Sean cuales sean los hechos, una cosa es segura: nos encontramos en una ‘nueva era de la guerra’ y nuestras industrias pertenecientes a las infraestructuras críticas tienen que estar preparadas de forma adecuada para la inevitabilidad de los ciberdelitos.
Es una cuestión de cuándo, no de si sucederá
De acuerdo con Ciaran Martin, director del Centro Nacional Británico de Ciberseguridad, un ciberataque de gran magnitud en Reino Unido 'es una cuestión de cuándo, no de si sucederá'. Añade: ‘Tendremos suerte si terminamos esta década sin haber tenido que hacer frente a un ataque de categoría uno’.
Un ataque de ‘categoría uno’ es aquel que corta el servicio de cualquier elemento de una infraestructura crítica. Las consecuencias de un ataque de este tipo pueden ser potencialmente catastróficas y no solo en términos de continuidad de las operaciones y daño a la reputación o pérdida de ingresos, privacidad y confianza.
De hecho, hay mucho más en juego cuando se ven comprometidas las infraestructuras críticas. Las masivas ramificaciones que puede tener una situación de este tipo en la vida diaria y el bienestar general, por poner un ejemplo, pueden abarcar desde el caos económico a la interrupción de servicios esenciales. En el peor de los casos, puede ocasionar lesiones o la muerte de algunos ciudadanos.
Lo que resulta preocupante es el hecho de que aún nos queda mucho por hacer, como comunidad, si queremos siquiera entender las causas de estos ataques a las infraestructuras. La investigación Black Hat de 2015 descubrió que los hackers habían penetrado los sistemas durante al menos una década, sin que apenas se supiera nada sobre cómo habían conseguido tener acceso. Muy poco ha cambiado desde entonces. Dado que tenemos problemas para ofrecer una respuesta proactiva y a la hora de plantear opciones de prevención, lo que queda claro es que ahora es aún más importante que nunca contar con una estrategia de backup.
El problema de la vulnerabilidad
El sistema nacional de salud británico (NHS) sufrió un ataque de ransomware con el WannaCry en 2017 (un ataque que ni siquiera era especialmente sofisticado), debido a cibervulnerabilidades básicas que se podrían haber resuelto antes. Se considera que no se hizo caso de las recomendaciones de ciberseguridad. ¿Cuál fue el resultado de este ataque? Se cancelaron miles de citas médicas y consultas hospitalarias, los ordenadores se apagaron en cientos de intervenciones médicas y un total de cinco hospitales tuvo que enviar a las ambulancias a otros centros.
Sin embargo, las vulnerabilidades en nuestras infraestructuras críticas no se deben a fallos a la hora de cumplir con las normas de seguridad. Ni tampoco se producen necesariamente por la falta de concienciación de los directivos del sector. Al contrario, una parte importante del problema radica en que muchos de los sistemas informáticos clave para la infraestructura crítica ejecutan sistemas tradicionales, potentes, pero que no están preparados para ofrecer una protección actualizada ante los ataques de los hackers.
Estos sistemas de seguridad industrial están diseñados para proteger activos y puntos de entrada físicos, pero ahora que cada vez hay más servicios públicos fundamentales soportados por redes de datos y activos alojados en cloud, el cambio a favor de reforzar la ciberseguridad se está convirtiendo en un tema que requiere atención urgente.
La disponibilidad es fundamental
En cierto modo, este último paso dado por el gobierno británico reconoce por primera vez el papel que desempeñan los servicios en cloud en las infraestructuras críticas. A medida que las medidas se vayan afianzando, las empresas dedicadas a las infraestructuras críticas verán que 2018 les presenta ‘una oportunidad para establecer mecanismos que impulsen las mejoras reales dentro de la ciberseguridad nacional’.
Los líderes TI del sector deben recibir el apoyo y la financiación necesaria para reforzar las redes de datos y desarrollar sistemas sólidos de continuidad de las operaciones. Ya no basta con tener un sistema de backup de datos; es importante que los proveedores de las infraestructuras críticas cuenten con la organización y automatización integradas como componentes básicos de sus redes, si quieren cumplir con los últimos objetivos de recuperación y garantizar el mínimo posible de interrupciones a la disponibilidad de las operaciones y, sobre todo, al bienestar general.
Tanto si un ataque se produce por simple maldad o como parte de una campaña de guerra, puede debilitar servicios esenciales. Un riesgo que los proveedores no quieren correr, sobre todo cuando hablamos de los mismos servicios que son fundamentales para la economía y la sociedad, como son las redes de suministro energético, el suministro de agua, las redes de trasporte, la sanidad pública, servicios financieros y de seguridad, la electricidad, gas, la agricultura y las telecomunicaciones, por citar algunos de una larga lista.
La cuestión es sencilla: cuando se trata de infraestructuras críticas, el tiempo de inactividad no es una opción. Las inminentes penalizaciones basadas en los reglamentos a las que pueden enfrentarse las empresas que no han hecho los deberes en el campo de la seguridad no son meras multas arbitrarias. Son una lección objetiva sobre la importancia de la disponibilidad de las infraestructuras críticas en favor de la continuidad de las operaciones y del bienestar general.