La regulación ha evolucionado en la lucha contra el ciberdelito, pero el ritmo de mejora aún está por debajo de la necesidad de prevenir y resolver ciberataques y estafas, especialmente para las empresas del sector energético. Los delitos digitales como el ransomware — robo de datos o bloqueo de dispositivos a cambio de un rescate, normalmente solicitado en bitcoin— ya han golpeado al menos a cinco gigantes del sector brasileño en los últimos dos años: Enel y Energisa -en abril de 2020-, EDP y Light, en junio de 2020, y Copel y Eletronuclear, en febrero de 2021.
Las acciones delictivas no afectaron la distribución ni el suministro de energía, pero filtraron datos y afectaron los sistemas administrativos de las empresas, según datos de la Agencia Nacional de Energía Eléctrica (Aneel).
De acuerdo con la Unión Internacional de Telecomunicaciones (UIT), organismo de las Naciones Unidas (ONU) que coordina los esfuerzos en el área de ciberseguridad, Brasil ocupó el puesto 71 en el índice de ciberseguridad en 2018. El país fue el segundo del mundo en pérdidas económicas por los ciberataques. Según datos de la UIT, estas se calculan por encima de los 20.000 millones de dólares, afectando al menos a 70 millones de personas residentes en el país.
Con la entrada en vigencia de la Ley General de Protección de Datos, Brasil pasó al puesto 18 en el índice mundial de ciberseguridad en 2020.
Te puede interesar: Ciberataques a las instituciones mexicanas: las advertencias que las autoridades ignoran
Regulación específica para el sector
Para un sector de infraestructura crítica como el energético, la resolución 964 de la Agencia Nacional de Energía Eléctrica (Aneel) prevé la adopción de normas, estándares y referencias de buenas prácticas en ciberseguridad, así como la identificación, protección, diagnóstico, respuesta y recuperación de incidentes cibernéticos. La idea es crear políticas de seguridad compatibles con el tamaño de la empresa, la obligación de las empresas de comunicar situaciones de crisis de ciberseguridad, así como el intercambio entre agentes y el organismo regulador de las ocurrencias relevantes.
El estándar también proporciona procedimientos relacionados con la gestión de la seguridad, como la segmentación de la red de TI y las redes de operación de Internet, acciones de respuesta rápida para la contención de incidentes, evaluación y tratamiento de riesgos.
Aneel identificó —en su Análisis de Impacto Regulatorio (AIR) sobre ciberseguridad en el Sector Eléctrico Brasileño— tres consecuencias principales relacionadas con un posible incidente de ciberseguridad que involucre a los agentes regulados del sector: eventual interrupción en el suministro de energía, la imposibilidad de realizar operaciones por parte de los agentes regulados y la posible pérdida de datos.
El riesgo de continuidad de la actividad esencial es uno de los más preocupantes y, a juicio de los técnicos y abogados especializados consultados por LexLatin, no se trata de un mero riesgo hipotético.
“La Resolución establece medidas -tanto preventivas como reactivas- a ser adoptadas por los agentes obligados en materia de ciberseguridad. Las medidas preventivas tienen como objetivo establecer parámetros organizativos y técnicos para la prevención de riesgos. Las medidas reactivas tienen como objetivo minimizar el impacto de los incidentes que pueden afectar al sector, haciéndolo menos vulnerable al ciberdelito”, explica Paulo Lilla, socio del área de tecnología, protección de datos y propiedad intelectual de Lefosse Abogados.
La legislación, según los expertos, permite actualizar el ordenamiento jurídico vigente, creando instrumentos específicos para combatir a los ciberdelincuentes que permitan una respuesta más eficiente a los delitos cometidos en el ámbito digital.
“Este movimiento de crear reglas específicas para garantizar la ciberseguridad comenzó en sectores más regulados, como la banca y los seguros. Ahora ha llegado al sector energético. La tendencia es que todos los sectores se organicen, se autorregulen y generen buenas prácticas en relación con la seguridad, exposición de datos, como lo fomenta la ANPD (Autoridad Nacional de Protección de Datos) y la legislación”, dice Tatiana Campello, especialista en privacidad de datos, tecnología y ciberseguridad y socia de Demarest Advogados.
Te sugerimos leer: ¿Podrá la ley protegernos del 'ransomware'?
Responsabilidades de las empresas
Según la resolución de Aneel, las empresas son responsables por la seguridad de las instalaciones y la continuidad de la prestación del servicio, así como por la carga de adecuar sus sistemas. Los gastos necesarios para la implementación de estas medidas podrán ser evaluados por la agencia para un eventual reconocimiento de costos en las tarifas.
“Con estos lineamientos creamos un ambiente de sana competencia en el sector con mayor seguridad jurídica, transparencia, con conceptos definidos y que propenda por la gestión de riesgos y fallas de una forma más racional y coherente, preservando la confidencialidad e integridad de la información. Así se previene la continuidad de los acuerdos establecidos”, evalúa Bruno Guerra de Azevedo, socio de SGMP Advogados.
Con la pandemia y el volumen mucho mayor de información en línea, la exposición de datos aumenta. No solo datos personales, sino también información confidencial de la empresa que puede ser vulnerada y está relacionada con la legislación de propiedad intelectual, explica Tatiana Campello.
Quien no cumpla con los procedimientos exigidos para asegurar o fortalecer la protección de la información procesada y transmitida en el sector eléctrico puede ser sancionado, conforme con lo dispuesto no solo por la legislación del sector eléctrico, sino por toda legislación que involucre la materia de ciberseguridad - de las normas de la Ley General de Protección de Datos Personales (LGPD, Ley N° 13.709/2018), el Marco de Derechos Civiles en Internet y el Código de Protección al Consumidor.
Adaptación a la regulación
Las empresas y asociaciones del sector energético tenían hasta principios de mes para adaptarse a los estándares de ciberseguridad previstos en la resolución 964, editada por Aneel en diciembre de 2021.
La adecuación es necesaria para los concesionarios de energía, permisionarios y autorizados de servicios o instalaciones de energía eléctrica; además de entidades encargadas de la operación del sistema, de la comercialización de energía eléctrica o incluso de la gestión de los recursos derivados de los cobros del sector.
Para los abogados del sector, algunos puntos merecen ser destacados. La resolución prevé conductas enfocadas a la prevención, al estipular, por ejemplo, lineamientos para actuar en ciberseguridad, según su artículo 3, así como definir el alcance mínimo de las políticas de seguridad de cada institución o agente, según su artículo 4”, dice Vinícius Fochi, especialista de Damiani Sociedade de Advogados.
Para él, la norma es una cartilla sobre cómo debe comportarse el sector frente a los riesgos relacionados con los ciberataques.
La Resolución de Aneel también proporciona lineamientos a seguir en casos de ciberataques de mayor impacto, incluyendo el análisis de las causas y consecuencias y las acciones de mitigación adoptadas.
“Entre las conductas se encuentra la necesidad de que los agentes notifiquen al equipo de coordinación sectorial designado sobre posibles ataques y amenazas capaces de poner en peligro la seguridad de las instalaciones, operaciones y servicios a los usuarios, de conformidad con el artículo 6 de la Resolución. La legislación también establece que la responsabilidad por la seguridad de las instalaciones y la continuidad en la prestación del servicio es de entera responsabilidad de los agentes del sector, según el artículo 8”, explica Mayra Mallofre Ribeiro Carrillo, criminalista, socia de Damiani.
El sector energético es especialmente vulnerable a este tipo de ataques por la complejidad de sus operaciones. Para los analistas, la singularidad de operaciones -como la generación o distribución de energía eléctrica, que demanda gran variedad de infraestructura física y tecnológica- presenta muchos desafíos en materia de ciberseguridad.
“Sin duda, las nuevas normas contra el ciberdelito aportan más seguridad jurídica. El modelo regulatorio y comercial del sector eléctrico se basa en la separación y coexistencia de un mundo físico y un mundo contractual. Bajo el enfoque contractual, todas las operaciones de compra y venta de energía eléctrica, las mediciones de generación y consumo y la liquidación contable y financiera del Mercado de Energía se realizan también a través de programas informáticos y plataformas de negociación electrónica. De esta forma, la institución de altos estándares y lineamientos de seguridad para evitar daños o invasión a los sistemas, interrupción de operaciones o acceso indebido a los datos de las operaciones es fundamental para la seguridad jurídica, credibilidad y salud de las operaciones comerciales que se realizan en el Sector Energético”, evalúa Raphael Gomes.
*Este artículo fue originalmente publicado en LexLatin Brasil: Os negócios jurídicos no setor de energia contra ataques cibernéticos.
}
Add new comment