Para fines de este año, se proyecta que la capacidad de Energía Renovable No Convencional (ERNC) instalada proporcionará un 27,3% de la generación mundial de electricidad. A nivel local, en enero alcanzamos casi 27% de la matriz energética con energías renovables y la meta es llegar a 90% para 2040. En Chile, como en la mayoría de los países, ahora es más rentable producir electricidad a partir de energía eólica y solar fotovoltaica que de nuevas centrales eléctricas de carbón, lo que hace que las ofertas en los procesos de licitación estén alcanzando niveles récord. Nuestro país aumentó 302% su inversión en ERNC en el último año.
Por lo anterior, cuidar la operación de las ENRC es de vital importancia. El rápido crecimiento del despliegue de la capacidad de las energías renovables ha ido acompañado de una evolución de los modelos de negocio, las presiones de los costos y el panorama normativo. Desde el punto de vista tecnológico, el sector está avanzando en la automatización y digitalización de los procesos, lo cual hará invariablemente, si no se consideran desde el inicio una estrategia adecuada (security-by-design), que crezcan también los riesgos de ciberseguridad.
La ciberseguridad supone un serio reto para los operadores de energías renovables. Muchos de los sistemas actualmente en uso se construyeron priorizando la eficiencia sobre la seguridad y la mayoría de los operadores de energías renovables tienen importantes lagunas en materia de seguridad técnica, humana y de procesos. Estas lagunas pueden ser explotadas en toda la cadena de valor de las energías renovables por parte de diversos atacantes. Las brechas también crean el riesgo de acciones involuntarias pero perjudiciales por parte del personal de la empresa operadora y de sus terceros. Esto puede causar importantes consecuencias a las compañías, como pérdida de producción e ingresos; daños en los activos e infraestructuras; filtración de información comercial sensible; y los consecuentes daños a la reputación.
Para mitigar estos riesgos, los operadores de energías renovables necesitan desarrollar una clara comprensión de su riesgo en ciberseguridad, aplicar medidas de mitigación y evolucionar su enfoque de ciberseguridad junto con el panorama de las ciberamenazas que le son aplicables. En ese sentido, aunque los operadores de energías renovables están aumentando su compromiso e inversión en ciberseguridad, siguen existiendo retos que impiden a los equipos de seguridad seguir el ritmo de evolución de las ciberamenazas.
El aumento de la supervisión y el control electrónicos de energías renovables a escala de los servicios públicos y en el despliegue de dispositivos de borde crea nuevos puntos de entrada para los ciberataques a los activos de las energías renovables. En el ámbito de la energía solar, la mayor adopción de inversores inteligentes de comunicación bidireccional sin normas de comunicación sólidas introduce vulnerabilidad. Asimismo, los débiles controles de ciberseguridad de los sensores de las turbinas eólicas dejan a los operadores de energía eólica expuestos a nuevas amenazas cibernéticas. El auge del internet de las cosas (IoT) y la hiperconectividad significa un gran número de dispositivos que se conectan a internet directamente, con lo cual la superficie de ataque disponible para los actores maliciosos está creciendo constantemente. Por otro lado, el descubrimiento de dispositivos y la visibilidad cibernética son cada vez más complejos. Los activos de las energías renovables están dispersos geográficamente, en su mayoría sin personal, y tienen una fuerza de trabajo que a menudo incluye a múltiples terceras partes en lugares remotos.
La realidad de ciberseguridad que se puede encontrar en terreno es que hay muchas herramientas de seguridad disponibles que no están bien integradas, son inflexibles y se vuelven rápidamente anticuadas. Estas herramientas suelen ser de instalación y mantenimiento complejos y laboriosos. Generan grandes volúmenes de datos sin contexto ni priorización, lo que requiere un importante tiempo para extraer información útil. Las dificultades técnicas se ven agravadas por la escasez de expertos en seguridad operativa, debido a la baja inversión de la industria en este ámbito. Esto es un área de preocupación a medida que la automatización de la infraestructura de las energías renovables aumenta, así como las potenciales brechas de seguridad.
Para enfrentar este escenario, los operadores de energías renovables deben invertir en velocidad operativa, es decir, en la velocidad de detección de brechas, recuperación y respuesta, y medir el éxito de su capacidad de recuperación. En estudios realizados a las empresas líderes en detección, respuesta y recuperación en ciberseguridad, se evidencia que es necesario invertir en tecnologías avanzadas como un firewall de próxima generación, inteligencia artificial (IA) y automatización. Estas tecnologías pueden ayudar a reducir el número de ataques exitosos, el impacto y el costo de éstos. Además, es clave escalar las inversiones en tecnología de seguridad, entrenando al personal y con una colaboración más estrecha con los stakeholders, tanto internos como externos.
Las inversiones en ciberseguridad traen importantes beneficios para los operadores de energías renovables. En primer lugar, un sólido marco de ciberseguridad permite la recopilación centralizada y segura de datos de las operaciones para acumular un historial de activos y facilita el desarrollo de capacidades de mantenimiento predictivo. Así también, una mayor visibilidad de la red OT puede ayudar a la excelencia operativa a través de una identificación más rápida de posibles interrupciones de procesos.
En la seguridad de proyectos de energías renovables debe evaluarse y priorizarse en cada fase del ciclo de vida del proyecto y en todas las iniciativas o soluciones empresariales desde su inicio y no como un agregado sin contexto al final. Desde la construcción y puesta en marcha de nuevas plantas hasta la adopción de tecnologías emergentes como la IA, el aprendizaje automático y la analítica avanzada, la seguridad debe estar integrada en todos los procesos.
La ciberseguridad debe integrarse en las actividades de las energías renovables, desde el diseño de cada proyecto (security-by-design). La resiliencia de las energías renovables es más importante que nunca, y la ciberseguridad está en el centro.