Entrevista de la Asociación Española de Energía Eólica con Manuel Alguacil, director de Ciberseguridad de Isotrol
Fuente: Asociación Española de Energía Eólica (AEE)
1. ISOTROL es una empresa española especializada en servicios de ingeniería, software y control. ¿Qué posición ocupa la energía renovable en su mercado actual?
El vínculo entre Isotrol y la energía renovable se remonta a los años 90. Éramos uno de los primeras empresas para desarrollar tecnología para explotar y operar parques eólicos en España, y participamos en la conexión y el monitoreo de las primeras plantas que se construyeron en nuestro país, introduciendo tecnología desconocida hasta ahora en ellas.
Nuestra actividad y posición en el sector de las energías renovables no ha dejado de crecer desde entonces. Hoy en día, contamos con una especialización reconocida y una oferta competitiva a nivel mundial, que atribuyen a las energías limpias un lugar esencial en la estrategia de la empresa. La energía renovable se ha convertido en la primera línea de trabajo de Isotrol debido a su volumen de actividad, la experiencia que hemos acumulado y las crecientes oportunidades que brinda.
Representa más del 60% de nuestro negocio y se complementa con el resto de líneas de trabajo que componían nuestra oferta para el sector de las energías renovables. Además de apoyar la eficiencia y la rentabilidad de las plantas generadoras, ofrecemos soluciones tecnológicas para su integración en redes y ayudamos a las grandes empresas a optimizar sus operaciones comerciales de energía. Esta capacidad nos proporciona un perfil empresarial único y una posición privilegiada para contribuir a la transformación digital del sector energético como socio tecnológico experto.
2. Desde su punto de vista, ¿cuál es la situación actual de la ciberseguridad en el sector de la energía eólica?
Como se ha visto en otros sectores energéticos, los despliegues son cada vez más ciberseguros, pero queda mucho por hacer. En los últimos años, se ha observado un claro esfuerzo por disponer de entornos cada vez más protegidos, por ejemplo, haciendo uso de los marcos internacionales de ciberseguridad y adoptando nuevas medidas orientadas a reducir la superficie de exposición y minimizar los riesgos. Algunos ejemplos de estas medidas son la desactivación del hardware innecesario, las políticas de reducción de privilegios, el despliegue del único software necesario o la confusión de las credenciales administrativas. Sin embargo, y a pesar de la creciente madurez en materia de ciberseguridad en el sector durante los últimos años, no podemos relajarnos. Por lo tanto, como decía, todavía hay margen de mejora hasta que la ciberseguridad esté tan arraigada en nuestros procesos diarios que prácticamente se convierta en una mercancía.
Lo que está claro es que los ataques a sectores críticos van y seguirán aumentando porque los ciberdelincuentes se están especializando cada vez más en cada uno de estos sectores y el beneficio económico o posicional es más que evidente en los tiempos que corren.
3. ISOTROL es una empresa con servicios y clientes internacionales. ¿La empresa se ha visto profundamente afectada por la pandemia? ¿Podría ser una oportunidad para desarrollar nuevos servicios de control remoto?
El COVID no ha detenido nuestra actividad; de hecho, esta situación la ha reforzado. El coronavirus nos ha obligado a acelerar los procesos de digitalización y control remoto que buscaban mejorar la eficiencia en la operación de las plantas. Durante los últimos años, nuestros clientes han estado solicitando nuevas herramientas para optimizar sus procesos, reducir los costos operativos y aumentar la eficiencia de sus plantas. La pandemia ha provocado la aceleración de esta tendencia natural en el proceso de maduración del sector debido a las dificultades para realizar actividades presenciales. Esta crisis ha acelerado los cambios en los que ya estábamos trabajando, reduciendo los costes de implantación y puesta en funcionamiento de nuevas herramientas para el control y la gestión remotos de los activos renovables.
4. ¿Está el sector lo suficientemente protegido de las amenazas actuales?
Es casi imposible estar siempre completamente protegido de un ciberataque. En algunos casos, es evitable; en otros, lo único que puedes hacer es minimizar el impacto; y en otros, simplemente no te das cuenta hasta que ya es demasiado tarde y solo puedes aplicar técnicas forenses para analizar la situación e implementar nuevas medidas de protección. Cuanta más atención prestes a la ciberseguridad, más seguro estarás, aunque la seguridad al 100% no es asegurable. Cuanto más maduro sea el nivel de implementación de la ciberseguridad, más difícil será para los ciberdelincuentes atacar. En este sentido, las medidas de mitigación son tan importantes como las de detección temprana para minimizar el impacto.
Además, también es importante proteger todas las cabeceras porque, en la mayoría de los casos, se comunican desde las plantas de generación con centros de control, redes de operación, redes de terceros, etc., que pueden verse afectadas por una brecha de seguridad. Por el contrario, si alguna de estas redes queda expuesta, se convierte en un punto de entrada perfecto para la planta.
Hoy en día, es evidente que uno de los aspectos más importantes es la sensibilización. Somos tan fuertes como nuestro eslabón más débil, y estos últimos suelen ser las personas. Cada vez es más habitual implementar medidas de seguridad en puntos finales, perimetrales, DLP, IDS/IPS, etc., pero si las personas no están suficientemente capacitadas y preparadas en materia de seguridad, los ciberdelincuentes se aprovecharán de esta puerta tarde o temprano, y todo lo demás habrá sido en vano.
5. ¿Hay margen de mejora e innovación en el campo de la ciberseguridad de los parques eólicos? ¿Cuáles son las principales líneas de trabajo?
De hecho, hoy en día todavía hay margen de mejora, ya que cada planta eólica es diferente y, por tanto, cada una tiene necesidades de protección diferentes. Ya hay niveles de seguridad que se tratan como productos básicos, como el software antimalware, los firewalls, los bastiones, las políticas menos privilegiadas, etc. Sin embargo, aún podemos hacer más, como añadir sistemas avanzados de detección de intrusos en cada planta, lo que nos permitirá detectar anomalías en las redes de TI y TO que hasta ahora eran impensables.
Además, aunque las comunicaciones en los parques eólicos son principalmente cableadas, la implementación de redes inalámbricas en entornos construidos ofrece un nuevo desafío de seguridad debido a la exhibición que tienen estas redes. Esto permite a un atacante actuar a cierta distancia de los puntos de acceso como si estuviera conectado directamente a la red local, lo que lo expone aún más.
Habrá que considerar escenarios muy específicos y restrictivos para esta nueva casuística, a nivel de protocolos de comunicación y su encriptación, potencias de emisión, niveles de emisión direccionada, etc.
6. ¿Qué espera del futuro de la ciberseguridad en los parques eólicos?
Sin duda, queda mucho por hacer en cuanto a la ciberseguridad de los parques eólicos. Quedan muchos hitos por alcanzar, como la IA activa en la detección y remediación de ataques en tiempo real, que puede actuar sobre los atacantes e interactuar con la propia planta, evitando posibles desastres producidos por los ciberdelincuentes. De esta forma, los sistemas serán lo suficientemente autónomos como para detectar la amenaza y actuar en consecuencia, evitando la fuga de datos, el tiempo de inactividad de la producción, los sabotajes, etc.
Los nuevos paradigmas, como el aprendizaje automático e incluso el aprendizaje profundo, nos permitirán modelar de manera eficiente el comportamiento de las redes de TI/OT y actuar más rápido ante las amenazas e incluso de forma automática.
7. La hibridación y el almacenamiento ya son tecnologías clave para mejorar la penetración de las energías renovables y la reducción de emisiones, así como para alcanzar los objetivos propuestos en el Plan Nacional Integrado de Energía y Clima 2021-2030. Con esta incorporación, ¿cómo será la gestión de los parques eólicos y fotovoltaicos?
La hibridación y el almacenamiento ya son tecnologías clave para mejorar la penetración de las energías renovables y la reducción de emisiones, así como para alcanzar las metas propuestas en el Plan Nacional Integrado de Energía y Clima (INECP) 2021-2030. Entonces, con la incorporación de estas tecnologías, ¿cómo será la gestión de los parques eólicos y fotovoltaicos?
El almacenamiento es, sin duda, un vector fundamental en la penetración de las energías renovables, ya que aumentará exponencialmente la capacidad de gestión con esta tecnología. También aumentará la calidad de la energía inyectada en el sistema (medida en términos de los servicios ofrecidos al sistema y de la previsibilidad y confiabilidad de la planta), sin casi nada que envidiar a las plantas tradicionales. La combinación del almacenamiento a corto y medio y largo plazo, como el hidrógeno, ampliará la contribución de la energía renovable al sistema de manera más uniforme a lo largo del tiempo (reduciendo la intermitencia y la estacionalidad). Por último, y dados los numerosos servicios que aportará al sistema, podrán participar en mercados en los que no lo hacían hasta ahora, como el mercado secundario, o en otros en los que simplemente no podían, como en la resolución de las restricciones técnicas a la carga, por no hablar de los mercados emergentes como la rampa o los mercados locales.
Esto implicará la participación de más actores y una mayor complejidad en la gestión de cada planta, ya que se pueden proporcionar diferentes servicios a diferentes agentes del sistema. Habrá más interconexión entre los sistemas, más sistemas abiertos e interoperables y más necesidades de trazabilidad y seguridad de la información. Sin duda, aparecerán nuevos desafíos no solo en el campo energético, sino también en el campo de la ciberseguridad y la confiabilidad de las instalaciones críticas asociadas a su operación.
8. ¿Puede el sector energético adoptar la nube pública?
Sí, por supuesto, y especialmente después de la pandemia. Hemos asistido a una especie de éxodo hacia las nubes públicas en todo el mundo. Sin lugar a dudas, la nube pública cuenta con infraestructuras, profesionales, procedimientos, certificaciones, etc. que no suelen estar disponibles en los centros de datos privados y que son muy difíciles y costosos de obtener y mantener.
Con el tiempo, la adopción de la nube pública para alojar centros de control, plantas SCADA, etc. de parques eólicos se convertirá en algo habitual, tal como lo son las infraestructuras locales en la actualidad. Las técnicas avanzadas de análisis de datos, como los macrodatos o la inteligencia empresarial, proporcionan un valor cada vez mayor en las operaciones, el análisis predictivo y la gestión de activos. Estas técnicas están estrechamente vinculadas a una potente infraestructura que las sustenta. Estoy convencido de que en los próximos años veremos una tendencia creciente de migración de la nube privada a la nube pública, partiendo de escenarios más cortoplacistas basados en las nubes híbridas como elemento de transición.
9. En nuestra vida diaria, todos podemos actuar contra el cambio climático. ¿Qué medida concreta propondría a nuestros lectores para que puedan aplicarla a partir de hoy?
Son muchas las acciones que se pueden hacer desde casa para aportar nuestro granito de arena a esta lucha contra el cambio climático, desde apagar las luces que no se utilizan hasta separar y reciclar la basura que generamos. Una acción en concreto que considero importante hoy en día es reducir el uso de plásticos, una acción tan sencilla como llevar las bolsas al supermercado y reutilizarlas ya aporta un gran valor.