Quina base té la hipòtesi del ciberatac per explicar la gran apagada elèctrica?

Aquesta setmana, la ministra de Transició Ecològica descartava al Congrés que la causa de la gran apagada del 28 d'abril fos un ciberatac a Red Eléctrica. Però, en canvi, no es va pronunciar sobre si n'hi podria haver hagut en altres punts del sistema elèctric.

S'acaba de fer a la Fira de Barcelona un congrés internacional de ciberseguretat i ho hem aprofitat per preguntar als especialistes per aquesta possibilitat. No ho veuen probable, però tampoc ho descarten del tot. El que sí que adverteixen és que el sistema hauria d'estar molt més ben protegit. 

Segons publicava dimarts el Financial Times, el govern espanyol està preocupat per la vulnerabilitat de les ciberdefenses de les petites generadores d'electricitat, parcs fotovoltaics i eòlics, i està aplegant informació. L'Institut Nacional de Ciberseguretat (Incibe) estaria investigant si aquestes petites empreses van ser una baula dèbil utilitzada per actors maliciosos per tombar la xarxa. 
 

Dels logs al sistema Escada

De moment, encara s'estan analitzant i interpretant milions de dades procedents dels registres informàtics d'aquestes empreses de generació. "Qualsevol dispositiu informàtic que formi part d'aquesta producció o distribució, genera arxius log, activitats que es van emmagatzemant en diferents sistemes i que són exportables i es poden analitzar", assegura Paco Sánchez, director general de Neotica Ciberseguretat. 

"Amb aquest log, un analista pot deduir o interpretar què és el que ha passat o què està passant en un sistema."

Els log, diu Sánchez, ajuden a fer "una investigació postmortem i a tenir informació del que va passar". Destaca que el que és important és que "el sistema elèctric sigui segur i prevenir que pugui passar una altra vegada".

Per Carles Flamarich, CEO de Polo Cybersecurity i exdirector general de Telecomunicacions i Societat de la Informació de la Generalitat, "el sistema energètic és prou complex perquè un ciberatac també sigui possible".

"És possible un ciberatatac? És possible que hi hagi aquesta possibilitat. Però és que a vegades simplifiquem les coses. Això no és només internet."

"Tots els sistemes industrials funcionen amb un sistema que es diu Escada", apunta Flamarich. "És molt més antic que internet. És dels anys 60. És simple i el que fa és que quan s'interfereix aquest sistema, aquest protocol de comunicació fa que es pari tot."

Per tant, afirma, cabria la possibilitat que s'hagués interferit aquest sistema Escada: "Aquí caben moltes possibilitats, l'atac, l'atac al sistema Escada, que no estigués ben configurat. Normalment, quan hi ha un accident, és que han fallat moltes coses alhora."

Josep Guasch, president d'Assicat, l'Associació de Ciberseguretat de Catalunya i CEO de Brontobite Cloud, afirma: "El problema més greu no és que ja sapiguem o no què va passar, sinó que quedi clar que un ciberatac pot generar aquest tipus d'apagada."

"Això és real. I si al final de la investigació se sap que va ser així, té remei."

"Tot apunta que no va ser un ciberatac, però..."

Al sector, però, la majoria es decanta per descartar la hipòtesi del ciberatac. Paco Sánchez explica que tot apunta que no ha sigut un ciberatac i apunta més a temes físics relacionats amb el funcionament de la xarxa elèctrica, però afegeix que un incident de ciberseguretat tampoc seria descartable:

"Les xarxes elèctriques són sistemes molt, molt fiables, perquè és un servei molt essencial per a la ciutadania, però també s'han quedat una mica obsoletes. Llavors l'obsolescència provoca que apareguin vulnerabilitats i això podria ser."

Tot i això, Sánchez creu que ha sigut més un tema de com funciona el sistema elèctric, "entrada i sortida d'energia, oscil·lacions, etcètera, que no pas un ciberatac".

Tampoc ho veu clar Víctor Ronco, CEO de Zerot, una plataforma que coordina el que es coneix com a hackers ètics, que analitzen la seguretat informàtica de les empreses i aconsellen com posar-hi remei.

"Creiem que la teoria del ciberatac va perdent força amb el temps, ja que de forma genèrica els ciberatacs s'acostumen a reivindicar quan es fan per raons geopolítiques."

"En aquest cas no hi ha hagut una reivindicació per part de cap altre govern o organització", explica Ronco. "I una de les altres motivacions és, evidentment, la motivació econòmica i en aquest cas tampoc hi ha hagut la demana d'un rescat o una venda d'informació sensible."

Ronco creu, però, que cal reivindicar la importància de fer exercicis de ciberseguretat de forma preventiva: "Hem vist moltíssims accidents o situacions de ciberatac en moltes infraestructures o sectors o empreses crítics del país."

Preparar-se per evitar un atac en el futur

En el sector, tothom posa l'accent en la prevenció. Carles Flamarich creu que a nivell del que són empreses espanyoles, hi ha un gran problema que és el desconeixement de la realitat dels ciberatacs: "Això és una plaga que existeix i que no pararà. No podem fer l'estruç posant el cap sota terra, pensant que això desapareixerà."

Flamarich diu que cal preparar-se i ho compara amb la pandèmia:

"Hi ha gent que és antivacuna i hi ha gent que ens vacunem. Doncs això és el mateix. Preparem-nos perquè no ens passi."

Pots evitar un ciberatac? L'exdirector general de Telecomunicacions i Societat de la Informació de la Generalitat respon que no es pot evitar, però sí que et pots preparar: "Pots tenir backups, pots tenir sistemes de prevenció, de protecció, de vigilància i analitzar."

Segons Paco Sánchez, el CEO de Neotica Ciberseguretat, "falta molta formació, falta molta explicació en ciberseguretat i falta que les petites empreses prenguin consciència".

"Hi ha un fals mite que jo soc petit i a mi no em passarà res, i això ha d'anar canviant."

Creu que passarà amb el temps i que el sector o el mercat a poc a poc farà que tota la cadena de subministrament es vagi equalitzant:  "Si tinc un client molt important, segurament estarà molt ben protegit i aquest client em demanarà que jo, com a proveïdor, m'apropi al seu nivell de protecció i això farà que tota la xarxa, la cadena de subministrament, es vagi equilibrant."

Víctor Ronco, el màxim executiu de Zerot, afegeix: "Evidentment hi ha molts recursos invertits en persones, en temps, en pressupost, però en vista dels resultats sembla que no és suficient o que no sempre és suficient."

"Hem de pensar que a nivell de defensa avancem, però l'amenaça també avança molt ràpid."

Quant val no protegir prou?

En el sector creuen que el més important és que les pimes facin números dels perjudicis econòmics que els pot suposar deixar desprotegides les seves dades, tant a nivell de producció com comercials.

"L'empresa gran té comptabilitzada la pèrdua de la seva aturada, amb els costos per hores, la producció i, com que el seu dia a dia és molt més intensiu, ja ho tenen clar", assegura Josep Guasch, el president de l'Associació d'Empreses de Ciberseguretat. 

Per contra, diu que possiblement la pime "encara no ho té comptabilitzat".

"Sempre dic que s'hauria de posar preu a les nostres dades. Un cop tinguéssim molt clar quin cost tenen les nostres dades, potser després tindríem més consciència de protegir-nos."

En el cas de les infraestructures del sistema elèctric, el cost d'estar desprotegits, però, va més enllà de les empreses concretes i afecta tota la societat. I pot ser enorme.