Ciberseguridad: los desafíos han cambiado para los altos directivos

FireEye ha presentado junto a Marsh & McLennan en el Foro Económico Mundial de 2018 el informe titulado Ciberseguridad: los desafíos han cambiado para los altos directivos. Este informe considera que 2017 ha sido el peor año en la historia de la ciberseguridad y explica dos tendencias emergentes para 2018.

Dos tendencias emergentes en 2018

1.- Un conjunto de nuevas leyes relacionadas con la ciberseguridad, especialmente GDPR

Los gobiernos están adoptando nuevas leyes que imponen estándares rigurosos y elevados a las empresas. La más relevante de estas nuevas leyes es el Reglamento General de Protección de Datos de la Unión Europea, que entró en vigor el pasado mes de mayo. Jan Philipp Albrecht, miembro del Parlamento Europeo de Alemania y ponente del GDPR, captó acertadamente las aspiraciones de los legisladores europeos diciendo: “El GDPR cambiará no solo las leyes europeas de protección de datos, sino nada menos que el mundo tal y como lo conocemos”.

El GDPR provocará un cambio radical sobre las obligaciones de información de las compañías que manejan datos en Europa. Por primera vez, se requerirá a las empresas revelar las brechas o violaciones de seguridad a los organismos reguladores y, cuando el daño sea sustancial, a los consumidores afectados. Las multas por no cumplir con la normativa son elevadas, hasta un cuatro por ciento de los ingresos.

Otros países y gobiernos locales han adoptado nuevas leyes de ciberseguridad. Por ejemplo, el Departamento de Servicios Financieros del Estado de Nueva York ahora exige a las compañías reguladas que adopten ciertos controles, incluyendo la autenticación multifactor y el cifrado de los datos almacenados, o explicar por qué no es factible la adopción de estas medidas. Se exige a los ejecutivos senior “certificar” el cumplimiento de sus organizaciones con la normativa. China, Japón, Australia, Israel Singapur y otros países de todo el mundo han adoptado recientemente nuevas leyes de ciberseguridad.

Encuesta a 1.300 ejecutivos de corporaciones

Para determinar el estado de preparación de la comunidad empresarial para cumplir con los nuevos requisitos del GDPR, Marsh realizó una encuesta mundial sobre riesgos cibernéticos. Más de 1.300 ejecutivos de corporaciones participaron el en estudio, incluyendo más de 500 de organizaciones que ofrecen productos y servicios en Europa.

La concienciación en ciberseguridad se ha duplicado en Europa

En primer lugar, en la encuesta realizada por FireEye, el 64 por ciento de los que contestaron que ofrecen productos o servicios en Europa continental ahora consideran los ciberataques entre los cinco riesgos principales en sus organizaciones. En una encuesta similar que Marsh realizó en Europa continental en 2016, solo el 32 por ciento de las empresas lo evaluó entre los cinco riesgos principales para sus organizaciones.

El 23 por ciento informa de que ha sido hackeado con éxito

Un dato menos positivo es que el 23 por ciento de estos ejecutivos revelaron que sus organizaciones fueron el objetivo de un ciberataque “exitoso” el año pasado. Esta respuesta fue significativa, en especial dadas las obligaciones de informar públicamente de GDPR. Desde el pasado mes de mayo, muchos ciberincidentes que previamente permanecían ocultos se convertirán en sucesos públicos, como resultado los consejos de administración, la prensa, los consumidores y los organismos reguladores escrutarán la respuesta de la dirección.

2.- Ataques contra los sistemas de control de seguridad industriales

La segunda tendencia principal que se impulsa la emergencia de nuevos vectores de ataque, en particular contra las infraestructuras críticas.

En los últimos años, los hackers han incrementado sus ataques contra organizaciones que operan con sistemas de control industrial. Por ejemplo, el Departamento de Seguridad Nacional de los Estados Unidos y el FBI publicaron un boletín conjunto el año pasado alertando de que los hackers habían atacado la planta nuclear de Wolf Creek en Kansas.

FireEye respondió recientemente a un incidente en unas instalaciones donde un atacante desplegó un malware diseñado para manipular los sistemas de seguridad industriales. Los sistemas atacados pusieron en marcha la función de apagado de emergencia para procesos industriales.

Este es un pequeño número, pero creciente, de ataques particularmente preocupantes de los que somos conscientes que están dirigidos de forma específica a los sistemas de control industrial. Los sistemas instrumentados de seguridad monitorizan procesos y lanzan alarmas si se alcanzan niveles peligrosos, piense en un cierre de emergencia de sistemas en una planta nuclear o en unas instalaciones químicas.

Esta evolución es doblemente significativa desde una perspectiva de ciberseguridad. Hasta hoy en día, los ciberataques han ocurrido en su mayoría en el mundo digital, más que en el mundo físico. A medida que más procesos físicos se pasan a online, los estados nación están poniendo su punto de mira cada vez más en las instalaciones químicas, plataformas energéticas, redes de transporte, sistemas de tuberías y de aguas. Si los atacantes pueden reprogramar sistemas instrumentados de seguridad, las consecuencias podrían ser significativas tanto en términos de daño físico como de pérdidas de vidas.