En términos psicológicos la resiliencia es la capacidad de los seres humanos para adaptarse positivamente a situaciones adversas. Resiliencia viene del latín, del término resilio, que significa “volver atrás” y se utilizaba para referirse a las personas que a pesar de sufrir situaciones estresantes no eran afectadas psicológicamente por ellas.
El término resiliencia ha ido evolucionando a lo largo de la historia hasta nuestros días, actualmente, en ambientes de ciberseguridad, cuando se habla de resiliencia cibernética se hace referencia a la capacidad de una empresa para adaptarse y continuar con sus funciones tras sufrir un ataque cibernético. Además, se refiere a cómo se debe actuar y cómo se debe gestionar la situación de forma que afecte mínimamente a su funcionamiento general.
En un mundo hiperconectado, como el actual, donde la tecnología desarrolla un papel cada vez más importante, la seguridad para prevenirse de ataques y la capacidad de adaptación y recuperación tras sufrir un ataque, resultan fundamentales. No solo porque puede afectar a su funcionamiento, también porque pueden originar fugas de información que comprometan la confidencialidad de los activos de la compañía y hagan que su credibilidad se vea afectada, provocando grandes pérdidas económicas. Por consiguiente, el término resiliencia cibernética está cobrando una creciente importancia para las empresas.
Pero la resiliencia cibernética cobra aún más importancia cuando se habla de empresas u organismos que resultan esenciales para el desarrollo de nuestra vida en sociedad, como es el caso de las infraestructuras críticas.
Las infraestructuras críticas son aquellas sin las que nuestra sociedad no puede mantener el ritmo de vida que llevamos actualmente. La capacidad de resiliencia en estos casos, es fundamental para garantizar nuestro desarrollo y nuestra supervivencia; el mundo depende enormemente de la informática y, en consecuencia, de su seguridad.
Por ejemplo, una caída en el suministro de energía eléctrica puede ocasionar terribles consecuencias. Un triste ejemplo reciente son los apagones que se han estado sucediendo desde marzo en Venezuela, con un total de 31,5 millones de personas afectadas y miles de millones de dólares gastados. Pero más allá de las cifras económicas, resulta más impactante la gran cantidad de pérdidas humanas en hospitales debido a que las máquinas que mantenían con vida a los pacientes no tenían suministro eléctrico.
Es por ello que todas las infraestructuras consideradas críticas deberían incluir en su lista de prioridades la protección y la resistencia frente a ataques cibernéticos, y sin embargo, encontramos que hasta ahora la implementación de la seguridad no ha sido efectiva por distintos motivos.
Uno de los motivos de la falta de seguridad en las infraestructuras críticas, es que, hasta ahora, este tipo de ataques no habían tenido un papel importante y tampoco se conocían muy bien las consecuencias de los mismos, y por consiguiente se centraban principalmente en mitigar ataques físicos contra su infraestructura. Pero tras casos como el BlackEnergy en 2015, dónde un troyano fue capaz de dejar sin electricidad durante horas a cerca de un millón de personas en Ucrania; las empresas energéticas y los gobiernos han empezado a dar a la seguridad la importancia que se merece.
Otro de los motivos es que en el mundo eléctrico encontramos un ecosistema que ya era interdependiente, y que el futuro nos asegura que lo será aún más debido a la introducción del IoT y sobre todo al IoT industrial (IIoT). Además, los hábitos de la ciudadanía están cambiando a un gran ritmo, por ejemplo, las ventas de vehículos eléctricos se han incrementado un 60% en 2018 respecto al anterior año; y 2019 se presenta como un año clave para el impulso del coche eléctrico por las ventajas que este ofrece. Debido a los incrementos de las ventas de coches eléctricos, las compañías energéticas se han visto obligadas a aumentar de manera desmesurada la cantidad de puntos de carga para poder cumplir con las cambiantes necesidades de la sociedad.
Es indudable, los nuevos hábitos sociales han provocado la introducción de nuevas tecnologías por parte de las compañías eléctricas, y esto a su vez ha generado nuevos problemas que deben ser abordados desde la perspectiva de la ciberseguridad. Aumentar los puntos de carga públicos hace que la superficie de ataque sea mayor, por lo que la instalación de un cargador poco seguro puede introducir un eslabón débil en la cadena conformada por todo el entorno eléctrico, dando lugar a una posible caída en cascada que acabe provocando una caída total del sistema.
Según datos de la Red Europea de Gestores de Redes de Transporte de Electricidad (ENTSO-E), el sistema energético europeo está diseñado para soportar una sobrecarga de máximo 3 gigavatios (GW). Aunque, en algunas zonas es aún menor. Las consecuencias de una sobrecarga de estas magnitudes podrían inducir a un apagón total del sistema.
Actualmente los cargadores de coches eléctricos que se están desarrollando tienen el objetivo de reducir los tiempos de carga, y para ello necesitan un incremento de la potencia que pueden manejar; introducir cargadores de coche poco seguros no solo hace que la superficie de ataque aumente, sino que, además, como los nuevos cargadores manejan mayor potencia, la cantidad de cargadores que se deberían atacar para provocar una caída total del sistema eléctrico es cada vez menor.
En consecuencia, y debido a que los hábitos sociales avanzan más rápido que la legislación al respecto, resulta elemental que las compañías eléctricas tengan perspectiva de seguridad con el objetivo de asegurar su propio ecosistema y el desarrollo de la sociedad, por encima de conformarse con cumplir la legislación y los estándares.
Las empresas deben plantear la seguridad como un aspecto holístico que afecta por igual a todos los departamentos, se debe facilitar una cultura de colaboración con el objetivo de asegurar una ágil comunicación entre equipos para dar una respuesta rápida ante incidentes.
Los responsables de las empresas deben estar obligados a pasar de ser supervisores a tener un papel activo en este desempeño. Y de algún modo, se tiene que acabar con las trabas que las empresas se encuentran a la hora de abordar este tema, hay que intentar acabar con el estigma de sufrir un ataque para que su credibilidad no se vea comprometida. Asimismo, es necesario que distintas empresas de los distintos sectores establezcan vías de comunicación para mantenerse al día de nuevas amenazas y técnicas de protección, para de esta manera poder estar preparados frente a posibles amenazas desconocidas hasta la fecha.
Tristemente, como hemos visto, debido a las dificultades que plantea muchas veces no se lleva a cabo con la eficacia que se desea. Una forma de agilizar y facilitar la inclusión de la seguridad en las prioridades de una empresa es mediante la obtención de una certificación de seguridad.
En ejemplos como el que se ha comentado las certificaciones de seguridad brindan a las empresas la posibilidad de asegurar sus activos frente a ataques reales. Un adecuado uso de las mismas permitiría proteger tanto sistemas, con certificaciones ya reconocidas por la industria como ISO27001 o ENS en el caso de España (siempre aplicadas buscando la excelencia y no solo el cumplimiento, incluyendo tanto análisis de vulnerabilidades regulares como ejercicios de red teaming); como productos, con certificaciones como Common Criteria o alguna de las nuevas certificaciones ligeras que tanto están dando que hablar en Europa, como es el caso de LINCE en España. El modelo de tercero confiable permite asegurar la imparcialidad en la realización de las evaluaciones mientras que el uso de una metodología probada y reconocida garantiza su calidad.
Cada vez más, la certificación en ciberseguridad se postula como una respuesta al problema de la seguridad tanto en empresas como en particular infraestructuras críticas. Si bien no garantiza la infalibilidad, es un paso imprescindible para caminar en la dirección de la seguridad total.
