Los retos de la nueva Directiva NIS

Las infraestructuras nacionales cr¨ªticas desempe?an un papel esencial para que cualquier sociedad funcione. Nos proporcionan energ¨ªa, transporte, agua, hospitales y servicios fundamentales de internet. Pero al mismo tiempo es un objetivo principal para hacktivistas, grupos de cibercrimen y cada vez m¨¢s Estados. Para atajar este problema, a principios de mayo entraba en vigor la Directiva de la UE sobre Seguridad de Redes y Sistemas de Informaci¨®n (Directiva NIS).

A medida que los sistemas heredados y las nuevas tecnolog¨ªas, como el internet de las cosas (IoT), contin¨²an ampliando la superficie de ataque, los operadores de infraestructuras cr¨ªticas deben asegurarse de tener los controles y procesos establecidos para mantenerlos seguros.

• Nuevas amenazas

La transformaci¨®n digital ha permitido a los operadores de infraestructuras cr¨ªticas diferenciarse con servicios nuevos e innovadores, mejorar la productividad del personal y la eficiencia de costes, y administrar sus negocios con mayor agilidad. Pero la combinaci¨®n de las herramientas modernas con sistemas heredados los expone a un mayor riesgo de ataque. Los defectos del software, los puertos de red abiertos, los cambios de archivos no detectados, la autenticaci¨®n deficiente y los protocolos de red inseguros est¨¢n listos para ser explotados por aquellos que tengan el conocimiento adecuado.

Algunos protocolos no fueron dise?ados nunca para el mundo interconectado y no soportan la autenticaci¨®n o el cifrado¡±

Los sistemas industriales IoT (IIoT) est¨¢n particularmente expuestos si los inicios de sesi¨®n predeterminados de f¨¢brica se dejan en los dispositivos y los parches se producen y no se aplican con la suficiente rapidez. La investigaci¨®n de Trend Micro revela que el tiempo medio que transcurre desde que se revela una vulnerabilidad a un proveedor de SCADA (un software para ordenadores que permite controlar y supervisar procesos industriales a distancia) y el lanzamiento de un parche puede alcanzar hasta 150 d¨ªas, mucho m¨¢s del que pasa en caso de que se trate de un software conocido como el caso de Microsoft o Adobe.

El problema se agrava si los operadores de infraestructuras cr¨ªticas est¨¢n ejecutando sistemas de tecnolog¨ªa subyacente en plataformas desactualizadas. No es raro encontrar Windows NT y XP en tales entornos. Desafortunadamente, muchos responsables de TI consideran que estos sistemas son demasiado cr¨ªticos como para parchearlos o actualizarlos, especialmente porque est¨¢n conectados a los puestos de trabajo de IIoT y sistemas SCADA, entre otros. Aislarlos completamente de internet ya no es una opci¨®n en muchos casos, ya que las empresas est¨¢n migrando a servicios cloud para gestionarlos y operar con ellos. Los protocolos como MODBUS no fueron dise?ados nunca para el mundo interconectado y, por tanto, no soportan la autenticaci¨®n o el cifrado, lo que expone a¨²n m¨¢s estos sistemas heredados.

Dado que se centran en la infraestructura cr¨ªtica, los ataques pueden hacer mucho m¨¢s da?o que el simple robo de datos. Los proveedores de energ¨ªa ucranianos lo saben muy bien. Los ataques a sistemas clave en diciembre de 2015 y 2016 provocaron cortes de energ¨ªa para cientos de miles de consumidores. Pero no son los ¨²nicos proveedores en peligro. Recientemente, los gobiernos del Reino Unido y Estados Unidos emitieron una alerta conjunta sobre los ataques promovidos por el Kremlin dirigidos a infraestructuras cr¨ªticas y otras empresas.

• Es hora de cumplir

Esta es la raz¨®n por la que la Comisi¨®n Europea puso en marcha la Directiva NIS, una nueva ley dise?ada para aplicar normas m¨ªnimas de buenas pr¨¢cticas que permitan mejorar la seguridad general para los proveedores de servicios esenciales. En teor¨ªa, al igual que ocurre con el GDPR, se pueden aplicar multas por infracciones graves de hasta un mill¨®n de euros o el 4% del volumen del negocio global anual.

La directiva contempla cuatro objetivos principales: administrar el riesgo de seguridad, protecci¨®n contra ciberataques, detectar eventos de ciberseguridad y minimizar el impacto de los incidentes. Dentro de estos, se abarca todo, desde la gesti¨®n p¨²blica hasta la gesti¨®n de riesgos, la seguridad de la cadena de suministro, la capacitaci¨®n del personal, los controles de seguridad, la gesti¨®n de activos o la recuperaci¨®n y respuesta ante incidentes.

M¨¢s informaci¨®n

El espacio, la ¨²ltima frontera de la ciberseguridad

Ciberataques que causan da?os en el mundo f¨ªsico

Si bien la directiva no contiene un conjunto de normas de car¨¢cter prescriptivo, algunos organismos y autoridades competentes de los Estados miembros en materia de velar por el cumplimiento de las obligaciones de los operadores cr¨ªticos, han dise?ado un conjunto detallado de principios que ayudar¨¢n a tal cumplimiento. En t¨¦rminos generales, el primer paso es entender lo que se est¨¢ ejecutando. Con esta informaci¨®n, pueden identificarse mejor los ciberriesgos y establecer controles para mitigarlos.

Un enfoque de seguridad basado en las mejores pr¨¢cticas sugiere que, en la medida de lo posible, se consolide en un proveedor de confianza con una amplia gama de herramientas de protecci¨®n contra amenazas intergeneracionales que compartan inteligencia e informaci¨®n. Con este enfoque, las posibilidades de optimizar la configuraci¨®n de seguridad son muy altas, aunque esta es solo una parte de un panorama de cumplimiento m¨¢s amplio.

El GDPR puede haber dominado los titulares informativos hasta ahora, pero esta nueva ley de la UE es igualmente importante a largo plazo para la seguridad, la estabilidad y el crecimiento de los Estados.

Jos¨¦ Battat es director general de Trend Micro Iberia.