Blog del CCI

jueves, 11 de enero de 2018

15 predicciones de riesgos en el escenario digital de 2018

¿Qué ocurrirá en torno a la seguridad ligada al [mal] uso de lo digital a lo largo de este año?“

¡Guau! Sin duda, todo un reto, que la amplitud y profundidad del asunto -por cuanto en él cabe- hacen, aún, más complejo.

Elucubrar sobre los acontecimientos que sucedan más allá del presente no parece que haya sido nunca una ciencia exacta y, por tanto, cualquier afirmación hecha a futuro podrá ser puesta en entredicho cuando dicho futuro se alcance.

En el presente caso, está Ud. a sólo doce meses de comprobar las capacidades predictivas de quien le dirige estas líneas.


1: Pérdida total de confianza.
Sentirse desamparado, no tener y/o no saber dónde acudir es, a mi juicio, la amenaza más grave que puede cernirse sobre la confianza que clientes/usuarios depositan en una organización.
Los ataques que vulneran la confianza de los consumidores por completo pueden tener efectos devastadores para las organizaciones.
Me refiero a aquellos en los que las propias fuentes de confianza dejan de ser fiables: caso “CCleaner” (septiembre, 2017) u otros similares ocurridos con anterioridad en la órbita de fabricantes de soluciones/software industrial, cuyas fuentes habían sido también contaminadas (comprometidas).
Pienso que el caso (o casos) “Intel” de que somos testigos estos días tiene perfecta cabida en esta categoría.

2: Vulnerabilidades de Hora-0.

El margen de tiempo en el que se aprovecharán las vulnerabilidades de Día-0 se han ido reduciendo. Aún lo harán más. Pasaremos a hablar de márgenes de horas, desde que la vulnerabilidad sea descubierta hasta que sea explotada.

3: Amenaza de oscuridad total.
Puesto a elucubrar, ¿por qué no hacerlo a lo grande? Hemos visto ataques a infraestructuras industriales y críticas (las redes eléctricas ocupan un lugar destacado en este poco honroso ‘ranking’). Seguiremos viendo ataques a esas y otras infraestructuras y servicios públicos.
Pero, lo que aún nos queda por ver, a pesar de lo largamente que ha sido anunciado, es un ciberincidente de proporciones planetarias o, al menos, continentales. Se viene hablando de él desde hace años: lo han denominado “ciber Pearl Harbour”; lo han llamado “Armagedón cibernético”; ahora lo denominan “ciber-botón rojo” (la capacidad de enviar a un adversario a la Edad Media, o más allá, tras pulsar un botón -tal vez, una tecla; o una pantalla táctil, 😉- de color rojo).
Personalmente, es algo que no me gustaría ver y confío en que no se produzca -sinceramente, no termino de verlo realista-; pero, como señala el dicho popular, “torres más altas han caído”. No parecería, por tanto, muy prudente eliminar esta entrada de una lista en la que lleva alojada varios años (haciéndose cada vez más verosimil, por desgracia).

4: El sur también existe.Los EEUU/Europa no son el ombligo del mundo. Según algunos análisis, países como Corea del Sur y Japón están más sensibilizados en relación a las ciberamenazas internacionales. Pero, también, regiones emergentes (o en vías de estarlo), como África, pueden ser un objetivo deseable en el futuro cercano.
¡Obsérvela a lo largo de los próximos meses!

5: IA.
Sin ánimo de resultar muy simplista, podría decirse que los delitos, al final, son siempre los mismos. Eso, por ejemplo, supone que seguiremos viendo -a veces sufriendo- robos de datos (identidades u otros datos personales, propiedad intelectual, etc.).
Lo que realmente cambia -avanza- son los modos, los medios, las herramientas. Todo apunta a una expansion, cada vez más amplia, de la Inteligencia Artificial como una herramienta de verdadera “inteligencia” (ciberinteligencia) capaz de idenficar, por ejemplo, “qué atacar” y “dónde”.
Hay quien aboga por eliminar el componente humano, dejando todo acto defensivo -doy por hecho que también los ofensivos- en manos de algoritmos: protección para el pueblo; pero sin el pueblo.
Mi opinion -y creo no estar solo- es que algoritmos y personas han de ir de la mano (más aún, sería bueno que los primeros fueran de la mano de las segundas).

6: Ciberseguridad Industrial en entornos "no-industriales".
2018 puede ser el desgraciado momento de los edificios inteligentes (BMS/BAS) y de los hospitales (hablamos de los ciberriesgos para la actividad de ingeniería hospitalaria, no de ‘ransomware’ atacando los sistemas de información hospitalaria (historia clínica electronica, receta eléctronica, etc.) que ya han tenido su momento en los últimos años -y que, por otro lado, segurán teniéndolo-.

7: Ransomware.
Hemos visto ‘ransomware’ para sacar dinero (así empezó la cosa). Hemos visto, más recientemente, ‘ransomware’ que más que obtener dinero, parecía buscar, simplemente, la perturbación de operaciones o instalaciones. Pero lo que no hemos visto tanto y, probablemente, tendremos que acostumbrarnos a empezar a ver en el contexto industrial, será ‘ransomware’ dirigido específicamente a los sistemas de control industrial (SCI), en lugar de a las usuales plataformas informáticas/ofimáticas, como viene siendo habitual.

8: Monetización.
No sería extraño ver cómo se amplían las formas de monetización de los ataques; pero eso ya no es ciberseguridad, eso es mera delincuencia (creatividad/innovación, se dice ahora; el ingenio de toda la vida).

9: Presupuestos.
Como señalan nuestros informes reiteradamente, cabe pensar que los presupuestos de ciberseguridad tenderán al alza.

10: CICSO/CIXO (Chief Industrial Cyber Security Officer).
Se mantendrá la escasez de profesionales que combinen experiencia TI/TO/CIBER, a todos los niveles. Eso incluye desde el Consejo de Administración hasta el último especialista técnico.
Necesariamente ha de surgir la figura de un responsable operativo: Director de Ciberseguridad Industrial (en inglés, Chief Industrial Cyber Security Officer -CICSO/CIXO-).

11: DevSecOps.
Habrá una mayor adopción de prácticas e integración DevOps + Seguridad: DevSecOps.

12: Salas/Centros de Control.
Se tenderá a una integración de las consolas (HMI) de supervisión/operación de la seguridad en las salas de control/centros de control de los procesos industriales.
Estarán operadas por personal especializado específico (no de operación); pero integrado con aquél, de forma que resulte fácil verificar las consecuencias sobre el proceso, de aquellas anomalías que se detecten a nivel de ciberseguridad industrial.

13: Marcos de referencia.
Se acelerará la adopción de marcos de referencia para la Ciberseguridad Industrial (NIST CSF, NERC CIP, ISA/IEC 62443, …). Entre ellos, por qué no decirlo, el SGCI de CCI.

14: Notificación de incidentes.
La nueva regulación también acelerará, previsiblemente, la notificación de incidentes, como exigencia de la nueva regulación.

15: Cifrado.
Se hará más habitual el uso de protocolos seguros (con cifrado).


Miguel García-Menéndez
Vice-Chairman
CCI, Industrial Cybersecurity Center

No hay comentarios :

Publicar un comentario