«Las organizaciones que operan servicios esenciales no están suficientemente preparadas para dar respuesta a los incidentes de ciberseguridad», ha destacado Mario García, director general de Check Point para España y Portugal, en el curso de la presentación del informe «Incidentes de Ciberseguridad Industrial en Servicios Esenciales de España», que analiza el nivel de protección en los entornos industriales críticos. Bajo lema «Promoviendo un escenario de confianza en España», el propio García y José Valiente, director del Centro de Ciberseguridad Industrial han dado a conocer las principales conclusiones extraídas del estudio.
Entre las principales conclusiones del estudio, en el que han participado 18 operadores de 5 sectores estratégicos, destaca que casi el 75% de los entrevistados considera que el nivel de vulnerabilidad de las infraestructuras OT de los servicios esenciales es alto. Estos datos son alarmantes, dado que, según el Centro Criptológico Nacional, en 2018 se registraron más de 33.000 incidentes de ciberseguridad en entidades del sector público y empresas de interés estratégico para España, lo que supone un 25% más que el año anterior. En este sentido, la capacidad de respuesta frente a ciberamenazas se mantiene como la asignatura pendiente para garantizar la seguridad de las infraestructuras críticas. El estudio llevado a cabo por Check Point y el Centro de Ciberseguridad Industrial refleja la necesidad de trabajar en este aspecto, puesto que tan sólo un 20% de tos encuestados califica la capacidad de respuesta en entornos OT como alta. En este contexto, el sector «Gas y Petróleo» es el único que declara estar bien preparado en ambos entornos.
Mario García señaló que «la prestación de los servicios esenciales está cada vez más ligada a las redes y sistemas de información, debido fundamentalmente al tratamiento tan intenso que realizan de los datos (personales o no) así como la creciente automatización de los procesos internos». A lo que añade que «esto implica una mayor exposición a los riesgos que existen en Internet, un canal que abre la puerta a infecciones y ciberataques que ponen en riesgo la seguridad de la información y comprometen el funcionamiento de estas instituciones».
Ciberseguridad y la falta de preparación ante las ciberamenazas
Por otra parte, en cuanto a las consecuencias derivadas de los ataques sufridos, casi un 30% de los profesionales señala que la pérdida de un servicio esencial es uno de los principales ciberincidentes a los que hacen frente. Esto es debido, principalmente, a que las tecnologías industriales que operan servicios esenciales no han incorporado requisitos de ciberseguridad. Por el contrario, resulta llamativo la falta de concienciación sobre las consecuencias físicas que pueden tener las vulnerabilidades en sectores como el de «Agua» o «Salud», donde sólo un 10% de los encuestados lo consideran como una consecuencia a tener en cuenta.
La gestión de las ciberamenazas es un factor crucial a la hora de garantizar la máxima seguridad. En este sentido, el primer paso en la elaboración de las estrategias de ciberseguridad de las empresas consiste en dilucidar si la gestión de los recursos y soluciones de protección se realizará de forma interna o si, por el contrario, se externalizará. El estudio señala que la mitad de los encuestados han indicado que la gestión es propia y la otra mitad que la gestión es externa. Asimismo, tampoco existe una respuesta determinante entre gestión IT y OT integrada o independiente, siendo ligeramente en más casos la gestión independiente.
Sin embargo, por sectores sí se vislumbran claras diferencias, puesto que la estructura organizativa de los sectores «Salud» y «Eléctrico» renuncia a la gestión propia, mientras que otros como los sectores «Agua» y «Gas y Petróleo» apuestan por ella. El sector «Transportes», por el contrario, es el único que mantiene el equilibrio entre ambas estrategias.
Un 41% de las organizaciones que han participado en la encuesta están convencidos de que la principal ciberamenaza de cara al futuro próximo serán los incidentes que comprometan la seguridad de los dispositivos loT. Analizando la información por sectores, podemos resaltar que tanto «Salud» (60%) como «Gas y Petróleo» (50%) son los modelos de negocio que se ven más afectados por este tipo de amenazas, mientras que el sector «Agua», con un 33%, es el que muestra un mejor comportamiento en términos de protección.
Asimismo, los ataques multivector (21%) se configuran como la segunda amenaza más importante para las empresas. En este sentido, una vez más el sector «Gas y Petróleo» (33%), vuelve a situarse en las primeras posiciones en términos de riesgo frente a este tipo de vulnerabilidad. Por otra parte, los ataques de ransomware de operación (20%), ocupan la tercera posición, siendo los sectores de «Transporte» (25%) y «Eléctrico» (22%) los más damnificados por estas ciberamenazas.
Ante esta situación, la mayoría de las organizaciones industriales empiezan a contemplar, al menos, requisitos básicos de Ciberseguridad Industrial en sus nuevos proyectos, siendo los correspondientes a las infraestructuras de comunicaciones donde se contempla mayor exigencia, tanto en las redes WAN (conexiones y accesos a redes remotas) y LAN (redes locales).
«Sin embargo, hay razones para el optimismo, ya que las empresas que se dedican a este tipo de actividades muestran cada vez un mayor nivel de concienciación y, por tanto, están realizando grandes esfuerzos para optimizar sus niveles de protección», añadió García.