En un panorama de ciberseguridad marcado por la agitación de la pandemia, hay una oportunidad considerable para los ciberdelincuentes y un desafío persistente para los profesionales de la ciberseguridad. Es un momento peligroso para las empresas de infraestructuras críticas que se ven constantemente superadas por atacantes sofisticados y bien financiados. La mejora de la ciberseguridad industrial en 2022 requiere que fructifiquen varias tendencias e iniciativas que hagan frente a los ataques y protejan al público.
La presión sobre los CISO viene de arriba
En respuesta a las crecientes amenazas y a las recientes violaciones a gran escala, los consejos de administración de las empresas van a impulsar la necesidad de elevar el papel del CISO. En los últimos años, los medios de comunicación y los ejecutivos han tomado conciencia de los incidentes de malware y ransomware que han puesto de rodillas a las empresas. Los consejos de administración de los proveedores de la industria de infraestructuras críticas ven el impacto de estos sucesos en la marca y en los costes y están impulsando la necesidad de un líder de seguridad de la información con una fuerte autoridad para tomar decisiones. Esto empuja a los CISO a estar al tanto de las últimas amenazas y a mantener una estrategia de seguridad ágil y sólida que se alinee con los objetivos de ingresos y crecimiento de la empresa.
También se está produciendo un cambio en las estructuras de información, ya que el CISO ha dejado de depender del CIO o del COO. En el futuro, dependerán del director general, del director financiero o del consejo de administración. Los CISO deben conocer bien las amenazas actuales. Si tienen responsabilidades de informar a la junta directiva, necesitan una estrategia de seguridad que demuestre cómo un programa de ciberseguridad es a la vez función crítica y consciente de las amenazas. Los CISOs necesitan cambiar el modelo típico de centrarse sólo en los riesgos y vulnerabilidades a una vía más amplia en la que son conscientes de la función crítica. Un informe de Gartner de 2021 apoya la atención de alto nivel sobre la ciberseguridad, afirmando que "para 2025, el 40% de los consejos de administración tendrán un comité dedicado a la ciberseguridad supervisado por un miembro cualificado del consejo, frente a menos del 10% actual".
Aumento de los ataques de adversarios más calificados y de la participación de los gobiernos nacionales
Durante la última década, se ha producido un aumento del cibersabotaje contra las infraestructuras críticas y las funciones críticas de las empresas. Estos ataques provienen tanto de actores estatales como de actores no estatales. Los actores estatales buscan impulsar acciones geopolíticas y de interrupción y evitar la atribución siempre que sea posible para disimular sus esfuerzos. Los actores no estatales a menudo buscan notoriedad para sus hazañas y buscan ganancias monetarias. Estos dos grupos se combinan para formar un ecosistema de intermediarios que proporcionan acceso a la información y a los canales financieros a quienes están dispuestos a pagar.
Estas ciberamenazas continuarán en 2022. Otro factor que impulsa estos ataques a las infraestructuras críticas es que hay muchos más estados que intensificarán sus actividades. Las naciones adversarias ven que Rusia es un "puerto seguro" para los ataques de ransomware, y países como Corea del Norte, China e Irán ven esta dinámica y ampliarán sus esfuerzos de ransomware y malware en los próximos años.
Como ejemplo del mundo real, en los últimos años se han visto programas maliciosos como Petya y NotPetya, que tuvieron consecuencias catastróficas para empresas de infraestructuras críticas como Maersk. Estos tipos de malware y ransomware también se han relacionado con ataques infames.
Una parte importante de estos ataques procede de Rusia, tanto si se consideran actos directos del Estado como si están patrocinados por éste a través de diversas filiales.
Esto supone un reto considerable para los proveedores de servicios de ciberseguridad, sobre todo porque otras naciones-estado como China, Irán y Corea del Norte emulan la forma de actuar de Rusia. En lo que respecta a la protección, tendremos que hacer atribuciones cuando haya suficientes firmas y señales que permitan a los equipos de ciberseguridad determinar la procedencia de los ataques.
Una evolución hacia la mitigación
La escasez de talento en ciberseguridad a nivel mundial alcanzó una cifra estimada de 3,5 millones de trabajadores en 2021, y la escasez de profesionales cualificados supone un riesgo extraordinario para las organizaciones de infraestructuras críticas. Coincide con la evolución de las amenazas que perjudican a las industrias privadas y a la economía estadounidense. Para combatir estas amenazas, las organizaciones en 2022 y en adelante darán prioridad a la ciberseguridad como principio básico. Las empresas necesitan una sólida formación de concienciación para evitar los puntos de acceso basados en el ser humano y una evolución más amplia de las capacidades de ciberseguridad que supere las de los actores de las amenazas. Esto no está ocurriendo todavía y suele aumentar debido a la aceleración de la digitalización, que aumenta los puntos de ataque y las vulnerabilidades. Y los malos actores tienen fácil acceso a personas cualificadas y recursos de capital, así como a una lista constante de vulnerabilidades explotables.
Es hora de que los proveedores de infraestructuras críticas y los profesionales de la ciberseguridad reconozcan que los métodos actuales no están funcionando. Implementan salvaguardas en cada subestación y planta, parchean los sistemas y realizan otras tareas continuamente. A pesar de estos esfuerzos, los consejos de administración, los directores generales y los CISO siguen viendo que un adversario decidido puede romper las defensas de una empresa y pedir un rescate.
Desarrollado por el Laboratorio Nacional de Idaho para crear un nuevo enfoque, la ingeniería informada por las consecuencias, o CCE, presenta una forma diferente de mitigar el riesgo. Es el enfoque adoptado por terceras empresas, como 1898 & Co., que utilizan estrategias especialmente diseñadas para infraestructuras críticas. La CCE requiere aceptar que los atacantes tendrán éxito, especialmente cuando están decididos y bien financiados. Es una filosofía de que los riesgos son inherentes a los sistemas desarrollados por el hombre, y que siempre hay imperfecciones.
La CCE construye bloqueos, de modo que si hay vulnerabilidades no detectadas en la infraestructura de una compañía eléctrica, un ataque no provocará el fallo de la red. Los profesionales de la CCE consiguen que las organizaciones piensen como sus enemigos, que clasifiquen los sistemas más vitales y que luego consideren la mejor manera de proteger esos sistemas de un ataque de piratas informáticos. Aunque la digitalización ofrece valor para los clientes y los accionistas, a menudo se lleva a cabo sin tener en cuenta la ciberseguridad. La CCE permite a los equipos de ciberseguridad OT priorizar las consecuencias, recopilar datos sobre las interdependencias sistemáticas, encontrar las vías de ataque que lograrán los mayores impactos y luego interrumpir estas vías si es posible.
Todas estas tendencias apuntan a una mayor necesidad de un enfoque centrado en la OT, más recursos dirigidos a la ciberseguridad, ofertas de servicios gestionados centrados en la OT y el uso de CCE para remodelar el reconocimiento y la mitigación de amenazas.