InformesSeguridad

¿Hasta qué punto son vulnerables nuestras infraestructuras críticas?

En 2018 se registraron más de 33.000 incidentes de ciberseguridad en entidades del sector público y empresas de interés estratégico para España, lo que supone un 25% más que el año anterior.

Check Point y el Centro de Ciberseguridad Industrial (CCI) han presentado el informe “Incidentes de Ciberseguridad Industrial en Servicios Esenciales de España”, que analiza el nivel de protección en los entornos industriales críticos.

Entre las principales conclusiones del estudio, en el que han participado 18 operadores de 5 sectores estratégicos, destaca que casi el 75% de los entrevistados considera que el nivel de vulnerabilidad de las infraestructuras OT de los servicios esenciales es alto. Estos datos son alarmantes, dado que, según el Centro Criptológico Nacional, en 2018 se registraron más de 33.000 incidentes de ciberseguridad en entidades del sector público y empresas de interés estratégico para España, lo que supone un 25% más que el año anterior. En este sentido, la capacidad de respuesta frente a ciberamenazas se mantiene como la asignatura pendiente para garantizar la seguridad de las infraestructuras críticas. El estudio llevado a cabo por Check Point y el Centro de Ciberseguridad Industrial refleja la necesidad de trabajar en este aspecto, puesto que tan sólo un 20% de los encuestados califica la capacidad de respuesta en entornos OT como alta.  En este contexto, el sector “Gas y Petróleo” es el único que declara estar bien preparado en ambos entornos.

Mario García, director general de Check Point para España y Portugal, señala que “la prestación de los servicios esenciales esta´ cada vez más ligada a las redes y sistemas de información, debido fundamentalmente al tratamiento tan intenso que realizan de los datos (personales o no) así como la creciente automatización de los procesos internos”. A lo que añade que “esto implica una mayor exposición a los riesgos que existen en Internet, un canal que abre la puerta a infecciones y ciberataques que ponen en riesgo la seguridad de la información y comprometen el funcionamiento de estas instituciones”.

La falta de preparación para dar respuesta a los ciberataques es el enemigo a batir

Por otra parte, en cuanto a las consecuencias derivadas de los ataques sufridos, casi un 30% de los profesionales señala que la pérdida de un servicio esencial es uno de los principales ciberincidentes a los que hacen frente. Esto es debido, principalmente, a que las tecnologías industriales que operan servicios esenciales no han incorporado requisitos de ciberseguridad. Por el contrario, resulta llamativo la falta de concienciación sobre las consecuencias físicas que pueden tener las vulnerabilidades en sectores como el de “Agua” o “Salud”, donde sólo un 10% de los encuestados lo consideran como una consecuencia a tener en cuenta.

¿Qué estructura siguen en la gestión de la ciberseguridad OT?

La gestión de las ciberamenazas es un factor crucial a la hora de garantizar la máxima seguridad. En este sentido, el primer paso en la elaboración de las estrategias de ciberseguridad de las empresas consiste en dilucidar si la gestión de los recursos y soluciones de protección se realizará de forma interna o si, por el contrario, se externalizará. El estudio señala que la mitad de los encuestados han indicado que la gestión es propia y la otra mitad que la gestión es externa. Asimismo, tampoco existe una respuesta determinante entre gestión IT y OT integrada o independiente, siendo ligeramente en más casos la gestión independiente.

Sin embargo, por sectores sí se vislumbran claras diferencias, puesto que la estructura organizativa de los sectores “Salud” y “Eléctrico” renuncia a la gestión propia, mientras que otros como los sectores “Agua” y “Gas y Petróleo” apuestan por ella. El sector “Transportes”, por el contrario, es el único que mantiene el equilibrio entre ambas estrategias.

¿Qué deparará el futuro?

Un 41% de las organizaciones que han participado en la encuesta están convencidos de que la principal ciberamenaza de cara al futuro próximo serán los incidentes que comprometan la seguridad de los dispositivos IoT. Analizando la información por sectores, podemos resaltar que tanto “Salud” (60%) como “Gas y Petróleo” (50%) son los modelos de negocio que se ven más afectados por este tipo de amenazas, mientras que el sector “Agua”, con un 33%, es el que muestra un mejor comportamiento en términos de protección.

Mario García, Check Point.
Mario García, Check Point.

Asimismo, los ataques multivector (21%) se configuran como la segunda amenaza más importante para las empresas. En este sentido, una vez más el sector “Gas y Petróleo” (33%), vuelve a situarse en las primeras posiciones en términos de riesgo frente a este tipo de vulnerabilidad.  Por otra parte, los ataques de ransomware de operación (20%), ocupan la tercera posición, siendo los sectores de “Transporte” (25%) y “Eléctrico” (22%) los más damnificados por estas ciberamenazas.

Ante esta situación, la mayoría de las organizaciones industriales empiezan a contemplar, al menos, requisitos básicos de Ciberseguridad Industrial en sus nuevos proyectos, siendo los correspondientes a las infraestructuras de comunicaciones donde se contempla mayor exigencia, tanto en las redes WAN (conexiones y accesos a redes remotas) y LAN (redes locales).

“Este estudio demuestra que todavía las organizaciones que operan servicios esenciales no están suficientemente preparadas para dar respuesta a los incidentes de ciberseguridad”, señala Mario García, director general de Check Point para España y Portugal. “Sin embargo, hay razones para el optimismo, ya que las empresas que se dedican a este tipo de actividades muestran cada vez un mayor nivel de concienciación y, por tanto, están realizando grandes esfuerzos para optimizar sus niveles de protección”, añade García.

Computing 784