La mayoría de los usuarios de sistemas de control industrial (ICS) están preocupados por los efectos potencialmente catastróficos de un ciberataque exitoso. Esto fue revelado mediante un nuevo estudio que analiza la seguridad de los sistemas ICS en la industria de la energía.
El estudio fue llevado a cabo por el especialista en seguridad y cumplimiento Tripwire por Dimensional Research. El mismo incluyó 151 profesionales de seguridad de tecnología operativa y TI (OT) en empresas de energía, petróleo y gas.
En los resultados se encontró que el 70 por ciento de los encuestados están preocupados de que un ataque cibernético exitoso cause una falla catastrófica. Entre las opciones “catastróficas” figuran cosas tan impresionantes como una explosión.
El 97 por ciento está preocupado de que los ataques puedan causar cierres operativos. Esto con un amplio reconocimiento de la amenaza física de los ciberataques contra la energía y la industria del petróleo y el gas. Por otro lado, el 96 por ciento cree que podrían afectar la seguridad de sus empleados.
No hay suficiente inversión en seguridad
«Las compañías de energía han aceptado la realidad de que las amenazas digitales pueden tener consecuencias tangibles». Esto lo dice Tim Erlin, quien es el vicepresidente de gestión de productos y estrategia en Tripwire. Erlin insiste en que esta percepción quizás se ve acrecentada por los recientes ataques. Los mismos que fueron específicamente diseñados para afectar las operaciones físicas y han demostrado ser capaces de hacerlo.
Es bien sabido que existe preocupación por la falta de inversión en seguridad. Por ello, el 62 por ciento dice que la falta de presupuesto y la inversión siguen siendo la mayor barrera para cumplir con los objetivos de seguridad de ICS.
También hay quienes dicen que su compañía no invierte lo suficiente en seguridad cibernética. Y está el 56 por ciento que cree que haría falta un ataque significativo para lograr que sus compañías hagan un nivel adecuado de inversión.
Más cifras alarmantes sobre ciberataques
Una gran mayoría, el 91 por ciento, está preocupada por los ataques a su ICS. Y el 59 por ciento dice que sus compañías han aumentado las inversiones de seguridad debido a ataques dirigidos por ICS. Entre algunos podemos mencionar los nombres Trisis (Triton), Industroyer (CrashOverride) y Stuxnet.
Asimismo, el ransomware sigue siendo un problema importante. Con un 45 por ciento que dice que ha tenido el impacto más significativo en el aumento de su inversión en seguridad. Esto en comparación con el 44 por ciento que dijo Trisis (Triton) e Industroyer (Crashoverride), y el otro 11 por ciento que dijo Stuxnet.
Tim Erlin continúa afirmando que resulta “alentador” ver que las empresas han aumentado algo su inversión en seguridad. Sin embargo, Erlin resalta lo preocupante que es que más de la mitad espere a que ocurra un ataque antes de invertir adecuadamente. Por supuesto, dado lo que está en juego con la infraestructura crítica.
“La industria energética debería invertir en establecer estrategias de seguridad cibernética más sólidas. Con una base adecuada de controles de seguridad críticos y capas de defensa”. Puedes leer más sobre los hallazgos en el sitio web de Tripwire.