www.onemagazine.es
Ciberataques: ¿se protegen bien las infraestructuras críticas en España?

Ciberataques: ¿se protegen bien las infraestructuras críticas en España?

El vicepresidente del Centro de Ciberseguridad Industrial, Miguel García, y el director general de Check Point, Mario García, han presentado un informe en el que se analiza cómo están protegidas las infraestructuras críticas en España. Y sus resultados han sido llamativos -con alusión a WannaCry incluida-.
El Centro de Ciberseguridad Industrial -CCI- lleva cuatro anos analizando la situación y protección de las infraestructuras críticas en España, Iberoamérica y Europa. En 2017 se va a presentar un nuevo informe en el año que se cumplen los 10 años del plan nacional de protección de infraestructuras críticas. García ha explicado que en 2007 se publica en nuestro país el primer Plan Nacional de Infraestructuras Critícas para dar seguridad a las empresas que dan "servicios esenciales a la sociedad”. En esta década ha habido un gran desarrollo normativo en España y Europa -que elabora su plan en 2006-. Es importante destacar que en 2016 se produjo la revisión del plan de 2007 y también la próxima aplicación de la directiva europea NIS que entrará en vigor en 2018.

Actualmente en España hay 12 sectores estratégicos -agua, administración, energía espacio, investigación, nuclear, financiero y tributario, químico, tic, transporte, alimentación,etc-. En otros países son diferentes ya que en EEUU identifican 16 que son similares aunque lo amplian porque por ejemplo también incluyen el sector de protección de monumentos nacionales. En total, hay identificados 12 sectores y 100 operadores críticos. Son los organismos o entidades responsables de las invesrisiones y el funcionamiento diario de las instalaciones, redes, sistemas o equipos y tecnología que permiten que funcione la infraestructura crítica y estratégica. Llegar a esos 100 operadores ha sido gradual, siendo los últimos sectores regulados que han sido el de espacio y el de la industria química.

“Vamos progresando y está bien pero también es llamativa la desconexión entre la Administración y el mundo. Todo va muy lento. Consideramos que un minuto de malware en una instalación es un ataque con éxito y aquí hablamos de años desde que nace el plan de infraestructuras críticas y la identificación de los primeros operadores en 2014. Es importante ponerse en el lugar del cibercrimen. Y si se hace desde ese punto de vista es un ‘negocio’ increíble multiplicando ganancias, con nuevas líneas de negocio, más ‘clientes’… y frente a esta situación los que ponen las normas hacen las cosas por años. Yo mido mi. Pero es curioso que la Administración vaya tan lenta y las infraestructuras sufran ciberataques todos los años. Y es fundamental: hay muchas empresas que no abordan la inversión porque la Ley no les obliga. Que haya una ley o no la haya en este sector es determinante”, ha destacado el director general de Check Point, Mario García.

“Es importante que España haga bien su trabajo porque Iberoamérica nos tienen como referencia y siguen el BOE y usan lo que publica el Instituto Nacional de Ciberseguridad porque está en castellano”, ha recordado Miguel García del CCI.

El CCI ha realizado el estudio de este con operadores de energía, transporte, nuclear, agua y banca, sin industria química y espacio porque acababan de ser designado como operador crítico. En el informe se ha visto que casi un 20% de los operadores están pendientes de evaluar el riesgo al que se enfrentan. “ES un dato preocupante porque es un sector regulado. Así que lo positivo es que le 80% sí lo ha hecho…. Pero aún un 20% no lo ha hecho desde 2014”, ha indicado Mario García. Eso sí, en torno a la mitad declara que se han hecho análisis de evalución técnica -segmentación, test de intrusión, etc- y oganizativas -políticas, procedimientos, etc-.

¿Sufrieron las infraestructuras críticas en España el WannaCry?

Lo curioso es que el WannaCry impactó en algunos de estos operadores, según fuentes del sector. Pero es fundamental tener el conocimiento de que hay un riesgo. “Para mi WannaCry es una ‘demo’, un test de seguridad que muestra el nivel de seguridad de cosas que pasan. Incluso en una consultora el otro día me explicaron que habían tenido un impacto de un visrus malicioso”, ha resaltado Mario García. “Si el WannaCry fuera un termómetro nos diría como estábamos, ya que de cara a la gente no tuvo el menor impacto. Incluso ocurrió un viernes que es el día que menos impacto ha causado”, ha añadido. “De cualquier cosa marcas como Renault sí pararon su cadena de producción por este ataque”.

En el estudio del CCI también se explica que uno de cada 10 operadores tienen su red operativa conectada a Internet. “O sea no la tienen aisladas. Y si se suma al 10% el no lo sé, que es un 13%, y el 22% que dice estas físicamente aislada de la red corporativa, un 22%, es ya una cifra importante. Porque en el mundo de la ciberseguridad industrial existe el mito del salto del aire porque el Stuxnet que afectó a las centrifugadoras iraníes vino de un usb que se conectó a las centrales. Y permitió conectarse a alguien desde fuera. Así que del todo no estabas conectado. En un entorno industrial no es raro encontrarse conexiones de algún tipo que se trae el empleado de casa para bajarse películas o ficheros de otro tipo. Está ahí y como operador de seguridad de la instalación no lo sabes”, ha comentado Miguel García. “En la parte positiva está que el 38% sí tiene bien hechas las cosas”.

“De hecho algunos responsables de mantenimiento cuando van a realizar a infraestructuras críticas no conectadas a Internet se bajan con su ordenador conectado a Internet driver y actualizaciones que conectan a la red e,incluso, dejan un modem para seguir la actualización de formal remota… con el riesgo que supone”.

Por último, el informe también ha analizado la sensibilización de los directivos. “Uno de cada cuatro del sector industrial no están al día de proteger sus instalaciones cuando la Ley cita al consejo de administración como responsable de la ciberprotección de este tipo de instalaciones”, ha dicho Miguel García. “Lo bueno es que el 75% sí. En 2011 cuando empecé a vender este tipo de sistemas de ciberseguridad no había Ley que te 'respaldara' porque, además, el único riesgo que se veía era que la instalación explotara y no se creía posible”, ha comentado Mario García. Así el estudio destaca que casi el 30% no está concienciado y el 38% muestra la máxima preocupación.

¿Se va a invertir más en ciberseguridad e infraestructuras críticas?

Pues gran parte de los encuestados, un 72% dicen que sí. En resumen hay que trabajar en evaluación de riesgos, conexión de redes industriales, sensibilización de la dirección, y sí se están haciendo las cosa bien en la proactividad de la planificación y evolución de los presupuestos.

Unos aspectos que deberán tener muy en cuenta ya que la directiva europea NIS, cuyas sanciones entran en vigor en 2018, tendrá que cumplirse. “pero creemos que a pesar del retraso que se lleva respecto a la realidad en España se han dado bastante pasos normativos en los últimos años, incluso ampliando la directiva europea de 2008, y eso favorecerá que gran parte de las exigencias se cumplan. A nivel normativo muchos deberes ya están hechos aquí”, ha finalizado recordando Miguel García de CCI.

¿Te ha parecido interesante esta noticia?    Si (0)    No(0)

¿Qué opinas? (Login)
Normas de uso
  • Esta es la opinión de los internautas, no de Onemagazine
  • No está permitido verter comentarios contrarios a la ley o injuriantes.
  • La dirección de email solicitada en ningún caso será utilizada con fines comerciales.
  • Tu dirección de email no será publicada.
  • Nos reservamos el derecho a eliminar los comentarios que consideremos fuera de tema.