Kenneth Pugh.
¿Por qué es importante preocuparse de la ciberseguridad del sector eléctrico?
El sector eléctrico es una parte muy relevante de toda la infraestructura crítica nacional, debido a la interdependencia e interconexiones que existen en él. No solo la población depende de este, sino que, además, muchísima otra infraestructura crítica, dado que la autonomía eléctrica de parte de esta es escasa o limitada, e incluso esta misma capacidad de respaldo debe ser protegida de los ciberataques.
Un dato relevante es que los ciberataques son hoy el cuarto riesgo más grave y de mayor probabilidad de ocurrencia en el mundo, de acuerdo al Informe de Riesgos Globales 2020 actualizado anualmente por el Foro Económico Mundial.
¿En qué nivel se encuentra el sector eléctrico chileno en lo relativo a ciberseguridad?
Al igual que en muchos países del mundo, las inversiones en ciberseguridad dentro de las empresas que comprenden la infraestructura crítica ha sido limitada, tanto en equipamiento, como en capacitación y formación de talento humano propio. La transición digital que ha tenido este sector ha sido diferente en cada una de sus áreas, lo que genera procesos de madurez distintos. Algunas se han quedado en la parte inicial de la transformación digital con sistemas industriales SCADA y PLC, sin redes especiales y aisladas, con criptografía en protección especial de ciberseguridad.
Dentro de los aspectos importantes a considerar destaca el establecimiento de una coordinación a nivel sectorial, con un CSIRT especializado; la participación en ejercicios nacionales e internacionales; y también la incorporación de expertos en ciberseguridad en los respectivos gobiernos corporativos.
En ese sentido, ¿es suficiente la normativa existente al respecto?
La normativa para un área que está en evolución y cambio permanente nunca será suficiente, por lo que es importante adherir a estándares industriales reconocidos y aceptados, y basarse en ellos, como, por ejemplo, la norma NIST o las que existen especialmente para este sector y que son empleadas en otros países.
Lo importante es que exista un normador único para todos los mercados regulados, que sea capaz de lograr la integración de la información para enfrentar las amenazas que requieren de respuesta inmediata. Esto es parte de la nueva institucionalidad nacional de ciberseguridad.
¿Chile cuenta con un aparato estatal preparado para reducir los riesgos del sistema eléctrico?
Chile está madurando y transitando hacia un estado de mayor ciberseguridad, en base al marco jurídico y regulatorio que se ha ido desarrollando, junto con la implementación de gestión de los ciber riesgos en los diferentes sectores. Así al menos lo refleja el índice anual de la academia de gobierno digital, medido en Estonia, donde se observa el aumento gradual en esta métrica.
Sin embargo, nos encontramos aún con una gobernanza transitoria, por lo que se requiere avanzar en una institucionalidad definitiva, con la separación del Ministerio de Interior del de Seguridad Pública, para abordar de forma integral la “seguridad multidimensional”, que es la esencia para la protección de la infraestructura crítica, dado que comprende no solo el resguardo de lo físico, sino también de lo digital y de las personas.
¿Qué debería hacer el Estado en este tema? ¿Regulaciones y normativas más exigentes?
El Estado debe avanzar hacia una “República Digital”, para así permitir el desarrollo de una “Sociedad Digital Segura”, partiendo de una buena identidad digital y redes seguras al estilo de X-Road en Estonia, así como también apuntar al uso de bases de datos protegidas con tecnologías como Blockchain u otras mejores, en base a un modelo de interoperabilidad que facilite la relación entre el Gobierno y las industrias reguladas.
El Estado también debe contar con un organismo coordinador de ciberseguridad, que permita que la normativa sea homologada para todos los sectores, tanto públicos como privados y de una agencia externa, de las ya existentes, que pueda revisar el cumplimiento de estas normas.
¿Es necesario impulsar la preparación del talento humano en este campo?
El déficit de profesionales en ciberseguridad es muy grande, no solo en Chile sino en el mundo entero. Esto ha motivado a varias universidades a adaptar sus mallas y ofrecer carreras de pregrado y postgrado para proveer de estos especialistas, pero persiste aún la gran brecha de género de mujeres en Ciencias de la Computación, y más aún en ciberseguridad donde representan solo un 10%.
Las empresas del sector eléctrico pueden contribuir significativamente a la formación de este capital humano, incorporando más y mejores profesionales, pero especialmente mujeres, que pueden contribuir significativamente a la protección de estas infraestructuras críticas.
¿Cómo calificaría la respuesta de la industria eléctrica en esta área? ¿Se ha preparado de manera suficiente?
El sector industrial eléctrico nacional ha sido un ejemplo de respuesta ante la necesidad de madurar en temas de transformación digital con ciberseguridad. No tengo dudas de que será un referente nacional cuando se establezca la nueva institucionalidad con la ley específica que permita proteger la infraestructura crítica nacional.
Espero que los actores de este sector puedan comenzar a desarrollar ejercicios nacionales para validar la capacidad de los equipos de respuesta y se entrenen en las nuevas amenazas, para así contribuir con este importantísimo sector en la materialización anual de la Ley 21.113 durante octubre, mes Nacional de la Ciberseguridad.