2016 ha sido el año de las noticias falsas, la muerte de grandes estrellas y los ciber ataques a importantes grids eléctricos de varios países. El mayor, en Estados Unidos donde el Washington Post publicaba que una comercializadora de Vermont había sido hackeada por piratas rusos. La noticia, era falsa.
¿Debe el gestor energético preocuparse por la seguridad del sistema de eficiencia energética? Abrazar un mundo cada vez más conectado gracias a los dispositivos IoT o los planes de industria 4.0 supone que exponemos los edificios a nuevas vulnerabilidades. En este articulo examinamos qué deben tener en cuenta los facility managers y energy managers a la hora de pensar en la seguridad de sus sistemas. Algo importante a la hora de elegir un software de gestión energética…
Seguridad y Smart Grids ¿amenaza real?
Volviendo a la comercializadora de Vermont. Como el ordenador infectado NO estaba conectado al grid, el periódigo Washington Post admitió que la historia no se había contado de forma correcta. Pero, la infraestructura americana de electricidad parece estar en «peligro inminente» según muchos otros informes. Se cree que China, Rusia y otros tantos países están intentando infectarlas con software maligno desde 2009.
Pero EEUU no es el único país enfrentándose a estas amenazas a la seguridad de sus grid energéticos. Ucrania sufrió una brecha en los datos energéticos en diciembre de 2015. ¿Las consecuencias? El grid se debilitó y causó apagones en partes de Kiev. El gobierno ucraniano ha recibido más de 6.500 ciberataques en sus instituciones en menos de 2 meses (en 2016). Turquía e Israel también se han enfrentado a ataques el año pasado lo que supuso la paralización de cientos de máquinas del grid eléctrico de dichos países.
Este aumento de los ataques online a los smart grids podría ser una fuente de preocupaciones para el gestor energético. Cuando trabajamos los planes de gestión energética estamos entre la espada y la pared: hay que estar al día tecnológicamente, pero también hay que evitar ser vulnerable. La transformación digital de los grids es imparable. La frecuencia e importancia de las amenazas de seguridad seguirá aumentando.
¿Y qué pasará con los datos energéticos del edificio? Solo hay una certeza hoy en día: cualquier cosa o lugar con conexión a internet es vulnerable de ser hackeado. El IoT (Internet de las Cosas) y la Industria 4.0 hacen que el gestor energético esté a cargo de miles de medidores y sensores conectados a la nube.
¿Cómo puede el gestor energético garantizar la seguridad de sus sistemas de gestión energética? Vamos a verlo.
La Seguridad de los Datos Energéticos en el Edificio
Los ciber ataques pueden tener muchas formas. Pueden ser «simples» robos de datos o sabotajes que impidan el correcto funcionamiento del edificios. Si ya tienes un software de gestión energética instalado, debes estar listo para aceptar el hecho de que puedes ser objeto de ataques. Mucho más si, además estás trabajando con sistemas de control en el edificio.
Por ejemplo, si una máquina está conectada a un sistema que controla el aire acondicionado del edificio y se infecta el sistema, el virus podría decidir qué sistemas manipular. Hasta llegar al nivel de qué dispositivos controlar o no.
En función del tipo de edificio del que estemos hablando, esto, evidentemente, puede ser una anécdota o una auténtica catástrofe. En los llamados «edificios inteligentes» hay un enorme flujo de datos de los medidores y sensores (humedad, temperatura, presencia…) a una plataforma de gestión central, como el software de gestión energética.
Los edifcios más pequeños, como hogares, solo tienen normalmente un par de dispositivos smart. Por ejemplo, frigoríficos o lavadoras. Normalmente no necesitan una solución de gestión de la energía global. Pero, por otro lado, los edificios con BMS o SCADA controlan procesos industriales complejos. Si son afectados, puede afectar a toda la empresa y sus resultados.
Si piensas que, con «desconectar» el edificio del grid estás a salvo… bueno, sí, es cierto. El problema es que cuando la empresa o el edificio es lo suficientemente grande se implementan medidas de generación de energía propia. Como, por ejemplo, las energías renovables.
El exceso de energía se puede «devolver» a la red. Para esto hay que estar conectado al grid. Y en ciertos mercados y países, hay beneficios fiscales muy importantes como para dejarlo pasar…
¿Cómo asegurar que los datos energéticos estén seguros y disponibles?
Lo primero, no hay que creerse los mitos sobre tecnologías como el cloud («la nube»). Solo porque los datos estén alojados en la nube no quiere decir que no cumplan con protocolos de seguridad rigurosos.
Para los que evalúen un software en la nube (o SaaS) por primera vez, este miedo puede ser comprensible. Pero puede hacer que tomes una mala decisión y elijas un software en local que no sea adecuado para tu negocio. El director de una ESE italiana lo explicaba así:
«Esta es la primera pregunta que me hacen mis clientes. Su primer problema es que se preocupan por cómo de seguros estarán sus datos «en la nube». Pero en cuanto les explico los protocolos de seguridad y confiabilidad de DEXMA, les parece que todo es adecuado».
En segundo lugar, intenta trabajar con un proveedor de confianza y con planes de seguridad. Si estás en medio de un proceso para elegir tu sistema de gestión energética, estas son las 10 preguntas esenciales que debes hacer: ¿tienen un protocolo de recuperación de datos? ¿Qué frecuencia de copias de seguridad realizan? ¿Cómo informan de potenciales problemas de seguridad?
Tras hacer tu investigación, elige la solución que incluya una tecnología con un plan de seguridad. Los «sistemas de sistemas» como las plataformas de gestión energética, tienen maneras de actualizar los dispositivos sin tener que sacrificar la flexibilidad. El experto en ciberseguridad Bill Rios de WhiteScope LCC afirma que:
Si tu potencial proveedor empieza a hablar de seguridad con pinchos USB… ¡HUYE!
Y… ¿qué pasa si notas que algo raro está pasando con tus datos en tu plataforma actual?
¿Qué opciones tengo si los datos energéticos se han visto comprometidos?
Las primeras horas después de un problema de seguridad son las más críticas. Tu preocupación inmediata debería ser centrarte en un plan de acción (mucho mejor si está definido con anterioridad).
Si tienes razones de peso para creer que tu sistema de gestión energética ha sido accedido por quien no debería debes:
-
- Comunicarlo internamente: Don’t wait to inform management and document everything (who, what, where, when, how) to help further investigation and to avoid future issues: create screenshots, disk images and notes to help your IT support team figure out what happened, fix it, and prevent it in the future
- Contener la amenaza: una vez identifiques dónde está el problema e informado del mismo, crea un grupo de trabajo para atajarlo. Todos los recursos posibles deben utilizarse en esta situación.
- Comunicarlo externamente: tan pronto como esté todo bajo control. Define a quién debes informar (tu departamento legal o de comunicación te pueden ayudar). Asegúrate de que son notificados debidamente.
- Crear un plan de respuesta proactivo. Involucra a tu proveedor de tecnología energética. Revisa los logs del servidor y solicita que se hagan tests de penetración de forma periódica, para asegurarse de que no hay otros servidores vulnerables.
Si aún no sabes que software de gestión energética cumple con tus necesidades a nivel de seguridad, descarga nuestra guía. Te ayudará a facilitar el proceso de selección: