El sector energético es cada vez más vulnerable a los ciberataques, por el uso generalizado de Internet en sus procesos y la creciente implementación de Sistemas de Control Industrial (ICS) de última generación, con el fin de reducir los costes y mejorar la eficiencia. Es la advertencia lanzada por Marsh, que ha organizado en Dubai la Conferencia de Compañías Petrolíferas Nacionales.

En 2012, Saudi Aramco, la mayor compañía de petróleo y gas del mundo, sufrió un ataque malicioso del virus informático Shamoon, que no sólo contaminó 30.000 discos duros y 2.000 servidores, sino que le obligó a paralizar su actividad, desconectando sus sistemas de Internet durante dos semanas.

Según el departamento de Defensa de Estados Unidos, el 53% de los ataques cibernéticos se dirigen contra el sector energético.

Marsh Risk Management Research ha hecho público allí el informe “Ciberataques avanzados en las instalaciones de la industria energética global”, en el que alerta sobre que las empresas energéticas están más acosadas que otras por el incremento de redes cada vez más sofisticadas de ‘hackers’ que buscan conseguir publicidad y/o determinados objetivos políticos.

Andrew George, presidente de la Práctica Global de Energía de Marsh, argumenta que “los Sistemas de Control Industrial han integrado herramientas que están vinculadas a redes tecnológicas de información, dando a los hackers la oportunidad de acceder por la puerta de atrás para explorar los puntos débiles del sistema”.

“El sector de la energía aún no ha experimentado grandes pérdidas por daños físicos de carácter catastrófico como resultado de un ciberataque, aunque esta resistencia no se debe a una falta de esfuerzo por parte de los hackers. Varias compañías energéticas han sufrido ataques cuyo origen se encontraba en un software o en un virus malicioso que provocaron interrupciones de la producción energética y destruyeron el hardware de los ordenadores”, añade.

“Un ataque exitoso a los sistemas de control de los ordenadores o a los sistemas de emergencia y bloqueo de la red de una energética, podría generar pérdidas de cientos de millones de dólares incluso en una pequeña refinería, petroquímica o en una planta de gas”, insiste Andrew George.

 

Al inicio y al final

Pese a que los nuevos proyectos incorporan prácticas de gestión de riesgos más sofisticadas y  estándares más rigurosos para minimizar el riesgo, la investigación de Marsh revela que el ciberriesgo se acentúa al inicio y al final del ciclo de vida de un proyecto, durante las fases de diseño y de desmantelamiento.

Andrew George subraya que “pese a que el seguro es un elemento vital para mitigar el impacto de los ciberataques en las cuentas de resultados de las compañías energéticas, la naturaleza cambiante de este riesgo requiere de la colaboración público-privada en todo el mundo”. “Las compañías energéticas deberían considerar un ciberataque como un riesgo inevitable, y prever junto con sus asesores los posibles escenarios de riesgo para poder preparar una respuesta de contención ante cualquier ataque”, recomienda este experto.