Los incidentes de ciberseguridad incrementan el gasto anual en los ICS en más de 450 mil euros anuales
Aunque la mayoría de las empresas industriales cree que están preparadas para enfrentarse a los posibles incidentes de ciberseguridad, la realidad es muy distinta.
Según un estudio realizado por Kaspersky Lab, el año pasado las empresas de sistemas de control industrial (ICS) sufrieron entre uno y cinco incidentes. De media, los costes paliativos de un incidente ascienden a unos 200 mil euros, cifra que alcanza los 450 mil euros anuales para las empresas industriales.
La industria 4.0 está haciendo que la ciberseguridad sea la prioridad número uno para las empresas ICS, añadiendo nuevos retos a los que enfrentarse. Éstos incluyen la convergencia de las TI y la tecnología operacional (OT), así como la disponibilidad de las redes de control industrial para proveedores externos. Para conocer mejor los problemas y oportunidades a los que se enfrentan estas empresas, Kaspersky Lab y Business Advantage han realizado un estudio global con la participación de 359 profesionales de la ciberseguridad (febrero-abril 2017).
Una de las principales conclusiones del estudio es la gran diferencia entre realidad y percepción que existe alrededor de los incidentes de ciberseguridad industrial. Por ejemplo, a pesar de que el 83% de los participantes creía estar bien preparado para responder a los incidentes de ciberseguridad OT/ICS, la mitad de las empresas entrevistadas había sufrido entre uno y cinco incidentes de seguridad TI en los 12 meses anteriores, y en el 4% de los casos el número de incidentes había superado los seis.
Ante esta situación cabe preguntarse qué es lo que tiene que cambiar en las estrategias de protección y seguridad TI de las organizaciones, de modo que puedan proteger sus datos empresariales críticos y procesos tecnológicos más eficientemente.
Experiencia frente a incidentes: ciberseguridad en el día a día
Las empresas ICS son conscientes de los riesgos a los que se enfrentan: el 74% de los participantes no se sorprendería si su infraestructura sufriese un ciberataque. A pesar de la gran notoriedad de las nuevas amenazas, como los ataques dirigidos y el ransomware, el principal punto de debilidad de la mayoría de las organizaciones ICS sigue siendo el malware convencional (principal vector de peligro para el 56% de los participantes). En este caso, la percepción sí que coincide con la realidad: todos los participantes en la encuesta tuvieron el año pasado que resolver las consecuencias de un ataque de malware convencional.
Pero también encontramos errores de empleados y acciones involuntarias que son mucho más peligrosas que los partners o los intervinientes en la cadena de suministro, o que el sabotaje y los daños físicos de origen externo. Y a pesar de ello, los actores externos son todavía vistos como las tres primeras amenazas para las organizaciones ICS.
Mientras tanto, las tres principales consecuencias de los incidentes son: daños en la calidad de productos y servicios, pérdida de información confidencial o propietaria y, por último, disminución o pérdida en la producción.
Estrategias de seguridad
El 86% de las empresas entrevistadas cuenta con una política de ciberseguridad ICS aprobada y documentada dirigida a protegerles frente a incidentes potenciales. Sin embargo, la experiencia ha demostrado que esto ya no es suficiente ya que se enfrentan también a una carencia de experiencia de seguridad TI tanto interna como externa. Así, estas organizaciones admiten que la falta de conocimientos es la mayor preocupación cuando se trata de seguridad ICS. Esta situación es especialmente preocupante ya que muestra que las organizaciones industriales no siempre están preparadas para hacer frente a un ataque, y se encuentran en riesgo constante de verse comprometidas. Algunas veces por sus propios empleados. “Las amenazas internas son muy peligrosas. Estamos bien protegidos frente a las amenazas externas, pero en lo que se refiere a las internas, el camino es directo, sin ningún tipo de firewall entre medias. La amenaza suele nacer de la mano de los propios miembros de nuestros equipos, sin que lo sepamos”, reconoce un profesional de ICS de un fabricante alemán.
En el lado positivo, la estrategia adoptada por los profesionales en materia de seguridad industrial parece muy sólida. La mayoría de las empresas ya ha abandonado las técnicas de aislamiento (air gap) y han adoptado soluciones mucho más amplias. Así, Los profesionales entrevistados (42%) tienen previsto incorporar herramientas de detección de anomalías y poner en marcha planes de formación de concienciación para el personal en los próximos 12 meses. La detección de amenazas de anomalías industriales es especialmente importante, ya que las empresas que participaron en el estudio admitieron que los proveedores externos acceden a las redes de control industrial en sus organizaciones, ampliando el perímetro de amenazas.
“La creciente interconectividad de los sistemas IT y OT presenta nuevos retos de seguridad y exige una notable preparación de la dirección, ingenieros y equipos de seguridad TI. Necesitan contar con una comprensión del escenario de riesgo, entender bien qué es protección y garantizar que los empleados también están alineados”, afirma Andrey Suvorov, responsable de protección de infraestructuras críticas en Kaspersky Lab. “Con las ciberamenazas llamando a la puerta de los sistemas de control industrial, lo mejor es estar preparados”.