Un 20% de los operadores de infraestructuras críticas en España aún están pendientes de evaluar su nivel de riesgo frente a una ciberamenaza

Check Point Software Technologies ha celebrado su evento anual Check Point CyberDay 2017 en el que Mario García, director general de Check Point para España y Portugal, y Miguel García-Menéndez, vicepresidente del Centro de Ciberseguridad Industrial, han presentado el informe ‘Estado de la ciberseguridad en los operadores de infraestructuras críticas, en España’.

Este estudio refleja el nivel de seguridad en los entornos industriales críticos, españoles, diez años después de que se aprobara en nuestro país el Plan Nacional de Protección de las Infraestructuras Críticas. Los resultados se han extraído a través de las respuestas a una encuesta realizada a empresas de cinco sectores estratégicos, entre finales de 2016 y principios de 2017.

Según los datos recogidos, a día de hoy todavía dos de cada diez operadores de infraestructuras críticas no han evaluado su nivel de riesgo contra una ciberamenaza. Especialmente en los sectores de Aguas y de Transporte, donde los porcentajes se disparan y alcanzan un 40% y un 44%, respectivamente.

“Cuando los operadores de infraestructuras críticas no se someten a pruebas normativas, técnicas y organizativas, ponen en peligro a toda la población. Sobre todo, en sectores tan sensibles como el del agua o el del transporte” explica Mario García. “A día de hoy, absolutamente todas las empresas están conectadas. Y si están en Internet, son susceptibles de ser atacadas. Un ciberdelincuente que se haga con el control de, por ejemplo, una potabilizadora, podría alterar de forma remota la fórmula del agua que se suministra a una población, y envenenar a todos sus ciudadanos”.

El sector de Aguas está por debajo de la media en sensibilización de los responsables de negocio. El 67% de los directivos no está concienciado sobre el efecto que puede tener un ciberataque, un porcentaje muy grande si lo comparamos con la media de todas las industrias, del 25%.

“El reto no es solo concienciar a los responsables de negocio, sino a la sociedad en su conjunto. Una brecha de seguridad en entornos industriales puede llegar a tener consecuencias catastróficas para la ciudadanía. Debemos ser conscientes del riesgo que puede suponer para el patrimonio (las instalaciones), para el medioambiente y, en última instancia, para las personas una manipulación malintencionada de los sistemas de operación. Sólo así, las medidas que se adopten para proteger dichos entornos dejarán de verse como una imposición de los departamentos de tecnología y se verán como una contribución más a la seguridad global” declara Miguel García-Menéndez.

El informe también revela que los operadores de infraestructuras críticas adoptan, cada vez, mejores medidas de protección. Más del 50% de las compañías que han participado en el estudio han declarado contar con firewalls convencionales, antivirus e IDS/IPS, y llevar a cabo auditorías de seguridad interna y una gestión de la respuesta a incidentes. Sin embargo, todavía muy pocas (menos del 20%) utilizan firewalls industriales específicos y gestionan la seguridad de su cadena de suministro.

A pesar de ello, las predicciones para el futuro son positivas: el 75% de los encuestados consideran que la inversión en ciberseguridad industrial se incrementará en los próximos meses. Los sectores más optimistas son el Eléctrico, el de Aguas, el Financiero y el Nuclear (el 100% cree que mejorará). Por el contrario, actualmente sólo el 37% de las empresas del sector Transportes comparten esa previsión.

El informe elaborado por Check Point y el Centro de Ciberseguridad Industrial ha tenido en cuenta a empresas de los sectores Eléctrico, Aguas, Financiero, Nuclear y Transportes.

Datos destacados informe

-Evaluación del riesgo

• 2 de cada 10 operadores de Infraestructuras críticas no han realizado ninguna. 4 de cada 10 en sectores agua y transporte. Sector gas y petróleo el más avanzado: 100% han realizado inspecciones técnicas, 89% organizativas y 50% normativas.

-Gestión de incidentes de ciberseguridad

• 22% compañías encuestadas no tienen proceso de gestión de incidentes, o funcionan solo de forma reactiva. En el sector agua el porcentaje se dispara hasta el 67%. Sector nuclear el más avanzado: 67% de las organizaciones tiene proceso de gestión, y el 33% lo está definiendo.

-Conexión de redes

• La existencia de conexiones directas, o controladas de forma incorrecta, entre las redes de operación y corporativa es la causante de los principales riesgos que afrontan los operadores de infraestructuras críticas. En torno al 40% de los operadores de infraestructuras críticas mantienen sus redes conectadas de esta forma
• Solo el 27% de los operadores establecen múltiples niveles de segmentación.

-Medidas de ciberseguridad

• Cada vez mejores medidas de seguridad: Más del 50% de las compañías encuestadas utilizan firewalls convencionales, antivirus, IDS/IPS, auditorías de seguridad internas y gestión de respuesta a incidentes.
• Menos del 20% gestionan la seguridad en la cadena de suministro y usan firewalls industriales específicos

-Sensibilización de los responsables del negocio

• 40% encuestados dice que la sensibilización es alta, debido probablemente al requerimiento regulatorio de la LPIC. 25% de los casos, muy poca o inexistente (67% sector agua).
• Se debe concienciar no solo a los directivos, sino a la sociedad en general, del peligro que supone para las personas y las instalaciones una brecha de seguridad en entornos industriales.

-Planificación de las acciones de ciberseguridad

• 35% encuestados planifican acciones de ciberseguridad en el tiempo, y el 20% siguiendo recomendaciones de operativa interna. Ha aumentado el conocimiento específico en Ciberseguridad Industrial, y mejoran sus capacidades y asesoramiento. Sectores Gas y Petróleo, y Nuclear, los que mayor conocimiento tienen.