Trabajando juntos para proteger la Infraestructura Crítica Nacional

En cualquier lugar del mundo, el día a día de todo ser humano depende de la infraestructura que nos provee de comida, agua, servicios financieros, comunicaciones y energía. Una interrupción o daño generado a estos sistemas puede tener grandes consecuencias en la sociedad.

Por ejemplo, el ataque de WannaCry en 2017 afectó a más de 10.000 organizaciones en 150 países, y dejó sin funcionamiento al Servicio Nacional de Salud del Reino Unido. También impactó sobre empresas comerciales, como la española Telefónica y la empresa ferroviaria alemana Deutsche Bahn. Sin recursos, protección y una planificación cuidadosa, un ataque de esta dimensión podría volver a suceder, y tener consecuencias aún mayores.

En el Reino Unido, alrededor del 80 – 85% de la infraestructura crítica nacional es propiedad del sector privado, una estadística compartida entre los países más poderosos del mundo. Con una tendencia creciente en el número de ciberataques, y una mayor sofisticación en su naturaleza, es esencial que los sectores público y privado no solo trabajen en conjunto, sino colaboren con flexibilidad y cohesión para estar tan preparados como sea posible para lidiar con ataques de esta clase.

Debido a la probabilidad de resultados lucrativos para los atacantes, la industria financiera es particularmente vulnerable a estos ciberataques estratégicos. En la primera mitad de 2018, los ataques financieros tuvieron un índice de éxito de 1 de cada 3 solo en el Reino Unido, dando un total de 503 millones de libras esterlinas de pérdida. En 2017 Equifax, una de las principales agencias de informes de crédito al consumidor de Estados Unidos, sufrió una brecha masiva de seguridad, que impactó a unos 143 millones de clientes – es decir, el 44% de la población estadounidense corría en riesgo de ver sus datos de tarjeta robados.

La seguridad de la industria financiera es vital para cualquier país, pero tal vez lo sea aún más para las grandes potencias mundiales, y los ciberataques que afecten a los principales bancos del globo podrían tener consecuencias desastrosas, tanto hacia adentro como en el plano internacional. Con la habilidad de generar un impacto sobre ciudadanos, así como sobre economías nacionales, los ataques deben ser abordados por los sectores público y privado en conjunto.

Donde más evidente resulta la disparidad entre ambos sectores es el compartir información e inteligencia. El sector privado no tiene la autoridad y los recursos para analizar amenazas informáticas externas y monitorear de forma masiva potenciales ataques, mientras que el sector público suele escasear de una fuerte experiencia específica en la industria y de la comprensión de los sistemas específicos que se encuentran bajo el riesgo de ser atacados. Sin información confiable de ambos sectores, es imposible tener una imagen clara de cómo podrían verse las potenciales amenazas.

Para que ambos sectores puedan alcanzar esto, debe haber sistemas y procesos legislados establecidos, que conecten al sector público y al privado internamente. Esto podría lograrse mediante colaboraciones de inteligencia a lo largo de línea de clasificación, incluyendo el compartir datos en tiempo real y, lo más importante, trabajar en conjunto para desarrollar planes que definan qué recursos son necesarios para combatir amenazas potenciales y cuál es el rol específico y cuáles las responsabilidades de cada sector en caso de ocurrir un ataque.

En 2016, la Unión Europea pasó la primera disposición legislativa europea de ciberseguridad informática, con la Directiva NIS para la seguridad de redes y sistemas de información. La misma requiere de operadores de servicios esenciales para establecer un alto nivel de seguridad para la infraestructura crítica, y para reportar incidentes serios a su autoridad nacional designada. Sin embargo, al igual que muchos requerimientos legislativos globales, el foco está puesto sobre el compartir información, en lugar de una respuesta física y técnica ante incidentes. Tanto el gobierno como el sector privado deben ser proactivos en la prevención de ataques informáticos antes de que éstos ocurran, en lugar de enfocarse en las consecuencias.

Está claro que, para proteger la infraestructura crítica nacional, los sectores público y privado deben ampliar su cooperación en inteligencia y conectividad. Aún más importante, deben asumir un rol activo para combatir ciberataques antes de que éstos ocurran, y estar preparados para trabajar juntos cuando suceda.