lunes, 5 de mayo de 2014

Ciberataque, una nueva amenaza para el sector energético

Para 2018 se estima que los ataques cibernéticos contra instalaciones industriales de petróleo y gas a nivel mundial causarán daños por un monto aproximado de 1,900 millones de dólares.
En 2012, en los Estados Unidos el 40% de estos ataques contra infraestructuras críticas fueron dirigidos contra el sector energía.
Se estima que las empresas petroleras y de gas del Reino Unido  pierden aproximadamente $ 675 millones anualmente a consecuencia de ciberataques.
Estas impactantes estadísticas han sido reportadas por Willis Energy Market Review, en abril de 2014, en un trabajo especial dedicado a los ciberataques en el sector energético
Una observación de Willis es que en este año es la primera vez que los ciberataques están dentro de los 10 mayores riesgos de negocios que publica el Barómetro de Riesgos Allianz.
La incidencia creciente de ataques en línea por parte de “hacktivistas”, grupos criminales organizados, obliga a que las empresas permanezcan siempre alertas ante las invisibles y siempre presentes amenazas cibernéticas.
En tiempos recientes se ha visto los ataques de “Night Dragon”, de hackers chinos, que infiltraron a varias empresas de alto relieve en el área energética, robándole secretos importantes.  También está el caso del ataque de Shamoon a la petrolera árabe Aramco en 2012, que se considera aún hoy día como uno de los mas dañinos hecho contra empresa alguna, con un virus diseñado para borrar toda la información a 30,000 equipos de computación.
Tales ataques no solamente representan serios riesgos financieros y operacionales, también hay  fugas de información confidencial relacionada con rendimientos por pozo, días de perforación e impactos ambientales, lo que origina a su vez perjuicios comerciales y de reputación empresarial.
También se tiene gran preocupación  que los hackers puedan penetrar los sistemas de control industrial (ICS) o los sistemas de control supervisorio o de recolección de datos (SCADA). Eso dejaría inoperable la infraestructura, ocasionando retrasos y hasta graves riesgos de seguridad física a personas y equipos.
En consecuencia, las empresas deben asegurarse que sus procedimientos de seguridad interna ofrezcan una protección adecuada. Esto es mas importante en aquellas compañías en donde hay mucho desplazamiento de equipos lo que induce a sus empleados a usar equipos personales como cámaras fotográficas, teléfonos inteligentes y GPS, fácilmente atacables por los hackers. Agregue el riesgo para contratistas que usan computadoras portátiles  para entonar, revisar y reparar equipos que suministran a la industria en cuestión.
A pesar de tantas evidencias aún hay compañías que no le prestan la suficiente atención  a estos riesgos. La firma Kaspersky, dedicada a la seguridad en computadores, manifiesta que las medidas de protección establecidas en muchos negocios son “escandalosamente inadecuadas”, y hay un volumen importante de gerentes de informática con conocimientos insuficientes para defenderse de “corporaciones de atacantes cibernéticos” como SpyEye, Zeus, Stuxnet y Flame.
Por ello es muy importante que las compañías se involucren activamente en como enfrentar esas amenazas, advirtiendo a su personal sobre los riesgos y como, por ejemplo, los hackers organizados hacen uso de la “ingeniería social” para introducirse dentro de las organizaciones.
Verizon estima que el 96% de los ciberataques pueden evitarse mediante controles internos apropiados y apegándose a los estándares de la informática.
Los abogados tienen un rol importante en la protección de las empresas mediante la revisión y proposición de contratos con proveedores, sobre todo con aquellos que manejen información confidencial, para asegurarse que haya claridad total en las cláusulas en lo concerniente a amenazas cibernéticas, Pueden contribuir con aspectos como:
·         Enunciados claros del alcance de las responsabilidades del proveedor para prevenir brechas de seguridad.
·         Pasos a seguir si ocurre una falla en la seguridad (incluyendo continuidad del servicio, lapsos de tiempo para arreglar los problemas y responsabilidad ante el público)
·         Consideraciones especiales para áreas de particular sensibilidad, como servicios móviles y de manejos de información que deba usar el contratista
·         Ejecutar auditorías
Las compañías deben también considerar otros métodos para cubrir otras pérdidas potenciales mediante seguros contra ciberataques. Para 2012 casi la mitad de las empresas norteamericanas  carecía de seguros para este tipo de daños, pues consideraban que sus controles internos eran adecuados o que no tenían una exposición significativa de sus datos.
Hoy día todas ellas, y sus respectivos proveedores, están escuchando las recomendaciones especializadas con el propósito de innovar con mejores controles dentro de sus respectivas organizaciones y de establecer nuevas cláusulas en sus contrataciones.
Como puede Ud. ver, esto de los ciber ataques no es nada sencillo. Y lamentablemente nos afecta a todos de manera directa e indirecta. Tome sus previsiones.
Hasta pronto!!


Fuente: Energy Voice Magazine