30 días de prueba de riesgos de IA generativa -Empezar ahora
Solicitar una demo
Energy & UtilitiesEnergy & Utilities

Guía de seguridad de la IA para la energía y los servicios públicos

Asegure los despliegues de IA en la gestión de la red, el mantenimiento predictivo y las operaciones con clientes mientras cumple las obligaciones de protección de infraestructuras críticas

Security of Critical Infrastructure Act 2018 (SOCI)Australian Energy Sector Cyber Security Framework (AESCSF)NERC CIP (exposición en EE. UU.)Australian Energy Market Operator (AEMO) RequirementsPrivacy Act 1988EU AI Act (para empresas con operaciones en la UE)Work Health and Safety Act

Audio version

Listen: Guía de seguridad de la IA para la energía y los servicios públicos

Prefer audio? Play the narrated version of this guide.

Las organizaciones de la energía y los servicios públicos operan infraestructuras críticas donde los fallos de la IA pueden tener consecuencias en cascada para la seguridad pública y la seguridad nacional. Esta guía cubre la gobernanza de la IA para los servicios de generación, transmisión, distribución, gas y agua que operan conforme al SOCI Act y a los requisitos AESCSF de Australia.

La adopción de la IA en el sector de la energía y los servicios públicos

El sector de la energía y los servicios públicos atraviesa una doble transformación: la transición energética de los combustibles fósiles a las renovables, y la transformación digital impulsada por la IA y la analítica avanzada. Estas fuerzas convergentes están creando una demanda sin precedentes de capacidades de IA en todos los aspectos de las operaciones energéticas.

Las empresas energéticas australianas despliegan IA para la gestión de la red y el equilibrado de carga en redes cada vez más complejas con generación distribuida procedente de la energía solar en tejados, el almacenamiento en baterías y los parques eólicos; el mantenimiento predictivo de los activos de generación, la infraestructura de transmisión, las subestaciones y las redes de distribución; la previsión de la demanda para optimizar el despacho de la generación, el comercio de energía y la planificación de la inversión en la red; la gestión de la vegetación mediante imágenes por satélite e IA para identificar los riesgos de invasión en los corredores de transmisión; las aplicaciones de cara al cliente, incluida la gestión inteligente de la energía, los chatbots, la previsión de facturas y la identificación de situaciones de vulnerabilidad; la previsión de las energías renovables para predecir la generación solar y eólica al servicio de la estabilidad de la red; y la gestión de activos y la optimización del gasto de capital en carteras de infraestructuras envejecidas.

El imperativo comercial es convincente. Las redes energéticas australianas gestionan más de $90 billion en activos regulados, e incluso mejoras marginales en la utilización de activos, la predicción de cortes o la previsión de la demanda se traducen en cientos de millones de valor. AGL, Origin Energy, EnergyAustralia y las empresas de red (Ausgrid, Endeavour Energy, Transgrid, AusNet) están invirtiendo todas fuertemente en capacidades de IA.

Sin embargo, el estatus de infraestructura crítica del sector energético cambia fundamentalmente el cálculo de la gobernanza de la IA. A diferencia del comercio minorista o los servicios profesionales, un incidente de ciberseguridad en el sector energético puede derivar en emergencias de seguridad pública, apagones que afectan a hospitales, plantas de tratamiento de agua y servicios de emergencia. El Security of Critical Infrastructure Act 2018 (SOCI Act), en su versión modificada en 2022, impone obligaciones obligatorias de ciberseguridad a las entidades del sector energético, y los sistemas de IA que tocan la tecnología operativa introducen nuevos vectores de riesgo que entran de lleno en el ámbito regulatorio del SOCI.

El desafío para los CISO y CIO de la energía es habilitar la innovación con IA manteniendo a la vez la resiliencia operativa y la postura de seguridad que exigen las infraestructuras críticas.

Principales riesgos de seguridad de la IA en la energía y los servicios públicos

Las organizaciones de la energía y los servicios públicos se enfrentan a riesgos de seguridad de la IA que abarcan tanto el dominio digital como el físico, con consecuencias potenciales que se extienden mucho más allá de la organización, hasta la seguridad pública y la seguridad nacional.

Riesgos de integración de la IA con sistemas SCADA/ICS: el riesgo más crítico en el sector energético es la integración de la IA con los sistemas de supervisión y adquisición de datos (SCADA) y los sistemas de control industrial (ICS). Los sistemas de mantenimiento predictivo, detección de anomalías y optimización de la red impulsados por IA consumen cada vez más datos procedentes de entornos de tecnología operativa y, en algunos casos, les envían comandos. Un sistema de IA comprometido que interactúe con SCADA podría manipular el equilibrado de carga, disparar interruptores, alterar las instrucciones de despacho de los generadores o desactivar los enclavamientos de seguridad. Los ataques de 2015 y 2016 contra la red eléctrica de Ucrania demostraron que los adversarios atacan activamente los sistemas OT energéticos, y la integración de la IA amplía la superficie de ataque.

Ataques adversarios contra la IA de gestión de la red: los modelos de IA que gestionan las operaciones de la red eléctrica son vulnerables a la manipulación adversaria. Los ataques de envenenamiento de datos podrían corromper los modelos de previsión de la demanda, provocando un despacho incorrecto de la generación y, potencialmente, inestabilidad de la red. Los ataques de evasión podrían hacer que la IA de detección de anomalías pase por alto fallos genuinos de equipos o incidentes de seguridad. Los ataques de extracción de modelos podrían permitir a los adversarios comprender y eludir los algoritmos de gestión de la red.

Sensibilidad de los datos de tecnología operativa: los datos OT de las infraestructuras energéticas, perfiles de carga, capacidad de generación, topología de la red, ajustes de los relés de protección y configuraciones SCADA, son altamente sensibles desde la perspectiva de la seguridad nacional. Cuando los equipos de ingeniería usan herramientas de IA para analizar estos datos, se arriesgan a exponer información de infraestructuras críticas. Las reglas del programa australiano de gestión de riesgos de infraestructuras críticas (CIRMP) obligan a las entidades energéticas a identificar y mitigar tales riesgos.

Shadow AI en los equipos de ingeniería: los ingenieros, planificadores de red y personal operativo de las empresas energéticas a menudo trabajan con conjuntos de datos especializados que pueden introducir en herramientas de IA para su análisis. Los datos de planificación de la transmisión, las propuestas de ampliación de la red, los datos de rendimiento de los generadores y los informes de análisis de fallos procesados a través de herramientas de IA no aprobadas crean tanto riesgos de seguridad como de cumplimiento regulatorio.

Sensibilidad de los datos de clientes y de los metadatos: los comercializadores de energía recopilan datos de consumo granulares que revelan patrones detallados de la vida cotidiana, cuándo están los ocupantes en casa, los patrones de sueño, el uso de electrodomésticos e incluso el uso de equipos relacionados con la salud. Los datos de los contadores inteligentes procesados por IA crean riesgos de privacidad significativos conforme al Privacy Act y, potencialmente, conforme al Consumer Data Right a medida que se extiende al sector energético.

Riesgos de la IA de terceros y de la cadena de suministro: las empresas energéticas dependen de extensos ecosistemas de proveedores, fabricantes de equipos, proveedores de software, proveedores de servicios gestionados y consultores, muchos de los cuales están introduciendo IA en sus productos y servicios. La IA integrada en las soluciones de los proveedores que se conectan a las redes OT energéticas crea un riesgo de cadena de suministro que debe evaluarse conforme a las obligaciones del SOCI Act.

Cumplimiento del SOCI Act y del AESCSF para los sistemas de IA

El marco regulatorio de la ciberseguridad del sector energético en Australia impone obligaciones específicas que afectan directamente a la gobernanza de la IA.

Security of Critical Infrastructure Act 2018 (SOCI Act): el SOCI Act, considerablemente reforzado por las modificaciones de 2022, se aplica a los activos de infraestructura crítica del sector energético, incluidas las redes de generación, transmisión y distribución de electricidad, el procesamiento y la distribución de gas, y los operadores de los mercados de energía. Las obligaciones SOCI relevantes para la IA incluyen el Critical Infrastructure Risk Management Program (CIRMP), que obliga a las entidades responsables a identificar, gestionar y mitigar los riesgos materiales para las infraestructuras críticas. Los sistemas de IA que se interconectan con las operaciones OT o las influyen representan un riesgo cibernético material que debe abordarse en el CIRMP. La ley también prevé poderes de asistencia gubernamental: en circunstancias extremas, el gobierno puede ordenar a las entidades que adopten medidas para responder a incidentes cibernéticos, incluido el apagado de sistemas de IA que supongan un riesgo para las infraestructuras críticas.

AESCSF (Australian Energy Sector Cyber Security Framework): el AESCSF, desarrollado por la AEMO en colaboración con el sector energético, proporciona un modelo de madurez para la ciberseguridad del sector energético. La gobernanza de la IA debe alinearse con las áreas de capacidad del AESCSF, incluidas la gestión de activos (inventariado de los sistemas de IA como activos cibernéticos), el control de acceso (gestión de quién y qué puede interactuar con los sistemas de IA), la conciencia situacional (supervisión del comportamiento de los sistemas de IA para detectar anomalías) y la respuesta a incidentes (respuesta a los eventos de seguridad relacionados con la IA). El proceso de evaluación AESCSF, realizado anualmente por la mayoría de las empresas energéticas, debe ahora evaluar explícitamente la madurez de la ciberseguridad relacionada con la IA.

NERC CIP para empresas con exposición en EE. UU.: las empresas energéticas australianas con operaciones o filiales en Estados Unidos deben cumplir las normas NERC Critical Infrastructure Protection (CIP). El NERC CIP-013 (gestión de riesgos de la cadena de suministro) es especialmente relevante para las relaciones con los proveedores de IA. El CIP-005 (perímetros de seguridad electrónica) afecta a los sistemas de IA que cruzan fronteras de seguridad. El CIP-007 (gestión de la seguridad de los sistemas) rige la aplicación de parches, el acceso y la supervisión de los sistemas de IA.

Obligaciones regulatorias específicas de la IA: aunque todavía no existe una regulación específica de la IA para el sector energético, varios desarrollos regulatorios están moldeando las expectativas. Los AI Ethics Principles voluntarios del gobierno australiano proporcionan un marco al que se refieren los reguladores de la energía. El Australian Energy Regulator (AER) está desarrollando expectativas en torno al uso de la IA en las empresas de red reguladas, en particular para las propuestas de gasto de capital y las determinaciones de ingresos que se basan en el modelado por IA. Los procedimientos operativos de la AEMO hacen cada vez más referencia a la IA y a la toma de decisiones automatizada en las operaciones de mercado y de red.

Normas de seguridad OT para la IA: los sistemas de IA que interactúan con entornos OT deben cumplir la IEC 62443 (ciberseguridad industrial), que proporciona un marco para asegurar los sistemas de automatización y control industriales. Esto incluye niveles de seguridad para los componentes de IA en las arquitecturas OT, modelos de zonas y conductos para los flujos de datos de IA, y la gestión del ciclo de vida de la seguridad para los sistemas de IA en entornos industriales.

Construir un marco de gobernanza de la IA para las organizaciones energéticas

Las organizaciones energéticas necesitan marcos de gobernanza de la IA que aborden la intersección única de la protección de infraestructuras críticas, la seguridad OT y la innovación comercial con IA.

Comité de gobernanza de la IA de infraestructuras críticas: establezca un órgano de gobernanza que refleje el contexto de infraestructura crítica. Incluya al CISO y a la dirección de seguridad informática, al responsable de seguridad OT y a la ingeniería de sistemas de control, al director de operaciones o responsable de operaciones, a la dirección de planificación de la red y gestión de activos, a las operaciones de mercado y comercio de energía, a los asuntos regulatorios y de cumplimiento, y a la salud y seguridad en el trabajo. Este comité debe tener autoridad para aprobar, restringir o prohibir los despliegues de IA sobre la base de una evaluación de riesgos para las infraestructuras críticas.

Clasificación de los sistemas de IA para la energía: implemente un sistema de clasificación que refleje las implicaciones de seguridad funcional y de seguridad OT. La Zona 1 (OT crítica) incluye los sistemas de IA que se interconectan directamente con SCADA, los sistemas de protección o el control de generación: estos requieren la gobernanza más alta, incluida una evaluación de seguridad independiente, un análisis de caso de seguridad y una aceptación del riesgo a nivel de consejo. La Zona 2 (adyacente a OT) incluye los sistemas de IA que consumen datos OT para analítica pero sin acceso de escritura a los sistemas de control: estos requieren controles rigurosos de los flujos de datos, una validación de la segmentación de la red y una revisión de seguridad OT. La Zona 3 (crítica para el negocio) incluye los sistemas de IA que procesan datos comerciales sensibles (posiciones de comercio, planes de red, datos de clientes): estos requieren una revisión de seguridad empresarial estándar más una evaluación del manejo de datos específica del sector energético. La Zona 4 (negocio general) incluye los sistemas de IA para funciones generales del negocio sin exposición a OT o a datos sensibles: estos requieren una revisión de seguridad básica y un cumplimiento de uso aceptable.

Controles de la frontera OT/IT para la IA: implemente controles de defensa en profundidad en la frontera entre IT y OT para los sistemas de IA. Despliegue computación de borde de IA dentro del perímetro OT para la analítica operativa crítica en tiempo real, reduciendo la necesidad de transmitir datos OT a servicios de IA en la nube. Use diodos de datos o pasarelas unidireccionales para los sistemas de IA que necesiten flujos de datos OT. Nunca permita que los servicios de IA en la nube tengan conectividad de red directa a los entornos OT. Implemente una supervisión consciente de los protocolos en las fronteras IT/OT que pueda detectar tráfico anómalo relacionado con la IA. Mantenga entornos aislados (air-gapped) para los sistemas de control más críticos, con procedimientos manuales de transferencia de datos para cualquier análisis por IA.

Evaluación de proveedores para la IA energética: los proveedores de IA energética, proveedores de soluciones de analítica de red, mantenimiento predictivo, previsión de la demanda y optimización de mercado, requieren una evaluación frente a las normas de infraestructuras críticas. Evalúe la alineación de la madurez AESCSF del proveedor, las certificaciones y la experiencia en seguridad OT, la soberanía de los datos (alojamiento de datos en Australia para los datos de infraestructura crítica), la capacidad de habilitación de seguridad para los trabajos en infraestructuras sensibles, las disposiciones de respuesta a incidentes y continuidad del negocio, y las obligaciones contractuales en torno al cumplimiento del SOCI Act y la cooperación en materia de asistencia gubernamental.

Gestión del cambio para la IA operativa: los sistemas de IA que afectan a las operaciones energéticas requieren una gestión del cambio rigurosa alineada con los procedimientos de la AEMO y los protocolos de los operadores de red. Pruebe los cambios de IA en entornos aislados que reproduzcan las condiciones operativas. Realice despliegues escalonados con supervisión y capacidad de reversión inmediata. Mantenga procedimientos de anulación manual y de elusión para todas las decisiones operativas asistidas por IA. Documente las versiones de los modelos de IA, la trazabilidad de los datos de entrenamiento y las líneas base de rendimiento. Programe los cambios de los sistemas de IA durante los periodos operativos de bajo riesgo, con una coordinación operativa adecuada.

Prevención de Shadow AI y gobernanza de la IA de la fuerza laboral en la energía

La Shadow AI en el sector energético plantea riesgos que van más allá de la privacidad de los datos hasta afectar a la seguridad de las infraestructuras críticas y la seguridad operativa.

Escenarios de Shadow AI de alto riesgo en la energía: ingenieros de red que pegan capacidades de líneas de transmisión, ajustes de protección o datos de topología de red en herramientas de IA para su análisis. Personal de operaciones de generación que usa IA para interpretar datos de rendimiento de turbinas o patrones de alarma SCADA. Comercializadores de energía que introducen datos de posiciones de mercado, estrategias de oferta o condiciones contractuales en la IA para su análisis. Técnicos de campo que usan IA para solucionar fallos de equipos subiendo manuales de equipos, datos de diagnóstico o fotografías del emplazamiento. Equipos de atención al cliente que alimentan la IA con datos de reclamaciones de clientes, patrones de consumo o información de vulnerabilidad para la redacción de respuestas. Planificadores de red que usan IA para analizar previsiones de demanda y propuestas de ampliación que contienen datos sensibles de planificación de la red.

El desafío de la fuerza laboral distribuida: los servicios públicos de energía operan con grandes plantillas geográficamente distribuidas, técnicos de campo, montadores de líneas, operadores de subestaciones, personal de plantas de generación, muchos de los cuales trabajan de forma remota o en emplazamientos distribuidos. Los controles de seguridad empresariales tradicionales pueden no extenderse de forma eficaz a estos trabajadores, que usan cada vez más dispositivos móviles y pueden tener una conectividad de red corporativa limitada. La adopción de Shadow AI entre los trabajadores de campo, que usan aplicaciones de IA en el smartphone para identificar equipos, interpretar códigos de fallo o redactar informes, es especialmente difícil de detectar y controlar.

Controles técnicos para la energía: implemente una segmentación de red que garantice que las redes OT no tengan ningún camino hacia servicios de IA externos, ni siquiera a través de los dispositivos de los empleados. Despliegue una gestión de dispositivos móviles (MDM) con controles de aplicaciones de IA para todos los dispositivos de la fuerza laboral de campo. Use reglas DLP configuradas para patrones de datos propios de la energía, identificadores de equipos, referencias de nodos de red, cifras de capacidad de generación y parámetros de sistemas SCADA. Implemente filtrado DNS y controles de proxy web que bloqueen los puntos de conexión de servicios de IA conocidos, tanto en las redes corporativas como en las redes adyacentes a OT. Supervise el tráfico de API de IA procedente de las estaciones de trabajo de ingeniería y los sistemas operativos.

Proporcionar alternativas de IA seguras: despliegue herramientas de IA aprobadas adaptadas a las necesidades del sector energético. Proporcione una plataforma de IA local o en nube privada para el análisis de ingeniería que mantenga los datos OT en entornos controlados. Ofrezca una IA de mantenimiento predictivo aprobada con controles adecuados de seguridad OT y manejo de datos. Suministre una plataforma de IA analítica de clientes validada con un manejo de datos conforme al Privacy Act para las operaciones de comercialización. Cree plantillas de solicitudes y flujos de IA aprobados para las tareas de ingeniería y operativas comunes.

Formación y cultura: la formación en IA del sector energético debe enfatizar el contexto de infraestructura crítica. Realice formación específica por roles que vincule la seguridad de la IA con la seguridad operativa y los resultados de seguridad pública. Use ejercicios basados en escenarios, «¿qué ocurre si un adversario envenena el modelo de previsión de la demanda?», para hacer tangibles los riesgos. Incluya la seguridad de la IA en las evaluaciones de preparación operativa y en las sesiones informativas de seguridad. Participe en la formación AESCSF y en los foros del sector (como los programas para el sector energético del Australian Cyber Security Centre) para mantenerse al día de las amenazas emergentes de la IA para la infraestructura energética.

Principales riesgos de seguridad de la IA en el sector Energy & Utilities

Compromiso SCADA/ICS a través de la IA

Sistemas de IA que se interconectan con la tecnología operativa creando vectores de ataque hacia los sistemas de control industrial, con potencial de interrupción física de la red

Manipulación por IA de la estabilidad de la red

Ataques adversarios contra la IA de previsión de la demanda o de equilibrado de carga que provocan un despacho incorrecto de la generación e inestabilidad de la red

Exposición de datos de infraestructura crítica

Topología de la red, ajustes de protección y datos de capacidad de generación expuestos a través de herramientas de IA, creando un riesgo de seguridad nacional

Shadow AI en los equipos de ingeniería

Ingenieros y operadores que usan herramientas de IA no aprobadas con datos OT, configuraciones SCADA e información de planificación de infraestructuras

Privacidad de los datos de los contadores inteligentes de clientes

Datos granulares de consumo energético que revelan patrones de comportamiento de los ocupantes, procesados por IA sin un cumplimiento adecuado del Privacy Act

Incumplimiento del SOCI Act

No incluir los sistemas de IA en los Critical Infrastructure Risk Management Programs, exponiendo a la organización a una acción coercitiva regulatoria

Lista de cumplimiento de IA para el sector Energy & Utilities

  • 1
    Incluir los sistemas de IA en el Critical Infrastructure Risk Management Program (CIRMP) conforme al SOCI Act
  • 2
    Evaluar anualmente la madurez de la gobernanza de la IA frente a las áreas de capacidad del AESCSF
  • 3
    Implementar una segmentación de red que garantice que ningún servicio de IA en la nube tenga acceso directo a OT
  • 4
    Realizar evaluaciones de seguridad para todos los sistemas de IA clasificados como Zona 1 o Zona 2 (interconectados con OT)
  • 5
    Desplegar IA de borde dentro del perímetro OT para la analítica operativa crítica en tiempo real
  • 6
    Verificar el cumplimiento de los proveedores de IA con las obligaciones del SOCI Act y los requisitos de soberanía de datos
  • 7
    Implementar reglas DLP que detecten patrones de datos OT en el tráfico saliente hacia los servicios de IA
  • 8
    Establecer procedimientos de gestión del cambio para los sistemas de IA que afectan a las operaciones energéticas
  • 9
    Formar a todo el personal de ingeniería, operaciones y campo en las herramientas de IA aprobadas y el manejo de datos OT
  • 10
    Mantener una capacidad de anulación manual para todas las decisiones operativas asistidas por IA

Guías sectoriales relacionadas

Relacionado

Proteja la IA en su organización del sector Energy & Utilities

Aona AI ayuda a las organizaciones del sector energy & utilities a descubrir, supervisar y gobernar el uso de la IA con controles de cumplimiento específicos del sector.