Los delitos informáticos están experimentado una tendencia creciente en los últimos años en todo el mundo. Una de las causas es el uso cada vez mayor de las Tecnologías de la Información y de la Comunicación (TIC), Si bien están revolucionando la manera de intercambiar información a través de las redes desde cualquier lugar del planeta, también han abierto la puerta a un tipo de delincuencia que, amparada en el anonimato, es capaz de vulnerar este tipo de sistemas con el objeto de recabar información, sustraer activos de gran valor y amenazar los servicios básicos, lo que conlleva serias amenazas para los sectores público y privado, los ciudadanos y el funcionamiento normal de un país.
Uno de los sectores más afectados por incidentes relacionados con la ciberseguridad es el energético. Según un informe del World Energy Council (WEC), el 80% de las compañías petroleras y de gas han visto un incremento en el número de ciberataques el pasado año.
En el caso de España, según el Centro Nacional de Protección de Infraestructuras Críticas (CNPIC) a través del Centro de Respuesta a Incidentes de Seguridad TIC de Seguridad e Industria (CERTSI), de los 130 incidentes de ciberseguridad gestionados el pasado año contra infraestructuras críticas -entendidas como aquellas que dan o proveen servicios básicos a la población-, un total de 46, el 35%, pertenecen al sector de la energía. Las previsiones apuntan a que en 2016 el número de ciberataques contra este tipo de infraestructuras en todos los sectores podría alcanzar los 300.
Este asunto se ha convertido en foco de preocupación por parte de los legisladores y en el segundo motivo de amenaza para el 70% de los consejeros delegados de las grandes corporaciones de los principales sectores de la economía. En el caso del energético, el ataque sobre un sistema operativo podría causar el cierre completo de la infraestructura, provocando disrupciones económicas o financieras, un daño ambiental masivo e, incluso, la pérdida de vidas humanas, lo que le hace especialmente atractivo para los cibercriminales.
El informe del WEC estima que, en 2018, las compañías de petróleo y gas podrían afrontar gastos de hasta 1.870 millones de dólares para protegerse contra riesgos cibernéticos. Sólo en Europa, se espera que el gasto alcance los 564 millones de dólares anuales en este 2016.
Existen numerosos ejemplos de ciberataques con objetivos energéticos. En agosto de 2012, la petrolera Saudí Aramco sufrió un ataque de malware, un virus que infectó a más de 30.000 ordenadores, destruyendo el 85% del hardware de la compañía. En diciembre de 2015, el ataque sincronizado y coordinado contra tres compañías de electricidad ucranianas, que también fueron infectadas con el virus malware, provocó un apagón de seis horas que afectó a 80.000 clientes.
En enero de 2016, se produjo un ciberataque contra la Autoridad Eléctrica Israelí, por la que algunos de sus sistemas estuvieron inoperativos durante dos días, en un momento en que se estaban consumiendo cifras récord de electricidad, debido a las bajas temperaturas.
El aumento en la frecuencia y en el número de ciberataques, así como la sofisticación de los mismos, hace necesaria la existencia de profesionales especializados en esta materia.
Según un documento del Instituto Nacional de Seguridad (Incibe), la oferta disponible de expertos no ha crecido al mismo ritmo que la demanda, una carencia que la Comisión Europea cuantifica en 825.000 profesionales para 2025 en el conjunto de la Unión y que aumentará en los próximos años si no se toman las medidas necesarias.
Algunas fuentes aseguran que en 2019 habrá 6 millones de puestos de trabajo relacionados con la ciberseguridad, de los que un millón y medio quedarán sin cubrir.
La Directiva NIS
España cuenta con diversas normativas en materia de ciberseguridad -Ley de Protección de Infraestructuras Críticas, Ley de Protección de Datos, Estrategia de Ciberseguridad, etc.-, pero faltaba una norma a nivel europeo capaz de armonizar todas las legislaciones en esta materia entre los Estados miembros.
Después de tres años de discusión, el pasado 6 de julio el Parlamento Europeo aprobaba la Directiva NIS (Network and Information Security, sus siglas en inglés) -publicada en el Diario Oficial de la UE el 19 de julio y en vigor desde el 8 de agosto-, que establece unos estándares comunes de seguridad cibernética y fomenta la cooperación entre los países comunitarios para prevenir los ciberataques. Los Estados miembros tendrán 21 meses para transponer la nueva normativa a sus ordenamientos jurídicos.
Se trata de un primer intento por parte de la UE de consolidar medidas para proteger a los operadores de servicios esenciales de varios sectores -incluido el energético- ante ciberataques. Según Alejandro Sánchez, experto en Políticas de Ciberseguridad en FTI Consulting, "estos operadores quedarán sometidos a nuevos requisitos en materia de seguridad y notificación de incidentes. Deberán reforzar su capacidad de resistencia ante amenazas cibernéticas con el diseño de planes de respuesta y establecer canales de interlocución continua con las entidades estatales encargadas de velar por la norma".
Sin embargo, la ambigüedad de algunos aspectos de la Directiva están generando gran inquietud en todos los sectores. Por una parte, respecto al régimen sancionador en el supuesto de una infracción de la norma, "ya que la Directiva deja a los Estados miembros la responsabilidad de desarrollar el régimen aplicable, para lo que disponen hasta el 8 de mayo de 2018", señala Sánchez; y, por otra, en relación al mecanismo de notificación de un incidente en la seguridad cibernética de una empresa. Sobre esta cuestión, "la Directiva prevé la notificación de la información a la autoridad competente, quien determinará el alcance transfronterizo del caso e informará a los Estados miembros que se vean afectados, pero no concreta las condiciones bajo las cuales la autoridad competente tendrá que notificar públicamente un incidente".
Para la correcta aplicación de la normativa, la Agencia Europea de Seguridad en la redes (Enisa) coordinará la labor de cada uno de los Estados miembros. "Sus representantes se reunirán cada seis meses en Bruselas donde pondrán encima de la mesa su listado de infraestructuras críticas, el tipo de sanciones impuestas y qué tipo de protocolo de notificación han establecido", explica Sánchez. Además, ante un ciberataque de grandes dimensiones, la Directiva establece que se realice una auditoría por parte de terceros, donde se analicen los posibles fallos cometidos a la hora de cubrir las cibervulnerabilidades, así como los planes para evitar estos ataques.
Las principales compañías energéticas españolas ya cuentan con planes de actuación en materia de ciberseguridad. De hecho, en opinión de Blanca Perea, directora de Energía de FTI Consulting, "la ciberseguridad está subiendo puestos en los consejos de administración de las compañías energéticas".
En el caso de Endesa, cada una de sus instalaciones contiene el conjunto integral de medidas de seguridad cuyos planes han sido aprobados por la secretaría de Estado de Seguridad. En materia de ciberseguridad, su principal objetivo radica en la monitorización continua de los parámetros de seguridad de los sistemas de control industrial para prevenir y responder adecuadamente ante las ciberamenazas.
Gas Natural Fenosa está desplegando un plan de ciberseguridad que va más allá del alcance definido por la legislación europea y que se inició hace casi cuatro años, cuando integraron la seguridad física con la ciberseguridad y la seguridad de la información.
Las acciones que EDP está llevando a cabo están relacionadas con el plan de acciones propuestas en los Planes de Protección Específicos (PPE) de Infraestructuras Críticas (IICC), y con las que afectan a las políticas de seguridad más globales. Por su parte, Iberdrola cuenta con una política de riesgos de ciberseguridad, aprobada por el Consejo de Administración de la compañía, que establece un marco global para controlar y gestionar los riesgos de ciberseguridad, aplicable a todas las sociedades del grupo.
Mientras, Viesgo tiene aprobado el Plan de Seguridad del Operador (PSO) como los PPE y abiertos canales con las autoridades españolas (CNPIC/Incibe) para notificar a los organismos estatales los incidentes de seguridad para su adecuada gestión. El Plan Director de Seguridad de Enagás se revisa cada año y contempla la identificación, implantación y seguimiento de los proyectos de ciberseguridad.
