Stuxnet fue un punto de inflexión para el sector de la ciberseguridad de las Infraestructuras Críticas. En enero de 2010, Stuxnet dañó el 20% de las centrifugadoras nucleares de Irán, retrasando durante años la puesta en marcha de la central nuclear de Bushehr. Cinco años más tarde, en 2015, también fuimos testigos del incidente en Ivano-Frankivsk, Ucrania, donde la mitad de los hogares de esta región se quedaron sin electricidad debido a un ataque (BlackEnergy APT) contra la planta eléctrica de la localidad.
Estos graves incidentes son solo ejemplos de lo devastador que puede ser un ciberataque. Lamentablemente, estas infraestructuras no fueron diseñadas para conectarse a redes remotas o redes públicas, siendo el aislamiento y un acceso restringido las principales estrategias de ciberseguridad. Ahora, estas iniciativas de seguridad han quedado obsoletas y ya no son suficientes.
En la actualidad, los grupos cibercriminales dedican gran parte de sus esfuerzos a explotar vulnerabilidades en las redes y en el software instalado en los ICS.
Si nos remitimos a las cifras, y de acuerdo con el informe “Panorama de amenazas en los sistemas de automatización industrial”, en el primer semestre de 2017, se detectaron, a nivel global, ataques contra el 37,6% de ordenadores ICS. De estos, un 5% afectaron al sector energético y un 3% a industrias de gas y petróleo.
Un nuevo enfoque de ciberseguridad
Queda demostrado que el aislamiento de los entornos críticos ya no es una opción. Hay que tener en cuenta las modernas amenazas y vulnerabilidades y ha de basarse en lo aprendido durante todos estos años y en las prioridades de estos sectores. Si bien es cierto que muchas amenazas pueden coincidir, hay diferencias muy significativas entre los requerimientos de ciberseguridad de los sistemas industriales y las empresas en general. Principalmente es un tema de prioridades. Si en el mundo empresarial, la mayor preocupación se centra en salvaguardar los datos; en el mundo industrial lo que prima es la disponibilidad. Lamentablemente, en los últimos años, los ataques contra las empresas de energía están en alza por lo que hay que hacer especial hincapié en la seguridad que rodea a estos sistemas que son, al fin y al cabo, los que controlan el funcionamiento, bienestar y desarrollo de ciudades enteras.
Que los sistemas ICS de las empresas supongan un tercio de todos los ataques es un gran problema de seguridad. Hay muchos riesgos de que un ciberataque llegue a dañar los sistemas de automatización industrial, con importantes consecuencias para la economía y el bienestar de la sociedad.
Además del ransomware, malware y de los ataques dirigidos, estas industrias se enfrentan a otro tipo de amenazas y riesgos cuyo blanco son las personas, los procesos y la tecnología. Y subestimar estos riesgos puede tener graves consecuencias. Cibersabotaje, falta de informes, acciones fraudulentas, errores de proveedores/operadores de SCADA (Supervisión, Control y Adquisición de Datos), falta de conocimiento, falta de datos contrastados para análisis forense, etc…
Así, y teniendo en cuenta que la disponibilidad de los procesos es clave en estas industrias, la seguridad industrial debe basarse en tres pilares: un enfoque basado en procesos, tecnologías creadas específicamente para entornos industriales y formación de empleados. Este último pilar es fundamental, y es que los trabajadores suelen ser el eslabón más débil de la cadena y una ventana abierta para las actividades delictivas de los cibercriminales. De hecho, un fallo de un trabajador metiendo un USB infectado en el ordenador de la oficina o conectándose a Wifis gratuitas sin control, puede poner en riego a toda la compañía. Por ello, la formación en materia de ciberseguridad es imprescindible. Si los trabajadores recibiesen la información adecuada, habría un 93% de posibilidades de que el conocimiento adquirido sobre ciberseguridad se aplique cada día, y los incidentes podrían reducirse en un 90%.
Y no olvidemos que la seguridad de estas empresas debe basarse en la combinación de tecnología, inteligencia y experiencia, y siempre considerar la seguridad como un proceso que evoluciona, y no como algo estático.
Alfonso Ramírez, director general de Kaspersky Lab Iberia.
Deja tu comentario
Tu dirección de correo electrónico no será publicada. Todos los campos son obligatorios