Los incidentes de ciberseguridad pueden ser intencionados o no. La mayoría son provocados por fallos del software o un error humano por falta de concienciación o formación. En los incidentes intencionados es muy importante entender bien los pasos ejecutados por un malware o por los atacantes, ser conscientes de los equipos comprometidos y los procesos afectados, saber quién es el responsable del ataque, cuáles han sido las vías de entrada (paciente cero) y de propagación, si la amenaza está acotada o sigue extendiéndose…
Y los riesgos identificados (operativo, financiero, medioambiental, seguridad de los trabajadores, reputación pública) son objetivos a los que debe dar respuesta el Centro de Operaciones de Seguridad (SOC) gracias a las tareas ejecutadas por los diferentes equipos que lo conforman.
Servicios esenciales
Un reciente estudio realizado por el Centro de Ciberseguridad Industrial (CCI) sobre incidentes de ciberseguridad industrial en servicios esenciales de España, en el que participaron representantes de organizaciones de los sectores eléctrico, gas y petróleo, agua, transporte y salud, esclarece que más del 50% de los entrevistados conoce incidentes ocasionados por malware o ataques dirigidos. En cambio, sólo el 7% es consciente de incidentes que han comprometido la información y el 4% afirma estar al tanto de incidentes por fraude en servicios esenciales.
Las tecnologías que se utilizan en la automatización y el control industriales de organizaciones que prestan servicios esenciales son muy diversas. El Equipo de Respuesta a Emergencias Informáticas de Sistemas de Control Industrial (ICS-CERT) perteneciente al gobierno de Estados Unidos, que se ocupa de la seguridad relacionada con los sistemas de control industrial, publicó en 2015 un informe sobre vulnerabilidades en diferentes actividades, concluyendo que sectores como el energético (eléctrico, gas y petróleo) y el del agua tienen más vulnerabilidades que los del transporte o la salud.
La razón principal es que en estos sectores se usan más tecnologías comerciales, que son las tecnologías donde se han descubierto y publicado más vulnerabilidades.
En general, casi el 75% de los entrevistados en el estudio realizado por el CCI considera que el nivel de vulnerabilidad de las infraestructuras OT (tecnologías de operación) de los servicios esenciales es alto.
Y casi el 30% de los profesionales encuestados opina que la pérdida de un servicio esencial es una de las principales consecuencias de los incidentes de ciberseguridad. Esto es debido principalmente a que las tecnologías industriales que operan servicios esenciales no han incorporado requisitos de ciberseguridad, lo cual les hace muy vulnerables frente a comportamientos no esperados.
Según el estudio, al preguntar sobre las capacidades de respuesta distinguiendo entre tecnologías de información (IT) y OT, se ve claramente que las capacidades de respuesta en entornos IT es alta según un 50% de los encuestados, lo que contrasta con el 20% de capacidad de respuesta en un entorno OT. Es cierto que las organizaciones que han participado en la encuesta están inmersas en un proceso de adecuación de su SOC para gestionar incidentes, lo cual indica que un alto porcentaje de organizaciones industriales está gestionando o empezando a gestionar los riesgos tecnológicos.
La prestación de los servicios esenciales está cada vez más ligada a las redes y sistemas de información por el tratamiento tan intenso de los datos (personales o no) y por la creciente automatización de los procesos internos de producción y gestión económica. Ello implica, a su vez, una mayor exposición a los riesgos que existen en el empleo de una red abierta y global, como Internet, canal por el cual también se difunden infecciones de virus y programas maliciosos que pueden llegar a interferir en la prestación de servicios esenciales, provocar fugas de datos personales, comprometer información confidencial de valor comercial y afectar, en fin, al funcionamiento de los servicios esenciales. Y en estos últimos, como se demuestra en el estudio del CCI y en las estadísticas de los CERT, el número de incidentes gestionados ha ido en aumento en los últimos años.
