El coste de un ciberataque supera en ocasiones el de un desastre natural
- Actualidad
Un informe elaborado por expertos de la Fundación para la Defensa de las Democracias (FDD) y el grupo de seguros Intangic, desvela que el coste de un ataque contra un proveedor de servicios esenciales podría igual el de un huracán.
En la elaboración de informe The Economic Cost of Cyberrisk se ha utilizado un sistema de clasificación de riesgo desarrollado por Intangic para estimar el impacto de dos tipos de ciberataques disruptivos. Según este sistema, un ciberataque que genere una interrupción de tres días de un proveedor que de servicios a cientos de clientes en una variedad de campos críticos podría generar una pérdida económica de casi 80.000 millones de dólares, una cifra superior a los 65.000 millones que causó el huracán Sandy en 2012.
Si te interesa el informe The Economic Cost of Cyber Risk puedes descargarlo desde este enlace.
Las pérdidas serían aún mayores si el ciberataque es contra un servicio crítico. Según el estudio de Intangic una brecha de seguridad que provoque una interrupción en el suministro eléctrico durante cinco días costaría aproximadamente 193.500 millones de dólares, más que el coste del huracán Katrina de 2005 y los incendios forestales de California de 2018.
Estados Unidos ha sido testigo de una muestra de los efectos de los coberataques en el mundo real con el impacto que un ransomware tuvo contra Colonial Pipeline y el productor de carne JBS.
Según los autores del informe, Chris Nolan de Intangic y Annie Fixler of FDD, hasta la fecha el mercado no ha logrado incentivar las inversiones en ciberseguridad porque ni los reguladores ni los inversores pueden medir “de manera objetiva y transparente si las empresas están administrando adecuadamente la tecnología digital y los riesgos relacionados”. Excepto en casos limitados, las empresas no están obligadas a revelar infracciones cibernéticas o vulnerabilidades que afecten directamente a su salud financiera y operaciones comerciales.
Para comenzar a remediar la falta de transparencia en torno al ciberriesgo, los autores recomiendan la implementación de una ley nacional de notificación de infracciones y el requisito de que las empresas que cotizan en bolsa proporcionen información basadas en dólares de los riesgos e incidentes cibernéticos.
Según el informe “una mayor transparencia en torno a las infracciones y vulnerabilidades, junto con una guía más clara para las grandes y pequeñas empresas por igual, elevaría el nivel de ciberseguridad de nuestra nación”.