie hasta los terroristas o los enemigos, pero están combinando eventos físicos y ciber. La propia ingeniería social que estamos viendo no se limita al correo, están utilizando llamadas telefónicas a las personas. Por eso tenemos un servicio de vigilancia externo con el que vigilamos los correos de nuestros clientes para saber que no les han quitado las credenciales.
¿Cómo es la seguridad de las nucleares? ¿Está controlada?
Está absolutamente controlada. Tenemos el nivel platino. En cualquier central hay dos redes: la corporativa y la de operación. Los empleados para acceder a un correo entran en una red y para la operación, en otra. Hay segmentación total. Y aparte hay sistemas de detección de intrusiones, de anomalías y básicamente es un inventario de qué equipos se conectan, cuándo y porqué, y si eso varía, salta la alarma. Es más fácil la detección en sistemas de control industrial, porque la dispersión en la parte corporativa se complica muchísimo.