Lonnie Ratliff es el director de Certificación y Cumplimiento de NERC (North American Electric Reliability Corporation), organización sin fines de lucro con sede en Atlanta, Georgia, Estados Unidos, que se ocupa de la seguridad y la confiabilidad del sistema eléctrico en América del Norte.
En octubre de 2023, Ratliff estuvo en Chile para participar en la Primera Conferencia Internacional de Ciberseguridad e Infraestructura Crítica Eléctrica, organizada por el Coordinador Eléctrico Nacional.
Desde Estados Unidos, el experto habló con Revista Electricidad sobre las acciones que está desarrollando el NERC para el aseguramiento de la estabilidad del sistema eléctrico en ese país.
¿Cómo surgió la necesidad de contar con un estándar de ciberseguridad e infraestructura crítica como NERC CIP para Estados Unidos?
La sección 215 de la Ley Federal de Energía (FPA) de EEUU exigía que una Organización de Confiabilidad Eléctrica (ERO, Electric Reliability Organization) certificada por la Comisión Federal Reguladora de Energía (FERC, por su sigla en inglés) desarrollara estándares de confiabilidad obligatorios y ejecutables. NERC fue seleccionado como ERO por la FERC en julio de 2006. Antes de eso, NERC había desarrollado un estándar voluntario de seguridad cibernética, que la industria implementó para abordar las crecientes preocupaciones de seguridad cibernética. Este estándar voluntario fue la base para los primeros estándares obligatorios de seguridad cibernética aprobados en julio de 2008, conocidos como estándares de protección de infraestructura crítica (CIP).
¿Cuál es el objetivo principal de la norma NERC-CIP, con relación al mercado eléctrico estadounidense?
La industria eléctrica de EEUU es la única infraestructura crítica que tiene estándares de confiabilidad obligatorios y ejecutables, incluidos los estándares CIP de NERC. Estos estándares proporcionan un marco de seguridad física y cibernética para identificar e implementar controles de seguridad fundamentales para activos críticos que pueden afectar el sistema de energía a granel de América del Norte a través de la pérdida, el compromiso o el uso indebido de esos activos. Las normas identifican los controles necesarios; establecer perímetros físicos y electrónicos para los activos cibernéticos; y requieren planes de recuperación, informes de incidentes y evaluaciones de vulnerabilidad. Además de los estándares, NERC también proporciona alertas, pautas y seminarios web, así como intercambio constante de información con la industria y otras partes interesadas a través del Centro de Análisis e Intercambio de Información sobre Electricidad de NERC.
Es importante señalar que el sistema eléctrico masivo de Estados Unidos está interconectado con Canadá y, en menor grado, con México. La electricidad no respeta fronteras geográficas, por lo que un problema en los Estados Unidos fácilmente podría convertirse en un problema en Canadá; por eso, este enfoque holístico de la seguridad física y cibernética es imperativo para garantizar una red interconectada más confiable y sostenible.
En su opinión, ¿qué beneficios o avances ha traído la implementación del estándar NERC-CIP a la operación de los sistemas eléctricos de Estados Unidos? Por ejemplo, respecto de frecuencia o gravedad de incidentes u otros aspectos.
Si bien hemos visto un aumento en la actividad de seguridad física y cibernética, Estados Unidos, hasta la fecha, no ha experimentado un apagón en cascada incontrolado, inestabilidad o colapso de voltaje en el sistema eléctrico atribuido a un ataque a la seguridad. Con el panorama de seguridad cambiante, los estándares CIP de NERC son clave para brindar la protección necesaria a nuestros activos críticos. La seguridad de la red sigue siendo una prioridad clave para NERC.
¿Tiene una apreciación sobre cómo en Chile se ha abordado la implementación del estándar de ciberseguridad e infraestructura crítica NERC-CIP? ¿Qué recomendaciones podría dar a nuestro país en la materia?
Mi opinión es que Chile está avanzando a un ritmo de implementación reflexivo e informado. Apreciamos las muchas interacciones que hemos tenido con el Coordinador Eléctrico Nacional y su plan deliberado de implementación de estándares de infraestructura crítica y ciberseguridad. Chile debería continuar invirtiendo en recursos de ciberseguridad, ya que la implementación de controles de ciberseguridad requiere experiencia técnica especializada y mucha colaboración con la industria, las universidades y los proveedores. El Coordinador Eléctrico está utilizando las muchas lecciones aprendidas de América del Norte a medida que continúa implementando estándares de infraestructura crítica y mejorando sus estándares para garantizar agilidad, eficiencia y resiliencia. Mantener las luces encendidas es una tarea de enormes proporciones, pero todos estos esfuerzos deliberativos e informados son fundamentales. El trabajo es demasiado importante para nuestros dos países: nuestros ciudadanos dependen de nosotros.