La pandemia, la transformación digital, la modernización de los procesos y la industria 4.0 han implicado múltiples beneficios y desafíos. Uno evidente es la ciberseguridad debido a la creciente frecuencia y diversidad de los ataques. En los artículos anteriores sobre este importante tema ha quedado en evidencia la capacidad de estos ataques para afectar a cualquier tipo de organización y en cualquier nivel de la misma. ¿Ocurre lo mismo en nuestra industria minero energética?
Durante nuestros últimos artículos, ha quedado en evidencia la necesidad de abordar el desafío de la ciberseguridad de manera holística y estructural. Producto de la transformación digital y el contexto de pandemia actual, se han incrementado los ciberataques en cuanto a su frecuencia y dinamismo, lo cual ha aumentado también los niveles de inversión destinados a este servicio. Estudios estiman que alrededor de 6,000 millones de dólares se perderán globalmente derivado de la actividad cibercriminal durante el 2021. Ahora bien, ¿ocurre lo mismo en Perú? ¿qué pasa con la industria minero energética? Karla Parra, gerente de Operaciones de Telefónica Tech, nos ayuda a entender de mejor manera los riesgos a los cuales están expuestas las empresas del sector.
Según estudios de EY Building a better working world[1], el 51% de las compañías en el Perú sostienen que la relación entre ciberseguridad y sus líneas de negocio es inexistente o neutral. Asimismo, determina que tan solo el 27% de las compañías en el Perú incluyen la ciberseguridad en la planificación de nuevas iniciativas. En definitiva, se reconoce como una necesidad y riesgo inminente, pero aún no se toman las medidas necesarias, quedando totalmente vulnerables a ataques de este estilo.
Es evidente que la industria minero energética no es ajena a ciberataques y pensar lo contrario podría significar un grave error. En general, la industria minero energética se caracteriza por ser conservadora y tradicional en cuanto a la aplicación de nuevas herramientas. En la práctica, muchas compañías mineras están actuando cuando ya es demasiado tarde para gestionar los riesgos y vulnerabilidades en sus sistemas. Esto expone innecesariamente a la empresa a mayores y variadas amenazas.
La responsabilidad de gestionar la exposición a los riesgos de ciberataques no se puede delegar en una o dos personas, sino que debe reunirse un amplio equipo de responsables para formar una visión única, coherente y accesible al entorno de amenazas cibernéticas.
Según la encuesta “Global Information Securiry Survey 2017” realizada por EY, se estima que un 53% de las empresas de energía y recursos naturales ha incrementado su gasto en ciberseguridad en los últimos 12 meses. Sumado a un contexto de pandemia, es evidente que los presupuestos destinados a esta área están al alza, pero no lo suficiente como para solventar los riesgos de manera efectiva, particularmente con respecto al crecimiento de amenazas en Redes/Tecnologías Operacionales (TO), producto de la irrupción del IoT y su apertura al internet.
Aquí es necesario detenerse, ya que para entender la relación y preocupación entre los ciberataques y la industria minero energética, se debe entender también la distinción y creciente conexión entre Tecnologías de la Información (TI), Tecnologías de la Operación (TO) y Seguridad Física (SF). Hasta ahora, los mundos de TI, TO y SF han sido tradicionalmente independientes, situación que actualmente ha cambiado dado que las necesidades de los entornos están cada vez más ligados, haciéndose parte incluso de un mismo proceso. Por su parte, indiscutiblemente la industria es intensiva en el uso de TO (maquinarias, excavadoras, termómetros, sofisticados medidores, recientemente drones, etc.) así como de SF (sistemas de control de accesos digitales, cámaras IP, entre otros) pero también está incorporándose TI en la ejecución de prácticamente todos sus procesos.
El incremento de conectividad de los sistemas industriales y la integración de las tecnologías con otras contribuye a incrementar las amenazas, según Parra. Algo normal para las compañías de energía y minería es la creciente dependencia en sistemas de automatización, centros de operaciones remotas y toma de decisiones en tiempo real. Si bien lo anterior genera una mayor eficiencia, ofrece también una mayor vulnerabilidad para eventuales ciberataques.
La ciberseguridad debe verse a nivel holístico, donde la clave está en la correcta gestión de la misma (prevenir, detectar, dar respuesta) garantizando la ciber-resiliencia, buscando proteger la confidencialidad, integridad y disponibilidad de la información de los sistemas en su entorno.
En relación a lo anterior, los costos de un ciberataque para una empresa perteneciente a la industria mineroenergética pueden resumirse en el siguiente cuadro:
En la actualidad, se han identificado cuatro puntos o “Rutas de Ataque” que deben proteger las organizaciones de la industria:
- Los sistemas y redes (redes planas, protocolos inseguros, software antiguos y desactualizados)
- Accesos remotos inseguros
- Malware (USB o email)
- Ingeniería Social
Por su parte, los hackers vulneran estas rutas utilizando patrones en los puntos débiles dentro de la arquitectura de la red, tecnologías heredadas, personal remoto, accesos de terceros (cuyo descontrol se ha incrementado dada la pandemia) por lo que se vuelve necesario contar con partners en materias de ciberseguridad que entreguen un servicio específico a cada industria y cliente. Ante este panorama las empresas minero energéticas deben adoptar un marco de ciberseguridad para la identificación de fallas en las “rutas” clave de sus procesos de negocio, aparición de nuevas amenazas y acciones necesarias para mantener a la organización y a sus trabajadores fuera de peligro. Independientemente del marco que se adopte, se debe contar con un enfoque basado en riesgo, que mantenga un equilibrio entre “proteger” y “reaccionar”, y que cumpla con las necesidades operacionales de la compañía.
[1] https://www.ey.com/es_pe/news/2020/06/ciberseguridad-lineas-negocio-neutral
[2] https://www.incibe-cert.es/
