Riesgo cibernético: un ejemplo del sector energético

No sé si se acuerdan del nefasto wannacry. Fue un ransomware (virus cibernético que inutiliza los datos de un computador al encriptarlos y, de no pagar un rescate, aquellos se pierden definitivamente) que se popularizó hace unos años cuando afectó a muchas empresas alrededor del mundo. Las teorías que se barajaban en el momento apuntaban a que los primeros ataques fueron a empresas ucranianas de energía.

Recuerdo este evento fruto de un artículo publicado por la consultora McKinsey (The energy-sector threat: How to address cybersecurity vulnerabilities, disponible aquí). En este se ilustra la vulnerabilidad del sector energético en cuanto a ataques cibernéticos se refiere. Lo primero es entender que todo mercado de utilities donde se cubren grandes territorios pueden, en caso de ser perturbada su oferta, causar caos y pérdidas económicas y operativas importantes. 

Lo segundo, nos dice McKinsey, es notar que todo eslabón de la cadena de valor puede ser un blanco de un ataque cibernético. En la generación, transmisión, distribución, e incluso información de las redes de consumo. Además de los ransomwares (incentivados por sistemas informáticos legacy, softwares desactualizados, firewalls mal configurados, etc.), proliferan los ataques DDOS, accesos fraudulentos a las redes físicas (vulnerabilidades nacidas de la distribución geográfica de las utilities), alteración de consumos y robo de información vía ataques a equipos IoT: cualquiera de estos puntos puede ser un objetivo para activistas o criminales.

¿Y qué podemos hacer al respecto? Primero, educar. En general las mayores brechas de seguridad son las capas humanas, donde una mala implementación de una política de seguridad de la información puede causar la debacle. Segundo, prevenir: un sistema en el que no hemos notado un ataque puede ya haber sido infiltrado, o tener vulnerabilidades que solamente por suerte no han sido explotadas. La ciberseguridad es un proceso de mejora continua, donde técnicas como el ethical hacking y los bounty programs han probado ser muy efectivos. Y, por último, entender los ataques cibernéticos dentro de una política integral de gestión del riesgo. Es decir, asimilar que una caída de sistemas informáticos es un riesgo similar a otros muchos que vemos todos los días. Debemos contar con planes para actuar cuando ocurran e, idealmente, estar cubiertos con un seguro.

Los últimos años han visto un crecimiento significativo en el número de pólizas de ciberseguro, donde empresas se cubren ante posibles pérdidas económicas por sistemas caídos, violaciones de información confidencial o responsabilidades frente a terceros. Con este tipo de seguros, la empresa puede actuar rápida y coordinadamente con las víctimas para reducir al mínimo el daño causado y volver a levantarse. Puedes leer más sobre este tipo de seguros aquí.