La seguridad cibernética es asunto de todos
Justo cuando estoy recopilando información para el articulo tropiezo con un sitio web donde puedo recolectar datos actualizados, pero me pide una autorización que, obviamente, doy. Sin darme cuenta un “malware” inmediatamente afecta un ejecutable del sistema operativo de mi PC y no solo ya no se conecta con el wi-fi de casa sino que, a los 30 segundos, pide reiniciarse.
El problema me demandó dos días completos de limpieza y reinstalación de programas, pero lo que fue peor, me inutilizo todos los accesos a mi cuenta bancaria. Eso tomo otros cinco días de reparación y denegación de acceso a mi Home-Banking. Es decir, una semana completa de trabajo perdido. Uno puede culpar a su propia torpeza, pero la realidad es que TODOS ESTAMOS EXPUESTOS.
Ya hace algunos años leíamos con estupor la noticia que en EEUU la empresa EQUIFAX era violada y le roban datos confidenciales de 143 millones de consumidores. El ciberataque expuso los datos confidenciales de millones de personas alojados en las bases de la mayor compañía de monitoreo crediticio (dueña en Argentina de Veraz). Posteriormente del ’98 al 2020 vimos violaciones en Hoteles Marriott (383 millones de datos), Twitter (330), Facebook (420) o Microsoft (250) pero, adicionalmente, millones de pequeños comercios y usuarios en todo el mundo también experimentaban intrusiones.
Un matutino argentino publicó un estudio que señala que nuestro país está entre los países donde más mensajes phishing se reciben. Está en el puesto 7° de un ranking que encabeza Brasil. El trabajo, realizado por Kaspersky Software, señala que la mayoría de los ataques fueron desde páginas fraudulentas de bancos (24,1%), de pago (13,94 %) y de compras online (9,49 %). Surge que en el tercer trimestre/17 hubo 59,6 millones de ataques, 13 millones más que en el segundo trimestre.
Las autoridades regulatorias en todo el mundo están buscando aumentar la transparencia y confiabilidad para las certificaciones digitales ya que el impacto de ciber-eventos continúa colmando los titulares. Los reguladores están cada vez imponiendo procedimientos más estrictos y por, sobre todo, requiriendo se reporten las violaciones cibernéticas, incluyendo grandes penalidades por infringir las leyes sobre los datos personales y generando políticas públicas para asegurar el entorno tecnológico nacional. Latinoamérica aun viene con retraso en esa materia.
La radiografía de los ciberataques fue analizada por especialistas y pudo determinarse que el 32% se concentra en el sector financiero, 20% Profesionales (bufets e independientes), 16% Industria y energía, 12% pequeños comercios y hotelería, 4% Transporte y 16% distribuido entre los restantes sectores.
De hecho, 93% de las Pymes de EEUU han reportado algún tipo de incidente y la mayoría de ellas han indicado que perdieron dinero o mercados. El 31% ha sufrido pérdidas de reputación, con pérdidas en los resultados o aumento en la rotación o atracción de nuevos empleados o negocios. Un 50% reportó una interrupción del servicio que afectó su posibilidad de operar. No obstante, solo un 3% reportó estar asegurado contra ciber-ataques.
Nuestra misión como asesores es poner en evidencia la fragilidad de las empresas e instituciones frente a este tipo de amenaza y abogar por una mayor severidad en la gestión de esos riesgos. Una vez que los cibercriminales hayan dejado una ciudad sin luz, aviones sin volar, bancos sin poder operar u hospitales sin respuesta tecnológica, nos vamos a acordar que debemos tomar este tema con seriedad. ¿No será el momento de que el Congreso o algún organismo regulador tome cartas en el asunto? Uno tiene a pensar que las violaciones cibernéticas solo afectan empresas de consumo y financieras, pero basta remontarse al 2016, cuando piratas informáticos atacaron con éxito una subestación eléctrica en Ucrania, lo que dejó a parte de la ciudad sin electricidad.
El conocido malware “WannaCry” paralizo el 85% de los sistemas de Telefónica y grandes Hospitales del Reino Unido, mientras otros ciberataques golpearon en forma simultánea a grandes empresas y servicios públicos en Ucrania y Rusia, propagándose luego a otros países, repitiendo el mecanismo del ataque extorsivo y afectando a la petrolera rusa Rosneft y a compañías de Italia, Polonia, Alemania, Francia y Estados Unidos. Esto alcanzo inclusive algunas firmas que operan en Argentina, Chile, Colombia y México. Entre ellas la marítima danesa Maersk y el laboratorio farmacéutico Merck.
Ese Malware está diseñado especialmente para interrumpir el funcionamiento de la infraestructura crítica. Sobreutiliza la funcionalidad del sistema, enviando mensajes directamente a los equipos de la red para encender y apagar el flujo de potencia. No existe una defensa contra el ataque en sí mismo, una vez que entró, sencillamente funciona. Como resultado, no existe un límite técnico para la escalabilidad. Basado en sus investigaciones el Equipo de Respuesta US-CERT del gobierno americano publicó una alerta oficial, en la que instó a todas las organizaciones de infraestructura crítica a que evalúen sus sistemas respecto de las susceptibilidades tecnológicas.
Durante los últimos años, los ataques cibernéticos a infraestructura crítica han evolucionado, desde identificar sitios y robar información hasta desactivar la red eléctrica de un país. Como resultado, los ataques que causan apagones podrían realizarse de forma más rápida, con menos esfuerzo y menos personas. Los expertos tienen opiniones diferentes respecto de la amenaza de un ataque cibernético a infraestructuras críticas, pero gran parte del desacuerdo no se enfoca tanto en la posibilidad del ataque como en su momento, su dimensión y la magnitud del daño o trastorno.
Según una encuesta realizada en la conferencia BlackHat de este año, 60% de los encuestados consideraba que en los próximos dos años tendrá lugar con éxito un ataque cibernético contra la infraestructura crítica estadounidense. Sólo el 26% confía en que el gobierno y las fuerzas de defensa están actualmente equipados y capacitados para responder de forma adecuada. ¿Y por casa como andamos? Durante esta pandemia hemos visto los siguientes eventos que aparecieron en los periódicos: 115mil trabajadores esenciales autorizados por el Gobierno de San Juan, corte de servicio con pedido de recompensa a cablevisión-fibertel y “caída del sistema” en Edesur. Recibieron poca prensa, pero existieron.
NADIE ESTA EXCENTO. Las mejores prácticas genéricas de TI no son suficientes. Estos eventos realmente requieren una educación especializada. Al igual que otros sectores, las empresas de energía enfrentan los desafíos de carecer de personal. Entre esas limitaciones, incluyen también la cada vez mayor dependencia de contratistas y menos empleados con el conocimiento en estos eventos únicos. Para fortalecer al personal existente, la empresa debe dedicar mucha mayor atención a los riesgos planteados por las personas con información privilegiada, educando al personal sobre las mejores prácticas.
Es necesario, entonces, plantearse un PERFIL DE RIESGO CIBERNETICO con distintos enfoques de gestión y diferentes estrategias de mitigación. En estos casos, los escenarios de amenaza cambian constantemente, lo que agrega un desafío permanente e implica contar con una planificación robusta de respuesta a la crisis en un escenario específico. Lo ideal sería que las entidades realicen un simulacro para analizar sus efectos y asegurar una respuesta más rápida, efectiva y confiable además del restablecimiento de las operaciones.
Como en otras industrias, es esencial el desarrollo de iniciativas para compartir información sobre las amenazas entre las empresas de servicios públicos y los organismos gubernamentales pertinentes. Las empresas de servicios públicos y el sector privado deberían evaluar y prepararse para estas amenazas, realizar simulacros, planificar para la continuidad del negocio, evaluar si los recursos internos son suficientes a fin de aumentar la seguridad empresarial y si se necesita la colaboración complementaria de empresas privadas para hacer tales mejoras lo antes posible.
SI EMPARCHA SUS SISTEMAS, EMPARCHE SUS SEGUROS. Si una empresa toma los recaudos necesarios y actualiza sus equipos de TI y aplica protocolos de mayor seguridad cibernética, los seguros que cubren las operaciones, la cuenta de resultados y los productos suministrados deben también actualizarse. Algunas jurisprudencias están fallando que, si una perdida se produce a consecuencia de un ataque cibernético, el perjuicio directo afectara la póliza respectiva y sus aseguradores repetirán contra la póliza de CiberRiesgos, sino la hay, contra el Asegurado. Faltan muchos eventos para que se consolide la legislación por lo que es necesario ESTAR BIEN ASESORADO PARA ESTAR BIEN ASEGURADO.
Marcelo Rodriguez
Presidente RiskGroup Argentina