Connecting Waterpeople
Isle Utilities Webinar Series - 7 de julio:

"Los operadores de servicios esenciales han alcanzado un alto nivel de madurez en ciberseguridad"

  • " operadores servicios esenciales han alcanzado alto nivel madurez ciberseguridad"

El Foro Nacional de Ciberseguridad, constituido en 2020, tiene los objetivos de fomentar la cultura de ciberseguridad, ofrecer apoyo a la Industria e I+D+i y promover la formación y el talento, todo ello a través de un entorno de colaboración público-privada y bajo el paraguas del Consejo de Seguridad Nacional.

Manuel Carpio, miembro de este y a su vez miembro del comité asesor de la Fundación ESYS y vicepresidente de CONTINUAM, además de ser tutor del máster en línea de Ciberseguridad de IMF Smart Education, nos explica en esta en entrevista el panorama actual de las infraestructuras críticas en materia de ciberseguridad, entre las que se incluyen las relacionadas con la gestión del ciclo integral del agua, y sobre las responsabilidades en este ámbito.

A grandes rasgos, ¿cómo es la cultura de ciberseguridad en infraestructuras críticas?

Los operadores de servicios esenciales en España han alcanzado un alto nivel de madurez en cuanto a cultura y sensibilización en ciberseguridad. Por un lado, la ciberseguridad forma parte de la agenda de los comités de dirección de las empresas propietarias de infraestructuras críticas, y por otro lado existen programas de concienciación y educación en ciberseguridad a todos los niveles organizativos. Sin embargo, no debemos caer en la autocomplacencia. Aún queda mucho por hacer, por ejemplo, incentivar las buenas prácticas de ciberseguridad en la gestión del personal, o fomentar la certificación profesional entre el personal técnico que está a cargo de los sistemas críticos.

Manuel Carpio

¿Cuáles pueden ser las consecuencias de un ciberataque en las infraestructuras críticas?

El impacto de un ciberataque y sus consecuencias posteriores dependerán de diversos factores. En primer lugar, debemos considerar si la infraestructura atacada ha sufrido daños persistentes de difícil reparación, como podría ser el caso de ciertos elementos de hardware o dispositivos de campo, o se trata de una pérdida de configuración, por corrupción de datos o del software. En cualquier caso, se pueda reparar o no el daño, lo que el atacante persigue es mantener la infraestructura fuera de servicio el mayor tiempo posible. Debemos tener en cuenta que los daños derivados por la indisponibilidad de un servicio esencial se multiplican conforme pasa el tiempo, pudiendo llegar a ser irreversibles, y además pueden ocasionar un efecto dominó, debido a las interdependencias entre sí que presentan las infraestructuras críticas.

"El impacto de un ciberataque y sus consecuencias posteriores dependerán de diversos factores"

Por todo esto, siempre debemos contar con respaldo de los elementos críticos y, además, con copias de respaldo de la información, que nos permita salvar la contingencia.

¿Cuál es el grado de amenaza cibernética en las infraestructuras hídricas?

Si bien no se trata de infraestructuras tan atacadas como otras “utilities”, las infraestructuras hídricas también son objetivo de ciberataques. Cada año, tanto el Centro Criptológico Nacional como INCIBE ofrecen datos comparativos sobre niveles de amenaza de unas infraestructuras frente a otras. Debemos estar persuadidos de que allí donde se ofrezca la oportunidad para crear caos o alarma en la población, los ciberdelincuentes intentarán explotarla, bien sea para beneficio propio, o trabajando con patente de corso esponsorizados por estados enemigos, y el servicio de abastecimiento y distribución de agua no es ajeno a esta amenaza.

Manuel Carpio

Bajo su punto de vista, ¿cree que los operadores deben darle mayor importancia a la ciberseguridad en la cadena de suministro?

Sin duda. Los principales incidentes ocurridos en los últimos años muestran que un eslabón débil en la cadena de suministro ha resultado precisamente el vehículo propiciatorio para penetrar hasta el corazón de las infraestructuras críticas. Así, en lugar de intentar atacar directamente las defensas de un gran operador, los delincuentes intentan ahora hacerse con el control de los sistemas de alguno de sus pequeños contratistas, pero que tienen derecho de acceso total a los sistemas de su cliente, infraestructura crítica. Es volver a poner en práctica el viejo mito del Caballo de Troya, pero ahora en versión cibernética.

"Un eslabón débil en la cadena de suministro ha resultado precisamente el vehículo propiciatorio para penetrar hasta el corazón de las infraestructuras críticas"

Sin embargo, antes de extender la desconfianza, debemos examinar con cuidado el problema de exigir múltiples certificados de cumplimiento a todos los proveedores, porque podrían generarse importantes costes de transacción en un ecosistema en el que existen interdependencias de diversos servicios esenciales. Los procesos de auditoría de conformidad frente a múltiples normativas y estándares pueden multiplicarse y consumir gran cantidad de tiempo y recursos, elevando los costes sin que ello redunde en una apreciable mejora de la seguridad.

¿Es la ciberseguridad una responsabilidad compartida?

Sí, lo es a distintos niveles. En primer lugar, a nivel macroscópico, es una responsabilidad compartida entre los poderes públicos y la empresa privada. Los operadores privados de servicios esenciales rinden cuentas ante sus accionistas en un mercado en competencia regido por la relación calidad/precio del servicio, y la seguridad no deja de ser un atributo más de la calidad percibida por los clientes. Desde hace unos pocos años, los estados-nación enemigos, como agente de amenaza a las infraestructuras críticas de otro país, han desnivelado la balanza, ya que disponen de recursos ofensivos cuasi-infinitos y muy sofisticados, frente a las defensas de una pequeña o mediana empresa privada, que se encuentra en clara desventaja. Por todo ello, se hace necesaria una colaboración público-privada realmente bidireccional, en el que el gobierno tenga en cuenta el esfuerzo inversor realizado por los operadores de servicios esenciales para mantener un nivel de seguridad más allá del que exigen las circunstancias del mercado.

Manuel Carpio

En segundo lugar, a nivel microscópico, hoy la ciberseguridad es una responsabilidad compartida por todos y cada uno de nosotros, cada uno en nuestro pequeño entorno de actuación, tanto en el hogar, como en nuestro puesto de trabajo. La ciberseguridad no es solo un asunto de los técnicos del departamento de informática de la empresa, y esa es otra batalla cultural que, afortunadamente, también se va ganando día a día.

La redacción recomienda