Los operadores de infraestructuras críticas son vitales para nuestra sociedad ya que prestan servicios cruciales como energía, telecomunicaciones, transporte, agua, etc. Se trata de servicios de los que no podemos prescindir y cuya interrupción tiene un impacto en la seguridad de cada país. De ello se deduce que, ante la proliferación de ciberataques, es cada día más urgente y fundamental implementar medidas de ciberseguridad y garantizar la seguridad tanto a nivel nacional como europeo.
Índice de temas
Qué es una infraestructura crítica
El desarrollo, la seguridad y la calidad de vida en los Países industrializados dependen de la operación continua y coordinada de un conjunto de infraestructuras que, por su importancia y carácter estratégico, se definen como “Infraestructuras Críticas”. Es decir: recursos materiales, servicios, sistemas de tecnología de la información, redes y activos de infraestructura que, si dañados o destruidos, afectarían gravemente las funciones cruciales de la sociedad, incluida la cadena de suministro, la salud, la seguridad y el bienestar económico o social del Estado y de la población.
Pertenecen a esta categoría:
- las instalaciones y las redes energéticas;
- los sistemas de comunicación y de tecnología de la información y las redes informáticas;
- el sector financiero;
- el sistema de salud;
- el suministro de alimentos y de agua;
- el sector del transporte;
- la producción, el almacenamiento y el transporte de sustancias peligrosas;
- la administración pública, especialmente en la prestación de servicios públicos esenciales.
Además, cabe recordar que las infraestructuras críticas están cada vez más controladas y monitorizadas por los Sistemas de Control Industrial (Industrial Control System ICS), incluyendo sistemas SCADA (Supervisory Control and Data Acquisition). Además, los productos ICS se basan principalmente en plataformas de embedded standard systems y, a menudo, utilizan softwares comerciales estándar que, de un lado facilitan la reducción de costos y una mayor facilidad de uso y, de otro lado, aumentan la exposición a ataques de ingeniería social basados en redes informáticas haciendo indispensable la implementación de medidas de seguridad.
El contexto actual, caracterizado por una proliferación de numerosos ciberataques urge contar cada vez más con: las tecnologías avanzadas; las infraestructuras seguras; una mayor cooperación operativa; un enfoque común sobre los parámetros de ciberseguridad para productos y servicios también a nivel europeo.
Normativas europeas para proteger las infraestructuras criticas
A nivel europeo, desde 2006, se han creados programas, planes y directivas para la protección de infraestructuras críticas, y precisamente:
- Programa Europeo de Protección de Infraestructuras Críticas (European Program of Critical Infrastructure Protection – EPCIP) constituido por un conjunto de principios, procesos y herramientas para su implementación.
- Plan de acción complementario (i.e.: Critical Information Infrastructure Protection – CIIP) se basa en cinco pilares: preparación y prevención, detección y respuesta, mitigación y recuperación, cooperación internacional y criterios para las infraestructuras críticas europeas.
- Directiva 2008/114/CE relativa a la identificación y designación de infraestructuras críticas europeas con el objeto de establecer un “procedimiento para la identificación y designación de Infraestructuras Críticas Europeas (European Critical Infrastructure – ECI) y un enfoque común para evaluar la necesidad de mejorar la protección de las infraestructuras críticas y contribuir a la protección de las personas. Al mismo tiempo, la Agencia Europea de Seguridad de las Redes (European Network Security Agency – ENISA) tiene como objetivo implementar medidas CIIP.
La UE ha establecido recientemente nuevas normas para obligar a los proveedores de infraestructuras críticas a:
- proteger sus sistemas;
- promover la cooperación internacional en el ciberespacio;
- promover el intercambio de información y la inteligencia;
- garantizar un enfoque más holístico.
Analizamos en detalles esas nuevas normas.
La Directiva Network & Information Security 2 (NIS 2), aprobada en noviembre 2022, tiene como objetivo:
- reforzar los requisitos de seguridad;
- mejorar la seguridad de la cadena de suministro;
- simplificar las obligaciones de presentación de informes;
- garantizar tanto medidas de supervisión más estrictas como requisitos de aplicación más estrictos.
NIS2 también prevé la creación obligatoria de un “Grupo de Resiliencia de Infraestructuras Críticas” para suportar la Comisión Europea en la cooperación estratégica y el intercambio de información, así como para evaluar las distintas estrategias.
Además, la lista de los sectores sujetos a obligaciones de ciberseguridad ha sido actualizada, es decir, que la NIS2 se aplicará tanto a las infraestructuras críticas identificadas por la NIS1 como a todas las entidades de media y grandes dimensiones que operan en sectores críticos (i.e.: redes sociales, gestión de aguas residuales, espacio, producción de equipos sanitarios, servicios postales, sector alimentario y administración pública a nivel central y regional). Son excluidas las entidades que operan en los ámbitos de la defensa, la seguridad pública y la justicia.
La nueva Directiva también prevé la creación de la red europea de Cyber Crisis Liaison Organisation Network (CyCLONe) de las organizaciones nacionales de referencia para las cibercrisis, con el fin de garantizar la gestión coordinada de incidentes de ciberseguridad a gran escala.
NIS2 obliga informar – dentro de las 24 horas – la autoridad competente y los sujetos que utilizan el servicio, con referencia al impacto de un ataque cibernético que comprometa el funcionamiento del servicio o la divulgación de datos sensibles, junto con las acciones que se tomarán para mitigar el daño,
Además, será obligatorio enviar un informe detallado – dentro de las 72 horas desde el descubrimiento del ataque – a la autoridad competente, indicando las debidas informaciones en términos de gravedad del impacto, indicadores de compromiso y otros detalles técnicos.
Los Estados miembros incumplidores se enfrentarán a sanciones severas, y precisamente:
- hasta un máximo de 10 millones de euros o el 2% de los ingresos globales para entidades esenciales;
- hasta un máximo de 7 millones de euros y el 1,4% de los ingresos mundiales para entidades importantes.
NIS 2 también establece la participación de ENISA para estructurar una base de datos europea de vulnerabilidades conocidas, siguiendo el modelo del National Vulnerability Database (NVD) de Estados Unidos.
La Directiva RCE (Resilience of Critical Entities), aprobada el pasado noviembre 2022, entrará en vigor en los primeros meses de 2023 y cubrirá 11 áreas de riesgo, que incluyen: peligros naturales, ataques terroristas, amenazas internas y sabotaje, cualquier emergencia de salud pública como la reciente pandemia de COVID-19.
Los Estados miembros tendrán que llevar a cabo una evaluación de riesgos de sus infraestructuras críticas cada cuatro años, comprobando qué sistemas son críticos para la sociedad, la economía, la seguridad en general, con el fin de identificar posibles vulnerabilidades, informar de incidentes e implementar las mejoras necesarias.
Además, los Estados miembros deberán averiguar que los operadores de infraestructuras críticas adopten medidas técnicas y organizativas para garantizar su resiliencia, en términos de:
- prevención de accidentes;
- protección física de las zonas sensibles;
- mitigación de las consecuencias de los accidentes;
- recuperación de los accidentes;
- gestión de la seguridad de los empleados;
- mayor toma de conciencia de la resiliencia por parte del personal.
Las nuevas directivas europeas obligan, de hecho, todos los Países europeos a garantizar tanto la mejora de los servicios esenciales para la comunidad (preparatoria para aumentar su resiliencia) como el fortalecimiento del nivel común de ciberseguridad con el fin de gestionar la creciente interconexión entre los mundos físico y digital y, al mismo tiempo, diseñar estrategias válidas de seguridad nacional y comunitaria.
La ciberresiliencia de las infraestructuras críticas
Cabe recordar que la resiliencia cibernética consiste en la capacidad de una organización para prepararse, defenderse y recuperarse de las amenazas/ataques cibernéticos con el fin de limitar las infracciones y garantizar la continuidad del negocio sin ninguna interrupción. Cada país, por lo tanto, debe ser capaz de hacer frente a cualquier tipo de amenaza y diseñar estrategias para mantenerse resiliente teniendo en cuenta que las Infraestructuras Críticas están cada vez más digitalizadas, dependen de terceros y son más vulnerables a los ataques cibernéticos a múltiples operadores. De ello se desprende que es urgente garantizar un enfoque estructurado resultante de la síntesis calibrada de los principios de Gestión de Riesgos, Continuidad del Negocio y Ciberseguridad.
Las organizaciones de Infraestructuras Críticas deben tomar conciencia de sí mismas y de los puntos de fallo/vulnerabilidades que las caracterizan. Por lo tanto, las infraestructuras críticas – según un enfoque risk-based e resilience-based – deberán aplicar los principios de gestión de riesgos, continuidad del negocio y ciberseguridad para:
- Analizar riesgos – Se trata de partir de un inventario de recursos críticos de infraestructura en términos de hardware y software, así como en términos de información/datos con el fin de identificar las diversas amenazas internas y externas, intencionales y accidentales. Los riesgos identificados deben mitigarse posteriormente mediante estrategias de protección, controles y medidas de seguridad.
- Establecer una “Governance de la seguridad” – Los recursos tecnológicos deben estar alineados con el negocio de la organización. Por lo tanto, es necesario establecer un marco para la “governance” de las tecnologías de la información para de diseñar adecuadamente la estrategia y la planificación de las tecnologías teniendo en cuenta los principios de la ciberseguridad de la información y la gestión de riesgos. Se trata, de hecho, de diseñar un Sistema de Gestión de Seguridad de la Información (Information Security Management System – ISMS) alineado con el negocio.
- Diseñar la Operational Resilience – Se trata de identificar las operaciones necesarias para el negocio, su automatización y monitoreo, con el fin de responder a incidentes y garantizar la recuperación en caso de crisis, incidentes o eventos disruptivos de acuerdo con los principios de continuidad del negocio y ciberseguridad. Además, será necesario: definir procedimientos de actualización de aplicaciones DevOps; identificar estrategias necesarias de protección (i.e.: software antivirus, sistema operativo, base de datos, etc.); cómo asegurar la continuidad del negocio a través de un análisis oportuno de impactos, diseño de planes de recuperación ante desastres, gestión de incidentes, comunicación de crisis, etc.
- Definir la arquitectura de Operation Security – Se trata de: diseñar la red, junto con los dispositivos de protección perimetral necesarios; definir el acceso y la gestión de la identidad; garantizar la seguridad de las comunicaciones.
- Garantizar la seguridad del software básico, estableciendo procedimientos y actividades preparatorias para mantener actualizados tanto el antivirus como los distintos servidores de aplicaciones, el correo electrónico, el web, los sistemas operativos y los sistemas de gestión de bases de datos.
- Controlar adecuadamente el acceso a los sistemas – Es urgente garantizar la seguridad física de los diferentes activos, tanto desde fuera de las instalaciones como desde el interior de estas. Es igualmente importante definir y gestionar los procedimientos de acceso al personal a los sistemas, en función de su función y actividad, prestando especial atención en los casos de cambio de puesto de trabajo o rescisión del contrato.
- Evaluar continuamente la seguridad – Se trata de evaluar permanentemente que los controles y procedimientos funcionen de acuerdo con las necesidades de la organización y las operaciones que se realizan.
- Formación, ejercicios y concienciación – Es más necesario que nunca garantizar la formación continua al personal y realizar ejercicios periódicos para aumentar la cultura de ciberseguridad en materia de ingeniería social, phishing, errores comunes, ya que contar con personal cualificado permite ser más proactivo en la detección y respuesta a incidentes.
Es decir, se trata de garantizar la ciberresiliencia de las Infraestructuras Críticas según un enfoque de:
- Ciberseguridad predictiva: actividades de inteligencia de amenazas de dominio, inteligencia de amenazas cibernéticas, inteligencia de amenazas de alerta temprana, monitoreo de tecnología, inteligencia de amenazas sociales, riesgo cibernético de la cadena de suministro, etc.
- Ciberseguridad preventiva: actividades de evaluación de vulnerabilidades, escaneo de red, prueba de penetración, revisión de código, ataque de phishing, ataque de smishing, gestión de seguridad, cyber security framework check-up, simulación de ataque de ransomware, simulación de Security Operation Center (SOC) performance, simulación de Zero-day attack, etc.
- Ciberseguridad proactiva: provisión de un SOC y de un Incident Response Team, entrenamiento continuo del personal y ejercicios regulares.
Conclusiones
La implementación de buenas prácticas de gestión de riesgos y de continuidad del negocio, combinada con una visión global de la ciberseguridad, puede ayudar a garantizar la resiliencia cibernética de las infraestructuras críticas. Además, en el futuro será cada vez más necesario garantizar la colaboración público-privada y, al mismo tiempo, desarrollar una estrecha colaboración entre los distintos Países europeos, compartiendo información y actividades de inteligencia. Es decir, se trata de garantizar un enfoque más holístico europeo, ya que la necesidad de reforzar los sistemas de defensa de infraestructuras críticas se ha convertido en una urgencia imprescindible.
Prohibida su reproducción total o parcial.