Check Point ha celebrado su evento anual Check Point CyberDay 2017 en el que Mario García, director general de Check Point para España y Portugal, y Miguel García-Menéndez, vicepresidente del Centro de Ciberseguridad Industrial, han presentado el informe “Estado de la ciberseguridad en los operadores de infraestructuras críticas, en España”.
Este estudio refleja el nivel de seguridad en las infraestructuras críticas, españolas, diez años después de que se aprobara en nuestro país el Plan Nacional de Protección de las Infraestructuras Críticas. Los resultados se han extraído a través de las respuestas a una encuesta realizada a empresas de cinco sectores estratégicos, entre finales de 2016 y principios de 2017.
A día de hoy todavía dos de cada diez operadores de infraestructuras críticas no han evaluado su nivel de riesgo contra una ciberamenaza
Según los datos recogidos, a día de hoy todavía dos de cada diez operadores de infraestructuras críticas no han evaluado su nivel de riesgo contra una ciberamenaza. Especialmente en los sectores de Aguas y de Transporte, donde los porcentajes se disparan y alcanzan un 40% y un 44%, respectivamente.
“Cuando los operadores de infraestructuras críticas no se someten a pruebas normativas, técnicas y organizativas, ponen en peligro a toda la población. Sobre todo, en sectores tan sensibles como el del agua o el del transporte” explica Mario García, director general de Check Point para España y Portugal. “A día de hoy, absolutamente todas las empresas están conectadas. Y si están en Internet, son susceptibles de ser atacadas. Un ciberdelincuente que se haga con el control de, por ejemplo, una potabilizadora, podría alterar de forma remota la fórmula del agua que se suministra a una población, y envenenar a todos sus ciudadanos”.
El sector de Aguas está por debajo de la media en sensibilización de los responsables de negocio. El 67% de los directivos no está concienciado sobre el efecto que puede tener un ciberataque, un porcentaje muy grande si lo comparamos con la media de todas las industrias, del 25%.
“El reto no es solo concienciar a los responsables de negocio, sino a la sociedad en su conjunto. Una brecha de seguridad en entornos industriales puede llegar a tener consecuencias catastróficas para la ciudadanía. Debemos ser conscientes del riesgo que puede suponer para el patrimonio (las instalaciones), para el medioambiente y, en última instancia, para las personas una manipulación malintencionada de los sistemas de operación. Sólo así, las medidas que se adopten para proteger dichos entornos dejarán de verse como una imposición de los departamentos de tecnología y se verán como una contribución más a la seguridad global” declara Miguel García-Menéndez, vicepresidente del Centro de Ciberseguridad Industrial.
El informe también revela que los operadores de infraestructuras críticas adoptan, cada vez, mejores medidas de protección. Más del 50% de las compañías que han participado en el estudio han declarado contar con firewalls convencionales, antivirus e IDS/IPS, y llevar a cabo auditorías de seguridad interna y una gestión de la respuesta a incidentes. Sin embargo, todavía muy pocas (menos del 20%) utilizan firewalls industriales específicos y gestionan la seguridad de su cadena de suministro.
A pesar de ello, las predicciones para el futuro son positivas: el 75% de los encuestados consideran que la inversión en ciberseguridad industrial se incrementará en los próximos meses. Los sectores más optimistas son el Eléctrico, el de Aguas, el Financiero y el Nuclear (el 100% cree que mejorará). Por el contrario, actualmente sólo el 37% de las empresas del sector Transportes comparten esa previsión.