Los profesionales de la energía creen que es probable que los ataques cibernéticos a la industria causen daños a la vida, la propiedad y el medio ambiente en los próximos dos años.
Una nueva investigación publicada por DNV, el proveedor independiente de control de calidad y gestión de riesgos, revela que los ejecutivos de energía prevén ciberataques que comprometerán la vida, la propiedad y el medio ambiente en el sector en los próximos dos años.
The Cyber Priority , un informe de investigación que explora el estado de la seguridad cibernética en el sector energético, encuentra que más de las cuatro quintas partes de los profesionales que trabajan en los sectores de energía, energías renovables y petróleo y gas creen que es probable que un ataque cibernético en la industria cause paradas operativas (85%) y daños a los activos de energía e infraestructura crítica (84%). Tres cuartas partes (74%) esperan que un ataque dañe el medio ambiente, mientras que más de la mitad (57 %) anticipa que provocará la pérdida de vidas.
La investigación de DNV se basa en una encuesta a más de 940 profesionales de la energía de todo el mundo y entrevistas en profundidad con ejecutivos de la industria.
Más presión tras la guerra
Los crecientes temores sobre las consecuencias nuevas y más extremas de los ataques cibernéticos siguen a una serie de violaciones de seguridad de alto perfil en la industria energética en los últimos años. La investigación de DNV también indica que la preocupación por las amenazas emergentes ha aumentado tras la invasión rusa de Ucrania. Dos tercios (67%) de los profesionales de la energía dicen que los recientes ataques cibernéticos en la industria han llevado a sus organizaciones a realizar cambios importantes en sus estrategias y sistemas de seguridad.
“Las empresas energéticas han estado abordando la seguridad de TI durante varias décadas. Sin embargo, asegurar la tecnología operativa (OT), los sistemas informáticos y de comunicaciones que administran, monitorean y controlan las operaciones industriales, es un desafío más reciente y cada vez más urgente para el sector”, dijo Trond Solberg, director general de Seguridad Cibernética de DNV.
“A medida que OT se vuelve más interconectado y conectado a los sistemas de TI, los atacantes pueden acceder y controlar los sistemas que operan infraestructura crítica, como redes eléctricas, parques eólicos, oleoductos y refinerías. Nuestra investigación encuentra que la industria de la energía se está dando cuenta de la amenaza de seguridad de OT, pero se deben tomar medidas más rápidas para combatirla. Menos de la mitad (47 %) de los profesionales de la energía creen que su seguridad de TO es tan sólida como su seguridad de TI”, agregó Solberg .
Lo mejor, enemigo de lo bueno
Seis de cada diez encuestados de nivel C-suite en la encuesta de DNV reconocen que su organización es más vulnerable a un ataque ahora que nunca. Sin embargo, hay señales de que algunas empresas están adoptando un enfoque de “esperar, ver y desear lo mejor” para hacer frente a la amenaza.
Menos de la mitad (44 %) de los encuestados creen que necesitan realizar mejoras urgentes en los próximos años para evitar un ataque grave a su negocio, y más de un tercio (35 %) de los profesionales de la energía dicen que su empresa necesitaría verse afectados por un incidente grave antes de invertir en sus defensas.
Una explicación de la aparente vacilación de algunas empresas para invertir en seguridad cibernética puede ser que la mayoría de los encuestados cree que su organización hasta ahora ha evitado un ataque cibernético importante. Menos de una cuarta parte (22 %) sospecha que su organización ha sido objeto de una infracción grave en los últimos cinco años.
“Es preocupante descubrir que algunas empresas energéticas pueden estar adoptando un enfoque de ‘esperar lo mejor’ para la seguridad cibernética en lugar de abordar activamente las amenazas cibernéticas emergentes. Esto presenta distintos paralelismos con la adopción gradual de prácticas de seguridad física en la industria energética durante los últimos 50 años”, dijo Solberg .
“Se necesitaron eventos trágicos como el incidente de Piper Alpha en 1988 y el desastre de Macondo en 2010 para que la industria priorizara e institucionalizara los protocolos de seguridad globales y para que se implementara una regulación más estricta. Nuestra investigación da una fuerte señal de que la industria necesita hacer inversiones urgentes para garantizar que la seguridad cibernética no se convierta en la causa de futuros daños a la vida, la propiedad y el medio ambiente”, agregó Solberg .
Los puntos ciegos de la cadena de suministro causan preocupación
DNV recomienda que el primer paso para fortalecer las defensas sea identificar dónde la infraestructura crítica es vulnerable a los ataques. Cyber Priority revela que, si bien muchas organizaciones están invirtiendo en el descubrimiento de vulnerabilidades, estos esfuerzos no se están extendiendo lo suficiente para incluir a las empresas con las que se asocian y de las que obtienen.
Solo el 28% de los profesionales de la energía que trabajan con OT dicen que su empresa está haciendo de la seguridad cibernética de su cadena de suministro una alta prioridad para la inversión. Esto contrasta con el 45% de los encuestados que operan OT que dicen que el gasto en actualizaciones del sistema de TI es una alta prioridad de inversión.
“Las empresas de energía pueden tener una supervisión completa de sus propias vulnerabilidades y contar con todas las medidas adecuadas para administrar el riesgo, pero eso no hará la diferencia si hay vulnerabilidades no descubiertas en su cadena de suministro. Nuestra investigación identifica el ‘acceso remoto a los sistemas OT’ entre los tres métodos principales para posibles ataques cibernéticos en la industria energética. Instamos al sector a que preste mayor atención para garantizar que los vendedores y proveedores de equipos demuestren el cumplimiento de las mejores prácticas de seguridad desde las primeras etapas de adquisición”, dijo Jalal Bouhdada, fundador y director ejecutivo de Applied Risk, una empresa de seguridad cibernética industrial adquirida por DNV en 2021.