Por Paulo Lilla y Carla Segala*
El 1 de julio, el Resolución Normativa N° 964, de 14 de diciembre de 2021, De ANEEL (Agencia Nacional de Energía Eléctrica), que establece normas de ciberseguridad que deben adoptar los agentes del sector de la energía eléctrica.
La resolución es de suma importancia, ya que define los lineamientos que deben adoptar los agentes regulados en el sector energético con miras a mitigación de riesgos de ciberseguridad.
Su aplicación se aplica a concesionarios, permisionarios, servicios o instalaciones de energía eléctrica autorizados y entidades responsables de operar el sistema, comercializar energía eléctrica o administrar recursos provenientes de cargas sectoriales, con el objetivo de mitigar los riesgos relacionados con incidentes de ciberseguridad en el sector eléctrico.
En este contexto, los principales riesgos relacionados con la ciberseguridad incluyen la posible interrupción del suministro energético, la imposibilidad de realizar operaciones técnicas por parte de los agentes obligados y la posible pérdida de datos.
En relación a los riesgos relacionados con la continuidad de las operaciones, cabe recordar ciberataques como “ransomware" [ 1 ] sufrido el año pasado por Oleoducto colonial, una de las redes de oleoductos más grandes de Estados Unidos.
Esta acción resultó en la paralización de las operaciones de la empresa, lo que provocó que el gobierno estadounidense declarara estado de emergencia en 17 estados, debido a la interrupción del flujo de combustible.[ 2 ]
La Resolución 964 presenta lineamientos para la actuación de los agentes regulados en ciberseguridad. Dichos lineamientos incluyen, entre otros, la necesidad de adoptar normas, estándares y referencias de buenas prácticas en ciberseguridad y de actuación de los agentes para identificar, diagnosticar y responder a ciberincidentes, así como difundir una cultura de ciberseguridad.
Para ello, la resolución destaca la necesidad de que los agentes acreditados cuenten con una Política de Seguridad Cibernética, que deberá ajustarse a las directrices establecidas en la normativa, compatibles con la sensibilidad de los datos e informaciones bajo responsabilidad del agente y con la relevancia de la instalación en el contexto de la SIN (Sistema Interconectado Nacional).
Para que la Política de Ciberseguridad esté alineada con lo dispuesto en la resolución, deberá prever, entre otros aspectos: criterios para clasificar los datos e información utilizados por el agente, según su relevancia; procedimientos y controles para reducir la vulnerabilidad a incidentes; y la adopción de medidas técnicas para garantizar la seguridad y trazabilidad de la información crítica.
Adicionalmente, la resolución establece obligaciones específicas para los agentes regulados, como, por ejemplo, que se designe un responsable de la Política de Ciberseguridad, así como que este reglamento sea aprobado por el Consejo de Administración del agente (que podrá ser único para todo el país). grupo económico) y revisados periódicamente.
Otro aspecto importante que resalta la resolución es el deber del agente acreditado de difundir internamente la cultura de ciberseguridad entre sus empleados, principalmente a través de la implementación de programas de capacitación y la adopción de medidas de sensibilización y educación sobre aspectos de ciberseguridad.
En cuanto a los incidentes cibernéticos, la resolución exige que la Política de Seguridad Cibernética defina los parámetros a utilizar para evaluar la relevancia de los incidentes cibernéticos, así como establecer procedimientos para prevenir, tratar y responder a dichos incidentes, lo que se puede hacer, por ejemplo , mediante el desarrollo de un plan de respuesta a incidentes.
Além disso, é estabelecida a obrigação dos agentes de notificar a equipe de coordenação setorial designada em caso de incidentes cibernéticos de maior impacto (como definidos na Resolução), que afetem de maneira substancial a segurança das instalações, a operação ou os serviços aos usuários ou de dados.
Como se puede observar, la resolución presenta un marco básico a implementar por los agentes regulados del sector eléctrico, con el objetivo de minimizar el riesgo sistémico derivado de un posible ciberincidente, desarrollado en el marco de la Estrategia Nacional de Seguridad en Infraestructuras Críticas. establecido para el Decreto N° 10.569/2020.
[1] Los ataques de “ransomware” se pueden definir como un tipo de “secuestro de datos” en el que el agente criminal logra invadir los sistemas y hacerlos indisponibles, exigiendo el pago de un “rescate”, generalmente en bitcoins, para restaurar los servidores y no revelar información a la que se haya accedido indebidamente.
[2] SENADO DE LOS ESTADOS UNIDOS. "Alojamiento de datos de Estados Unidos: estudios de casos sobre ataques de ransomware a empresas estadounidenses". Informe del personal - Comité de Seguridad Nacional y Asuntos Gubernamentales. Marzo de 2022. Consultado el 30 de junio de 2022.
*Paulo Lilla y Carla Segala son, respectivamente, socio y abogado del área de Tecnología, Protección de Datos y Propiedad Intelectual de la oficina de Lefosse
