Un estudio ha revelado que un número creciente de ciberataques a instalaciones clave han dejado a los sistemas fuera de servicio en los últimos dos años.
Una encuesta realizada por el Ponemon Institute entre profesionales de la seguridad de seis países, incluido el Reino Unido, reveló que el 90% de ellos habían sufrido al menos un ataque con éxito.
Se interrogó al personal de los sectores de servicios públicos, energía, salud y transporte.
Los expertos dijeron que los resultados son una llamada de atención para una industria que a menudo subestima los ataques y el daño causado.
El personal encargado de mantener en funcionamiento los sistemas de infraestructura crítica a menudo mantenía los detalles en secreto por razones de seguridad, dijeron.
El informe también concluye que la falta de recursos e información sobre ciberataques «implacables y continuos» es la mayor preocupación de la industria.
Ataques diarios
El Ponemon Institute, especializado en ciberseguridad y privacidad, utilizó una encuesta anónima para interrogar a más de 700 profesionales de la seguridad de Estados Unidos, Reino Unido, Alemania, Australia, México y Japón que trabajan para proteger infraestructuras críticas.
De los que respondieron, nueve de cada 10 dijeron que la organización para la que trabajaban había sido dañada por un ciberataque exitoso en los últimos dos años. Muchos informaron haber sido afectados por entre tres y seis de esos incidentes.
Los encuestados dijeron que alrededor de la mitad de los ataques exitosos habían resultado en el tiempo de inactividad de los sistemas críticos. Esto se debió a que los sistemas esenciales fueron destruidos como parte del ataque o a que los operadores tuvieron que apagar los sistemas para reparar el daño causado.
«Estos son múltiples y exitosos ataques contra el mundo físico utilizando tecnologías cibernéticas», dijo a la BBC Eitan Goldstein, de la empresa de seguridad Tenable, que encargó el informe.
«Ese es un cambio realmente grande y por eso el riesgo ya no es sólo teórico.
«Creemos que la razón es el aumento de la conectividad con los sistemas de control industrial.
«Hoy en día queremos ser capaces de realizar análisis y mantenimiento predictivo en nuestras centrales eléctricas, pero la proliferación de dispositivos y sensores inteligentes y de IO está aumentando realmente nuestra exposición cibernética a los ataques.
«En muchos casos, las organizaciones ni siquiera saben qué está conectado a Internet y a qué pueden acceder los hackers.»
Una imagen inquietante
El profesor Alan Woodward, del Centro de Seguridad Cibernética de la Universidad de Surrey, cuestionó la inesperada alta tasa de respuesta de la encuesta, pero añadió: «Incluso si los resultados son quizás ligeramente más altos de lo que podría ser el caso, porque el grupo se auto-selecciona, estos datos en su conjunto siguen dibujando un panorama preocupante.
«La mayor parte de la información de dominio público tiende a ser anecdótica o a estar impulsada por incidentes específicos. Este es uno de los pocos informes que he visto que tiene el número de encuestados que lo hacen potencialmente significativo desde el punto de vista estadístico.
«No sólo se están atacando elementos de infraestructuras críticas, sino que también se están atacando’con éxito’: estos ataques están teniendo un impacto tangible, a veces en múltiples ocasiones».
Cómo proteger la infraestructura clave
Suponga que se realizarán ataques. Prepárese con las personas, los procesos y la tecnología adecuados, o corra el riesgo de sufrir daños a largo plazo.
Date cuenta de que los ataques no se detendrán. Muchas organizaciones son atacadas con éxito varias veces al año
Protéjase contra los fallos humanos. Un ataque puede tener éxito porque sólo un empleado hace clic en un correo electrónico de phishing
Compartir información con organizaciones similares. Las organizaciones nacionales de defensa cibernética a menudo organizan foros en línea en los que se pueden compartir experiencias.
«Los datos también revelan temas preocupantes, como la falta de personal cualificado o planes de respuesta a incidentes apropiados para mitigar los ataques.»
Y añadió: «En muchos sentidos no importa cuál sea el motivo de los atacantes. Podrían ser delincuentes que buscan extorsionar dinero con un ataque tipo «scattergun» en el que el proveedor de la infraestructura resulta atrapado, o actores estatales que intentan interrumpir los servicios. Los resultados en la sociedad son los mismos.
«Cuando se piensa en lo que es una infraestructura crítica, es algo en lo que simplemente debemos invertir para protegerla.»