¿Están seguros los entornos industriales críticos?

El informe  “Incidentes de Ciberseguridad Industrial en Servicios Esenciales de España”, que firman Check Point y CCI, arroja conclusiones inquietantes. La primera es que tres de cada cuatro operadores de sectores críticos, consideran que las infraestructuras OT (acrónimo de tecnología operacional) de los servicios esenciales son vulnerables.

Las empresas autoras del estudio recuerdan que, según los datos del Centro Criptológico Nacional, en 2018 se registraron más de 33.000 incidentes de ciberseguridad en entidades del sector público y empresas de interés estratégico para España, lo que supone un 25% más que el año anterior. Por eso, el estudio incide en la necesidad de trabajar en la capacidad de respuesta frente a ciberamenazas, cuestión en la que sólo un 20% de los encuestados califica su preparación en entornos OT como alta, salvo las empresas del sector de Gas y Petróleo, que declaran estar bien preparadas en ambos entornos, IT y OT.

Por otra parte, cuando se les pregunta por las consecuencias de los ataques, casi un 30% de los profesionales señala que la pérdida de un servicio esencial es uno de los principales ciberincidentes a los que hacen frente. “Esto se debe, principalmente, a que las tecnologías industriales que operan servicios esenciales no han incorporado requisitos de ciberseguridad. Por el contrario, resulta llamativo la falta de concienciación sobre las consecuencias físicas que pueden tener las vulnerabilidades en sectores como los de Agua o Salud, en los que sólo un 10% de los encuestados lo consideran como una consecuencia a tener en cuenta”, dice el documento.

La gestión de la ciberseguridad OT, clave
La gestión de las ciberamenazas es un factor crucial a la hora de garantizar la máxima seguridad. El primer paso en la elaboración de las estrategias de ciberseguridad de las empresas consiste en dilucidar si la gestión de los recursos y soluciones de protección se realizará de forma interna o si, por el contrario, se externalizará. El estudio señala que la mitad de los encuestados han indicado que la gestión es propia y la otra mitad que la gestión es externa.

Las respuestas sobre si se gestionan IT y OT de forma integrada o independiente también están muy igualadas, con una ligera superioridad de la segunda opción. Sin embargo, por sectores sí se vislumbran claras diferencias, puesto que la estructura organizativa de los sectores Salud y Eléctrico renuncia a la gestión propia, mientras que otros como los de Agua y Gas y Petróleo” apuestan por ella. El sector Transportes es el único que mantiene el equilibrio entre ambas estrategias.

Empresas más concienciadas
Un 41% de las organizaciones encuestadas están convencidas de que la principal ciberamenaza de cara al futuro próximo serán los incidentes que comprometan la seguridad de los dispositivos IoT. Según sus respuestas, los ataques multivector (21%) será como la segunda amenaza más importante para las empresas y en tercer lugar, los ataques de ransomware.

Ante esta situación, la mayoría de las organizaciones industriales empiezan a considerar, al menos, requisitos básicos de Ciberseguridad Industrial en sus nuevos proyectos, y son los correspondientes a las infraestructuras de comunicaciones donde se contempla mayor exigencia, tanto en las redes WAN (conexiones y accesos a redes remotas) y LAN (redes locales).

A modo de conclusión, Mario García, director general de Check Point para España y Portugal, dice que “este estudio demuestra que todavía las organizaciones que operan servicios esenciales no están suficientemente preparadas para dar respuesta a los incidentes de ciberseguridad. Sin embargo, hay razones para el optimismo, ya que las empresas que se dedican a este tipo de actividades muestran cada vez un mayor nivel de concienciación y, por tanto, están realizando grandes esfuerzos para optimizar sus niveles de protección”.