Recientemente, los paneles responsables de la elaboración de códigos de NFPA 70®, Código Eléctrico Nacional (NEC®), fueron convocados a las reuniones de tratamiento del primer proyecto de la edición 2023 del código. Muchos de los paneles tuvieron que revisar múltiples aportaciones del público que implicaban la idea de evaluar la vulnerabilidad a los ciberataques de los sistemas que tienen una conexión a la red, y proporcionar una certificación de que estos sistemas han sido diseñados para hacer frente a cualquier ataque. Esto generó un gran debate durante la reunión. También plantea la cuestión de si el NEC es el lugar correcto para requerir este tipo de medidas de ciberseguridad. Aunque no conoceremos los resultados hasta finales del año que viene, cuando se complete el ciclo de revisión, podemos analizar lo que esto podría significar para la instalación e inspección de los equipos eléctricos conectados a una red.
El NEC existe para proteger a las personas y a las propiedades de los peligros que surgen del uso de la electricidad. Llevamos mucho tiempo escuchando que el NEC es un código de instalación y que, por lo tanto, solamente debe contener requisitos para la instalación y retiro de equipos eléctricos. Pero esto plantea una serie de interrogantes. ¿Deja ese alcance de aplicación espacio para la ciberseguridad, que es algo que ocurre después de la instalación de equipos eléctricos? Si el objetivo del NEC es establecer requisitos que dan lugar a una instalación esencialmente libre de peligros, ¿cuáles son los efectos adversos de un ciberataque en la infraestructura eléctrica—y constituyen estos un peligro del que el NEC pretende protegernos?
Tomemos el ejemplo de un hospital, donde una interrupción involuntaria de la energía puede poner en peligro la vida. De hecho, muchos hospitales han tradicionalmente impulsado el trabajo energizado debido a los peligros adicionales que la desenergización podría generar. Si el sistema eléctrico de un hospital se conecta a la red de automatización del edificio y puede ser controlado por esta red, se abre la puerta para que los piratas informáticos apaguen el sistema y tomen al hospital como rehén. En este caso, la capacidad de mantener a los hackers fuera del sistema y evitar que controlen los equipos eléctricos de manera peligrosa parece ciertamente que se está protegiendo a las personas que están en el hospital contra los peligros que surgen del uso de equipos eléctricos conectados a la red. Requerir medidas de ciberseguridad en este caso no estaría muy lejos de exigir que el sistema eléctrico esencial tenga una capacidad suficiente para alimentar los equipos conectados. Se puede argumentar que peligros como estos que se derivan de las amenazas de ciberseguridad forman parte del alcance de aplicación del NEC. Proteger los equipos eléctricos de los ciberataques es una necesidad cuando los equipos están conectados a la red con capacidad de ser controlados de manera remota. Lo que aún tiene que determinarse es en qué medida la ciberseguridad va a ser incorporada en el NEC. Nos guste o no, cada vez más nuestros sistemas eléctricos entrarán en esta categoría en los próximos años, ya que las muy reales amenazas que plantean los ciberataques continúan aumentando. Los equipos necesitarán protección, ya sea en forma de requisitos de listado o a través de requisitos que exijan la evaluación y la certificación. En cualquier caso, el problema está aquí, es sustancial y no va a desaparecer. Mantengámonos al tanto.
es Líder de Servicios Técnicos Eléctricos en NFPA. Los miembros de NFPA y las autoridades competentes pueden utilizar la pestaña de Preguntas Técnicas para enviar sus inquietudes sobre NFPA 70 en nfpa.org/70. Para mantenerse al día con el avance de la próxima edición del Código, visite nfpa.org/70next.
