En su momento se le consideró el mayor ciberataque exitoso a la infraestructura petrolera en la historia de Estados Unidos. En mayo pasado se cumplieron dos años de las afectaciones que sufrió Colonial Pipeline como consecuencia de un ataque de malware que obligó a esta empresa a cerrar sus sistemas.
Colonial Pipeline opera un oleoducto considerado estratégico para el vecino país del norte, pues transporta en promedio tres millones de barriles de combustible al día en su ruta de Houston, Texas, a Nueva York, surtiendo a los estados del sur, con ramificaciones a parte de la costa atlántica.
De acuerdo con la Oficina Federal de Investigaciones (FBI), el ciberataque fue perpetrado por un grupo de crimen organizado denominado DarkSide, cuyo objetivo eran datos corporativos deficientemente protegidos. Se habla que ya había extraído 100 GB de datos de los servidores de esta entidad en la víspera del ataque de malware.
Volver a abordar un incidente de estas dimensiones, que en su momento captó la atención de los medios y del propio gobierno de Estados Unidos, que lo llevó a declarar el estado de emergencia, es fundamental para recordar que las empresas del sector de energía, petróleo y gas, siguen siendo blanco de ataque constante de amenazas que buscan desestabilizar la infraestructura crítica de muchos países en el mundo.
Es importante dimensionar sus repercusiones, pues no solamente pueden paralizar las operaciones de empresas clave, sino que también afectan directamente a los consumidores, quienes no pueden tener acceso a combustibles, energía, agua o alimentos, e incluso se puede poner en riesgo sus vidas, en el peor de los escenarios.
Después de la tormenta
El desafortunado caso de Colonial Pipeline detonó los esfuerzos para crear un marco sobre el cual se basarían las estrategias de protección para sectores como el de energía, petróleo y gas. Fue el germen de la Ley de Ciberseguridad en Estados Unidos que sigue en discusión en las instancias legislativas de aquel país, y que incluye la obligatoriedad de notificar al gobierno federal, en un plazo de 24 a 48 horas, cualquier ataque cibernético.
A esto se suma el hecho de que las organizaciones que cedan a sobornos o paguen por el secuestro de su información son consideradas como empresas que no colaboran con el gobierno, y si en un momento dado requieren de apoyo de las autoridades, este será muy limitado. Y más aún, se les recrimina que financian las actividades de los ciberdelincuentes y grupos del crimen organizado.
Y más allá del ataque de ransomware per se, la crisis cibernética que afectó a Colonial Pipeline marcó un cambio de paradigma en el sector de energía, petróleo y gas. Puso el foco en la desagregación que caracteriza a muchos de sus jugadores.
En el caso, por ejemplo, de la industria petrolera, sus instalaciones están distribuidas en altamar y en tierra, ya sea como plataformas, yacimientos, campos, refinerías y centros de distribución. En tanto, los generadores de energía gestionan centrales hidroeléctricas, termoeléctricas de combustibles fósiles, geotérmicas, termoeléctrica y termonucleares, entre otros tipos.
Esta dispersión geográfica se convierte entonces en un factor de riesgo, pues las operaciones de protección no se centralizan en un entorno corporativo. Esto es, que las “joyas de la corona” no viven en ese entorno, sino en uno disgregado, lo que torna las estrategias de seguridad más complejas ya que cada localidad requiere de protección a la medida.
Este escenario apela al concepto de offshoring desde una perspectiva de negocios que debería extender la estrategia de ciberseguridad a las distintas locaciones, acorde al lugar donde se encuentra. Desde una plataforma petrolera marítima, la extracción de gas y petróleo en un campo terrestre, una termoeléctrica en una presa, o una central de distribución de combustible o electricidad, cada aporta un proceso de negocio distinto a la cadena de valor del negocio.
Mayor foco en seguridad
Los ciberataques a Colonial Pipeline es sólo la punta del iceberg. A lo largo de los últimos años empresas como el proveedor de combustible Oiltanking Deutschland GmbH, la compañía que explota el petróleo saudí dedicada al petróleo, gas y productos petroquímicos Saudi Aramco, y la petrolera estatal mexicana Pemex han sido víctimas de serias amenazas. En el caso de Pemex, sufrió en 2019 un sonado ciberataque que afectó parte de sus sistemas de cómputo y se le exigía 5 millones de dólares en bitcoins.
Como respuesta, varios de los jugadores de la industria han puesto mayor atención a sus estrategias de seguridad, apuntalándolas por importantes inversiones. Por ejemplo, la compañía de petróleo estatal de Noruega Equinor ha invertido más de $554 millones de dólares en acuerdos de ciberseguridad y automatización, así como en la transformación digital. Recientemente, Pemex echó a andar su Centro de Datos Principal, con el que fortalecerá su seguridad cibernética y afrontará los 100,000 millones de ataques que recibe anualmente.
Estos y otros casos ejemplifican el lugar preponderante que ocupa hoy la ciberseguridad en este sector y cómo se están focalizando los esfuerzos estratégicos y de inversión no solamente a escala local sino corporativo.
Asimismo, se han creado estándares y marcos de ciberseguridad que encajan perfectamente en la naturaleza de las compañías de energía, petróleo y gas, como son ISO 27001 para entornos industriales, y el estándar ISA/IEC 62443 de ciberseguridad para la automatización industrial. También destaca el ¿Recuerdas la crisis cibernética que afectó a Colonial Pipeline? A dos años del suceso hacer un repaso es fundamental. Esta semana te invito a conocer algunas claves para endenderla. (CSF) que permite a las organizaciones medir y elevar su nivel de madurez de ciberseguridad y que recientemente llegó a su segunda iteración (NIST 2.0).
A dos años de la grave situación vivida por Colonial Pipeline, sin duda las posturas de ciberseguridad han mejorado, al igual que las normativas, que contemplan el pago de millonarias penalizaciones a las empresas que no toman consciencia sobre la implementación efectiva de estrategias de ciberseguridad.
Al mismo tiempo, el concepto de offshoring para llevar la protección a las instalaciones ampliamente distribuidas está considerando la cadena de valor de las propias organizaciones del sector, independientemente de su naturaleza privada o pública, y considerando en todo momento el potencial impacto en el negocio.