¿A qué ciber amenazas se enfrentan las infraestructuras críticas en 2017 en España y cómo las protege el CNPIC?
Ampliar

¿A qué ciber amenazas se enfrentan las infraestructuras críticas en 2017 en España y cómo las protege el CNPIC?

El responsable del Centro Nacional de Infraestructuras Críticas, CNPIC, Fernando Sánchez, ha hablado con One Hacker, en la nueva sede del organismo en El Pardo -Madrid- sobre los retos de 2017 y cómo defenderán a las empresas de este tipo en España. Su organismo cumple este año año una década al frente de la ciberseguridad más crítica de España. Así lo ve él.

El responsable del Centro Nacional de Infraestructuras Críticas, CNPIC, Fernando Sánchez, ha hablado con One Hacker, en la nueva sede del organismo en El Pardo -Madrid- sobre los retos de 2017 y cómo defenderán a las empresas de este tipo en España. Su organismo cumple este año año una década al frente de la ciberseguridad más crítica de España. Así lo ve él.

1.-¿Cuáles serán las tres amenazas de 2017 sobre las que más se están trabajando en vuestro ámbito?

En un ámbito tan dinámico como es el de la ciberseguridad predecir con un año de antelación es sumamente aventurado. El entorno en el que trabajamos es complejo y cambiante, y en su núcleo se encuentran dos actores principales que se mueven en una dinámica de acción-reacción-acción: De nuestra parte tenemos a los profesionales y a las empresas proveedoras de ciberseguridad, y del “otro lado” están aquellos que buscan constantemente obtener algún tipo de beneficio, ya sea económico, político o geoestratégico.

El informe del World Economic Forum “Global Risk Report 2016” sitúa el riesgo de ataques a infraestructuras críticas de la información como uno de los más probables y de más impacto para las economías desarrolladas, y señala que es vital integrar los mundos físico y ciber en la gestión de dichos riesgos; en este aspecto, en el CNPIC somos pioneros en considerar la seguridad integral como algo que de forma obligada deben considerar los operadores críticos a la hora de desarrollar sus planes de seguridad.

Entrando en materia dentro del ámbito de los posibles riesgos que afecten a la ciberseguridad, en primer lugar estarían aquellas amenazas que pueden afectar a los sistemas de control industrial o SCADA, sistemas que se encuentran en el núcleo de los servicios esenciales de nuestra sociedad, por lo que un incidente que afecte a su normal operativa tendría sin duda un grave impacto.

Por otro lado, en los sectores estratégicos nacionales descansa gran parte de nuestra actividad económica, y para desarrollar su actividad es indispensable que los sistemas de información y los datos que soportan sus operaciones funcionen correctamente. De ahí se pueden derivar los dos siguientes riesgos para el 2017: por un lado el robo de la información que poseen los operadores críticos y su posterior venta en el mercado negro es ya una realidad que mueve millones de euros (o bitcoins!), por lo que la posibilidad de que se produzca un robo de propiedad industrial o información comercial a un operador crítico es una amenaza que sin duda se repetirá en 2017. Por otro lado también nos encontramos con la amenaza del interés que tiene para terceras partes el provocar la disrupción de un servicio esencial mediante la corrupción de los datos de los sistemas de información del operador crítico o la denegación de los servicios que ofrece. En relación a esto hemos visto que los casos de ransomware van en aumento, así como las actividades de grupos de hackers organizados que amenazan a grandes empresas con “tumbar” sus activos en internet (páginas web desde las que prestan servicio) si no se paga cierta cantidad (una especie de “ciberchantaje”), lo que completaría el cuadro de más que posibles amenazas para el 2017.

¿Cuáles son los sectores más amenazados actualmente?

Según los datos del CERTSI, el sector de la energía y el sector financiero y tributario son los más afectados a día de hoy, sumando más de la mitad de incidentes a lo largo de este año (75 y 76 incidentes respectivamente) de un total de 262 incidentes en IC acumulados hasta agosto. El resto de sectores suponen, grosso modo, la otra mitad de incidentes detectados.

Pero, como nota positiva hacia los sectores estratégicos de la energía y del sector financiero, debe decirse también que el mayor número de incidentes detectados es, precisamente, porque estos dos sectores nos lo están reportando. Y es que, siendo en líneas generales el grado de madurez de los operadores de servicios esenciales adecuado, existen como en el caso de los dos que acabo de mencionar, algunos más maduros y preparados que otros. El nivel de detección y respuesta se ve incrementado a medida que los distintos operadores desarrollan sus planes de seguridad del operador y planes de protección específicos tras la aprobación del plan estratégico sectorial correspondiente, por lo que se espera que el número de incidentes detectados se vea incrementado conforme se siga implantando el sistema de planificación. En concreto el Plan Estratégico del sector TIC será clave para obtener una visión más nítida de la actividad maliciosa que afecta a las infraestructuras críticas nacionales, al ser este sector transversal al resto de sectores estratégicos.

¿Qué suponen en cifras?

En el aspecto del impacto económico que tienen los ciberataques, es de interés el informe publicado en agosto por parte de la agencia ENISA (European Union Agency for Network and Information Security) sobre el coste de los incidentes que afectan a infraestructuras críticas de la información. En este informe se señala que mientras que el coste de las actividades maliciosas se sitúe por debajo del 2% de los ingresos nacionales, los países son capaces de absorber este impacto negativo, pero que a la vez valorar exactamente dicho impacto es difícil.

Este estudio además confirma nuestros datos sobre cuáles son los sectores más afectados (Financiero, Energía y TIC), y considera lo siguiente:

  • Los incidentes que tienen mayor coste son los provocados por denegaciones de servicio (DoS) e insiders, personal perteneciente a la propia organización que se ve involucrado en actividades maliciosas.
  • En términos de pérdidas económicas para los distintos países de la UE se considera que ha llegado a ser de hasta el 1’6% del PIB en algunos de ellos. Otros estudios cuantifican estas pérdidas desde 425.000 hasta 20 millones de € por empresa y año. En términos de economía global se ha llegado a estimar estas pérdidas en más de 500 mil millones de euros anuales.
  • Los datos (el petróleo del S. XXI, como se ha llegado a decir) son los activos más afectados por estos ciberataques.

Bajo nuestro punto de vista, es necesario hacer un esfuerzo en materia de valoración del impacto de los incidentes y compartir más y mejor la información relativa a los mismos, a fin de obtener una visión más precisa de a qué nos enfrentamos y dónde tiene que hacer el operador crítico el esfuerzo de invertir recursos económicos a fin de obtener la mayor tasa de aprovechamiento de dicha inversión. Siendo el entorno de los operadores críticos un entorno razonablemente maduro en materia de ciberseguridad, siempre es necesario afinar los datos de los que se dispone a fin de ofrecer, por parte del Estado, una serie de servicios que mitiguen, entre otros aspectos, el impacto económico de los ciberincidentes, entre otras cosas porque la cifra negra (incidentes no reportados) sigue siendo aún muy alta Para ello es esencial que la colaboración que desde hace años se lleva a cabo con los operadores críticos por parte del CNPIC se incremente en términos de cantidad y de calidad.

2.-¿Cuáles serán las tres grandes áreas de desarrollo de negocio y tecnologías por las que deberán apostar las empresas españolas? ¿Podéis dar un consejo para que tengan éxito?

No sé si soy capaz de elucubrar tres áreas de negocio por las que pueden apostar las empresas tecnológicas españolas, pero desde luego, desde la perspectiva del Centro que dirijo, sin duda la ciberseguridad es uno de los pilares por el que creemos que debe pasar cualquier empresa. No hay que olvidar el importantísimo volumen de negocio y de capital que se mueve en torno a la ciberseguridad y cada día más organizaciones entienden el gasto en ciberseguridad como una inversión en su política de continuidad de negocio y no como un gasto contra su cuenta de resultados. Además la ciberseguridad se presenta como una oportunidad más (y nada desdeñable) para las empresas españolas.

Como dato puedo aportar que, a nivel mundial, en el año 2015, el gasto en ciberseguridad se estimó en 75.000 millones de dólares, y se calcula que en 2020 ese gasto puede ascender hasta los 200.000 millones. España puede y debe establecerse como un referente mundial en lo que a productos de ciberseguridad se refiere. Para nosotros, como agencia responsable de implantar las políticas de seguridad integral en nuestras infraestructuras, podrá comprender, por ejemplo, que conceptos como la seguridad desde el diseño, son cruciales para la seguridad nacional y, además, una importante oportunidad de negocio para nuestras empresas.

Como nota negativa, tengo que decir que aunque en España la previsión de aumento del gasto en ciberseguridad por parte de las empresas en el periodo comprendido entre 2014 y 2017 es del 22%, y asciende al 36%, si se toma como referencia el gasto previsto hasta 2019, ambos incrementos son inferiores al 32% y 53% previstos respectivamente en los mismos períodos para los países de Europa Occidental. Estas diferencias en porcentajes van más allá de las cifras: debemos ser conscientes, como lo son nuestros vecinos y aliados, que la amenaza a la que nos enfrentamos es real, y nosotros, como país, un objetivo de primer nivel para los ciberdelincuentes y para los ciberterroristas.

3.-Cuáles serán las tres grandes novedades del CNPIC y sus departamentos para 2017...

Las novedades de este Centro en 2017 serán que seguiremos trabajando y ampliando nuestros servicios, y eso no es poco. El año que viene tenemos en cartera la redacción y posterior aprobación (por la Comisión PIC) de tres nuevos planes estratégicos sectoriales, de forma que estaremos a punto de culminar nuestros estudios iniciados en 2013. Los planes de segundo nivel (planes de seguridad del operador y planes de protección específicos) se seguirán multiplicando –la previsión es tener más de 100 de los primeros y casi 500 de los segundos–.

Y la comunidad PIC, esa formada por más de un centenar de componentes, se seguirá incrementando, con lo cual nuestra actividad, y la del CERTSI_, a la hora de proporcionar apoyo tecnológico y operativo se disparará por tercer año consecutivo.

4.-Tu carta como director del CNPIC a los Reyes Magos en ciberseguridad...

Lo cierto es que el personal que tenemos, con amplia experiencia en la materia y de competencia más que demostrada se ve cada vez más superado por la cantidad de iniciativas, proyectos y demandas que van surgiendo en el día a día. Lógicamente, más personal, formación, una mayor dotación económica, etc. son el sueño de cualquier gestor de la Administración; sin embargo, hay que ser consciente de la situación que se vive en nuestro país, en el que estamos recuperándonos de una crisis prácticamente sin precedentes. A pesar de ello, el CNPIC, y más concretamente el Servicio de Ciberseguridad y la Oficina de Coordinación Cibernética ha crecido en más de un 100% en los últimos años. Desde el Ministerio del interior y la Secretaría de Estado de Seguridad se es consciente de la importancia de los trabajos que se llevan a cabo por nuestro Centro, tal y como se puede deducir de nuestras nuevas instalaciones en la que nos encontramos y por los aumentos en el personal que antes mencionaba. Estoy seguro de que seguiremos creciendo, tanto en términos de personal como de capacidades para prestar más y mejor los servicios que tenemos encomendados.

5.-Cuáles son los tres servicios que ofrece el CNPIC y menos se aprovechan por parte de empresas -incluso de particulares-...

No puedo decirle qué servicios de los que ofrecemos se utilizan menos por las empresas…¡Porque los utilizan todos! Evidentemente siempre hay empresas, al igual que personas, que son más comunicativas y colaboradoras, y que con su proactividad nos impulsan a emprender nuevos proyectos, a reforzar algunos de los que tenemos o a evolucionar los que ya están funcionando.

Esto, evidentemente, no ha sido un camino de rosas, hacerse acreedor de la confianza de tantas organizaciones sólo es posible con mucha dedicación, seriedad y compromiso, así como de voluntad y comunicación permanente (por parte de todos: operadores y CNPIC). Todo ello ha sido y es necesario para que un proyecto tan complejo como éste siga adelante. Sí que le puedo confirmar que hay servicios que no sólo se usan, sino que son extremadamente cotizados, por ejemplo la participación en los ciberejercicios que organizamos conjuntamente con el INCIBE y donde se simulan ataques cibernéticos a las empresas evaluando las competencias de cada organización a la hora de enfrentarse a los mismos. Estas simulaciones están orientadas a los operadores estratégicos y anualmente estamos alternando entre ejercicios dirigidos a un sector estratégico concreto y otros ciberataques de corte más generalista. Este año 2016, los CyberEx, que así se llaman, contarán con la participación de más de 25 organizaciones, cuando en 2012, en el primer ensayo que hicimos, nos costó llegar a 5.

Otro de los servicios cuya demanda hemos visto crecer es el llamado Detector de Incidentes, que consiste en la instalación de un sistema de análisis del tráfico de datos que sale a Internet y que permite la detección de comportamientos anómalos de la red, que pueden generar alarmas que serán supervisadas y tratadas tanto internamente por el operador como por el CERTSI_ al iniciarse el protocolo de respuesta a incidentes.

Con todo, en el capítulo menos positivo, debo decir que todos los servicios que ofrecemos se aprovecharían más si los operadores compartieran más información con nosotros. Esa es una asignatura aún pendiente, especialmente por aquellas organizaciones que se acaban de incorporar al Sistema PIC y no saben muy bien qué hacer y cómo funciona esto. Les recomendaría a todas ellas que se lancen, que nos pregunten y que colaboren, porque nuestro equipo está precisamente para ayudarles.


¿Te ha parecido interesante esta noticia?    Si (0)    No(0)

¿Qué opinas? (Login)
Normas de uso
  • Esta es la opinión de los internautas, no de Onemagazine
  • No está permitido verter comentarios contrarios a la ley o injuriantes.
  • La dirección de email solicitada en ningún caso será utilizada con fines comerciales.
  • Tu dirección de email no será publicada.
  • Nos reservamos el derecho a eliminar los comentarios que consideremos fuera de tema.