POR MARCELO RODRÍGUEZ, PRESIDENTE DE RISKGROUP ARGENTINA
En 2017 leíamos que la empresa EQUIFAX le roban 143 millones de datos confidenciales. El ciberataque expuso datos alojados en la mayor compañía de monitoreo crediticio (dueña en Argentina de Veraz). La empresa señaló que los criminales aprovecharon una aplicación en un sitio web para acceder a sus archivos.
Las autoridades regulatorias en el mundo están imponiendo procedimientos cada vez más estrictos y, sobre todo, requiriendo se reporten las violaciones cibernéticas, incluyendo penalidades por infringir las leyes sobre los datos personales y generando políticas públicas. De hecho, 93% de las Pymes de EEUU han reportado algún tipo de incidente y la mayoría de ellas indicó que perdió dinero o mercados. El 31% sufrió pérdidas de reputación, pérdidas económicas o rotación de empleados y negocios. Un 50% reportó interrupción del servicio y afectó su posibilidad de operar. No obstante, solo un 3% reportó estar asegurado contra ciber-ataques.
Argentina está entre los países donde más mensajes phishing se reciben. El trabajo, realizado por Kaspersky Software, señala que los ataques fueron desde páginas fraudulentas de bancos (24,1%), de pago (13,94 %) y de compras online (9,49 %). En este tercer trimestre hubo 59,6 millones de ataques.
El Prof. Lorenzo Preve del IAE, en Estrategas afirma: “El objetivo es intentar poner en evidencia la creciente fragilidad de las empresas e instituciones frente a este tipo de amenaza, y abogar por una mayor seriedad en su tratamiento preventivo. Una vez que los hackers hayan dejado una ciudad sin luz, aviones sin volar, bancos sin poder operar, autos sin control, o semáforos sin sincronización, nos vamos a acordar de que debemos tomar este tema con la debida seriedad. ¿No será el momento de que el Congreso o algún organismo regulador tome cartas en el asunto?”. Coincido totalmente con esta apreciación y nuestro país viene rezagado en esta materia.
Uno piensa que las violaciones cibernéticas solo afectan empresas de consumo y financieras. Pero basta remontarse a diciembre del 2016, cuando piratas informáticos atacaron con éxito una subestación eléctrica en Ucrania, lo que dejó a la ciudad de Kiev sin electricidad. El incidente no se considera catastrófico –como el de Equifax- pero los investigadores ahora creen que ese ataque fue un simulacro. Según ellos se probó que un malware es una herramienta adaptable y escalable. El tema ya cobra, entonces, una magnitud aún más preocupante.
El WannaCry paralizó el 85% de los sistemas de Telefónica y grandes Hospitales del Reino Unido en junio de 2017. Otros ciberataques golpearon en forma simultánea a grandes empresas y servicios públicos en Ucrania y Rusia, propagándose luego a otros países. Repitiendo el mecanismo del ataque extorsivo y afectando a la petrolera rusa Rosneft y a compañías de Italia, Polonia, Alemania, Francia y Estados Unidos. Esto alcanzó inclusive algunas firmas que operan en Argentina, Chile, Colombia y México. Entre ellas la marítima danesa Maersk y el laboratorio farmacéutico Merck.
Ese malware está diseñado especialmente para afectar la infraestructura crítica. No existe una defensa contra el ataque en sí mismo. Una vez que entró, sencillamente funciona. Basado en sus investigaciones, el Equipo de Respuesta US-CERT publicó una alerta oficial. En ella, instó a todas las organizaciones de infraestructura crítica a que evalúen sus sistemas respecto de las susceptibilidades tecnológicas.
Los ataques cibernéticos han evolucionado, desde identificar sitios y robar información hasta desactivar la red eléctrica de un país. Los expertos tienen opiniones diferentes respecto de la amenaza, pero no divergen tanto en la posibilidad de un evento como en su momento y su magnitud. Según una encuesta realizada en BlackHat, un 60% consideraba que en los próximos dos años tendrá lugar un ataque cibernético contra la infraestructura crítica estadounidense. Sólo el 26% confía que el gobierno y las fuerzas de defensa están capacitados para responder de forma adecuada.
Un buen programa de ADMINISTRACION DE RIESGOS debe actuar con el supuesto que no se puede prevenir un ataque. Pero si se pueden establecer pautas y procedimientos para reducir la interrupción de los sistemas y procesos críticos en el menor tiempo posible. Esto implica perfeccionar los planes de continuidad del negocio, la gestión de crisis y las comunicaciones para responder tanto a los clientes como a los socios de la industria y el gobierno.
NADIE ESTA EXENTO. Estos eventos realmente requieren una educación especializada. Al igual que otros sectores, las empresas de energía enfrentan mayores exposiciones con la mayor dependencia de contratistas y menos empleados idóneos en seguridad tecnológica. Por ello, se debe prestar atención a los riesgos planteados por personal con información privilegiada, educándolo sobre las mejores prácticas.
Es necesario plantear un PERFIL DE RIESGO CIBERNETICO con distintos enfoques de mitigación. En estos casos, los escenarios de amenaza cambian constantemente, lo que implica una planificación de respuesta a la crisis en escenarios dinámicos. Lo ideal es realizar simulacros para analizar sus efectos y asegurar una respuesta más rápida, efectiva y confiable, además del restablecimiento de las operaciones.
Como en otras industrias, son esenciales las iniciativas para compartir información sobre las amenazas entre las empresas de servicios públicos y los organismos gubernamentales. Deberían evaluarse y decidir si se necesita ayuda complementaria de empresas privadas para hacer tales mejoras lo antes posible.
SI EMPARCHA SUS SISTEMAS, EMPARCHE SUS SEGUROS. Si una empresa toma los recaudos necesarios, actualiza sus equipos de TI aplicando protocolos de mayor seguridad cibernética, los seguros que cubren las operaciones, las cuentas de resultados y los productos suministrados deben también actualizarse. Si se opera en EEUU y Europa ya es obligatorio estar asegurado. Falta regulación y legislación, pero lo que es más necesario ESTAR BIEN ASESORADO PARA ESTAR BIEN ASEGURADO.
