Durante la Reunión Anual del Foro Económico Mundial, McAfee reveló el asombroso costo e impacto de los ataques cibernéticos a infraestructura crítica, como redes eléctricas, producción de petróleo y gas, telecomunicaciones y redes de transporte. Una encuesta de 600 ejecutivos en seguridad de IT de empresas de infraestructura esencial en todo el mundo demostró que más de la mitad (54%) ya ha sufrido ataques a gran escala o infiltraciones furtivas de pandillas del crimen organizado, terroristas o estados naciones. El costo promedio estimado de las interrupciones asociadas con un incidente importante es de US$6,3 millones al día.
El informe “Entre fuego cruzado: infraestructura esencial en la era de la guerra cibernética”, encargado por McAfee y desarrollado por el Center for Strategic and International Studies (CSIS), también descubrió que el riesgo de un ataque cibernético está en aumento. A pesar del creciente conjunto de leyes y regulaciones, más de un tercio de ejecutivos de IT (37%) dijeron que la vulnerabilidad de su sector ha aumentado durante los últimos 12 meses y dos quintos esperan un incidente de seguridad importante en su sector dentro del próximo año. Sólo el 20% cree que su sector está a salvo de ataques cibernéticos graves durante los próximos cinco años.
Muchas de las infraestructuras esenciales del mundo se construyeron para confiabilidad y disponibilidad, no para seguridad. Tradicionalmente, estas organizaciones han tenido poca o ninguna protección y han dependido de guardias, puertas y armas. Sin embargo, en la actualidad las redes computacionales están interconectadas con las redes de IT corporativas y otras redes de infraestructura, a las que se puede acceder desde cualquier lugar del mundo.
“En el clima económico de hoy, es imperativo que las organizaciones se preparen para la inestabilidad que pueden provocar los ataques cibernéticos en la infraestructura esencial”, señaló Dave DeWalt, presidente y CEO de McAfee. “Desde el transporte público a la energía y las telecomunicaciones, son sistemas de los que dependemos a diario. Un ataque a cualquiera de estas industrias podría causar trastornos económicos generalizados, desastres ambientales, pérdida de propiedad e incluso pérdida de vidas.
La recientemente identificada Operación Aurora fue el mayor y más sofisticado ataque cibernético dirigido a empresas específicas, pero bien pudo haberse dirigido a la infraestructura esencial del mundo”, prosiguió DeWalt. “El ataque anunciado por Google e identificado por McAfee fue la amenaza más sofisticada que se haya visto en años lo que lo convierte en un momento clave en la seguridad cibernética debido a la naturaleza dirigida y coordinada del ataque”.
Otros resultados clave del informe:
• Baja confianza en la preparación: más de un tercio de los encuestados creen que su sector no está preparado para enfrentarse a ataques importantes o infiltraciones furtivas de adversarios de alto nivel. Arabia Saudita, India y México destacan como los países que tienen menos confianza.
• Los recortes impulsados por la recesión aumentan el riesgo: dos tercios de los ejecutivos de IT encuestados afirmaron que el actual clima económico ha provocado recortes en los recursos de seguridad disponibles; uno de cada cuatro señaló que los recursos se han reducido en 15% o más. Los recortes son particularmente evidentes en el sector energético y del petróleo/gas.
• Participación del gobierno en los ataques cibernéticos: un 60% de los encuestados creen que representantes de gobiernos extranjeros estuvieron involucrados en las anteriores infiltraciones de infraestructura. En términos de países que presentaron la mayor amenaza a la seguridad de la infraestructura esencial, Estados Unidos (36%) y China (33%) encabezaron la lista.
• Leyes poco eficaces para proteger contra potenciales ataques: más de la mitad (55%) cree que las leyes de su país son insuficientes para disuadir potenciales ataques cibernéticos, donde los más escépticos son aquellos con sede en Rusia, México y Brasil; un 45% no cree que las autoridades sean capaces de evitar o disuadir ataques.
• Las aseguradoras se están llevando la peor parte de los costos de los ataques cibernéticos: más de la mitad de los encuestados esperaban que el seguro absorbiera el costo de un ataque cibernético, mientras que casi uno de cada cinco indicó que recaería en los contribuyentes o los clientes. Un poco más de un cuarto esperaba un rescate del gobierno.
“Los problemas de gobierno están en el centro de cualquier debate sobre seguridad para la infraestructura esencial”, afirmó Stewart Baker profesor visitante distinguido de CSIS y abogado de Steptoe y Johnson. “Las relaciones entre los gobiernos y las organizaciones del sector privado implicadas son complejas, pero es fundamental que cada cual tenga fe en la capacidad de los otros. La industria de la seguridad siempre se esforzará por estar un paso adelante, pero no habiendo una bala de plata tecnológica, la regulación tiene una función que desempeñar en la defensa de las infraestructuras esenciales en todo el mundo”.
McAfee