Durante los últimos años, los medios de comunicación han estado escribiendo cada vez con más frecuencia sobre incidentes de ciberseguridad en sistemas de control industrial (ICS por sus siglas en inglés). Por desgracia, el problema no solo reside en los ataques dirigidos, como los de BlackEnergy u Operation Ghoul, contra el sector industrial, sino también en las ciberamenazas comunes que no tienen víctimas específicas. El último ejemplo de ello ha sido el ransomware WannaCry, el cual no se diseñó específicamente para infectar sistemas de control industrial, pero consiguió infiltrarse en varias redes ICS, lo que causó una inactividad en los procesos industriales.
Pero ¿cómo responden los encargados de la seguridad de los ICS a las amenazas? ¿Cómo perciben los riesgos esos profesionales de la ciberseguridad? ¿Tienen las habilidades para combatirlas? ¿Se ajustan percepción y realidad? Hemos visto diferencias entre la percepción de los incidentes ICS dentro de las empresas industriales y la realidad. Por ello, con la ayuda de Business Advantage, hemos llevado a cabo una encuesta global con 359 profesionales de la ciberseguridad. Esto es lo que hemos descubierto.
Hallazgos de la ciberseguridad en los ICS
El 83 % de los encuestados cree que están bien preparados para afrontar incidentes de ciberseguridad en sistemas de control industrial. A su vez, la mitad de las empresas encuestadas han experimentado entre uno y cinco incidentes de seguridad informática en los últimos 12 meses frente al 4 % que ha experimentado más de seis.
Los expertos en la ciberseguridad de los ICS tienen una buena percepción de la realidad, pero no están convencidos de que se compartan sus opiniones: el 31 % dice que la ciberseguridad de los ICS tiene prioridad baja para los altos cargos.
La ciberseguridad ineficaz les cuesta a las organizaciones industriales, de media, 497.000 dólares al año.
Para la mayoría de las organizaciones ICS, el malware convencional sigue siendo la mayor amenaza: el 56 % de los encuestados considera que es el foco más preocupante. En esto, la percepción se corresponde con la realidad; el año pasado, la mitad de todos los participantes tuvo que mitigar las consecuencias de un malware convencional.
El top 3 de las consecuencias de los incidentes incluyen daños en la calidad del producto y del servicio, pérdida de patentes o información confidencial y reducción o pérdida de la producción.
La mitad de las empresas ICS encuestadas admite que los proveedores externos tienen acceso a las redes de control industrial de su organización, ampliando así el riesgo.
El 81 % de las empresas informa de un uso creciente en las conexiones sin cables de las redes industriales, señal del fin de cualquier estrategia de seguridad air gap realística.
El top tres de los tipos más populares de soluciones de seguridad son las esperadas: antimalware, monitorización de redes y controles de acceso a dispositivo. Pero, a su vez, el 54 % no ha considerado un análisis de vulnerabilidades ni una gestión de parcheo y, de los que sí, el 41 % parchea los problemas una vez al mes o incluso con menos frecuencia. Como ha demostrado WannaCry, esta no es una estrategia sólida.
Nuestras conclusiones
Aunque el estudio demuestre que los profesionales están al tanto de las amenazas, sus percepciones y respuestas indican que es necesario que comprendan mejor la naturaleza de las amenazas y cómo afrontarlas. Las actuales estrategias de ciberseguridad industrial son, en su mayoría, incoherentes, pues las organizaciones implementan soluciones, pero no siguen procesos, ni guías, ni implementan adecuadamente el software.
Kaspersky Lab recomienda que las organizaciones industriales inviertan en sus empleados, aumentando el conocimiento de los problemas y educando a los usuarios a comprender las amenazas y comportamientos que ponen en riesgo a la empresa. La falta de habilidades puede remediarse subcontratando la gestión de la ciberseguridad industrial a equipos externos que comprendan los requisitos propios del sector.
Adicionalmente, las soluciones de seguridad desarrolladas específicamente para el sector otorgan una protección mucho más efectiva que las genéricas, lo que, como hemos visto, deja al 50 % de las organizaciones expuestas a filtraciones.
Para acceder a nuestro informe completo (en inglés), rellena el siguiente formulario: