Según un nuevo informe, el aumento de los incidentes de ransomware y la adopción de la inteligencia artificial se consideran riesgos potenciales para los datos que enfrentan las organizaciones de infraestructura crítica de Australia. Esta noticia llega cuando las nuevas reglas de seguridad cibernética bajo la Ley de Seguridad de Infraestructura Crítica de 2018 entran en vigor en agosto de 2024.
La edición de infraestructura crítica del Informe sobre amenazas de datos de 2024, de la organización tecnológica Thales, encontró que los incidentes de ransomware en organizaciones de infraestructura crítica están aumentando a nivel mundial, incluso cuando estas organizaciones exploran las aplicaciones y los riesgos de datos de la IA.
En una conversación con TechRepublic, el director de seguridad de datos de Thales en ANZ, Erick Reyes, dijo que los atacantes de ransomware tienen más probabilidades de apuntar a organizaciones de infraestructura crítica que contienen datos críticos. Recomienda adoptar un enfoque de seguridad de múltiples niveles, convirtiéndolo en una parte fundamental del desarrollo tecnológico.
Organizaciones de infraestructura crítica que hacen malabarismos con el ransomware y la IA
El informe de Thales encontró que el 42% de las organizaciones de infraestructura crítica en todos los mercados globales encuestados sufrieron ataques en algún momento en el pasado, un 7% menos que todas las industrias. En los últimos 12 meses, solo el 15% había sido vulnerado, frente al 22% cuando se realizó la encuesta en 2021.
El ransomware está aumentando, pero la preparación es deficiente
El veinticuatro por ciento de las organizaciones globales de infraestructura crítica informaron que habían experimentado un ataque de ransomware en el pasado, un 4% más que en 2022. A nivel mundial, solo el 15% de las organizaciones encuestadas tenían un plan de respuesta formal para un ataque de ransomware, un 5% menos que en todas las industrias.
VER: Cómo mejorar los conceptos básicos de ciberseguridad industrial podría ayudar en APAC
Filtraciones de datos: a menudo son el resultado de un error humano
El error humano provocó el 34 % de las filtraciones de datos basadas en la nube en infraestructuras críticas, un 4 % más que el promedio de todas las industrias. No aplicar la autenticación multifactor a cuentas privilegiadas también fue un problema importante, causando el 20% de las infracciones, un 6% más que otras industrias juntas.
La adopción de la IA se produce a pesar de las preocupaciones sobre los riesgos
El veintiséis por ciento de las organizaciones de infraestructura crítica planean integrar la IA en sus productos principales durante el próximo año. Thales dijo que la adopción de la IA se está produciendo a pesar de que la infraestructura crítica está más preocupada (69%) por gestionar los rápidos riesgos ambientales y operativos de la tecnología emergente.
El ransomware se ha convertido en un problema global
Reyes dijo que las organizaciones australianas de infraestructura crítica encuestadas en el Informe sobre amenazas de datos de 2024, junto con otras en el mercado, informaron comentarios similares a sus contrapartes globales. Este fue particularmente el caso cuando se trataba de la amenaza del ransomware.
El valor de los datos que poseen estas organizaciones es el motor esencial de los ciberdelincuentes, afirmó.
“Para las organizaciones de infraestructura crítica en Australia, una vez que también se trata de datos muy críticos, es cuando se convierten en objetivos principales para los ciberdelincuentes”, explicó.
¿Qué es lo que “mantiene despierta a la mayoría de las personas por la noche”?
La adopción de la IA también se está produciendo entre las organizaciones de infraestructura crítica en Australia.
Reyes dijo que la mayoría de las organizaciones de infraestructura crítica, desde proveedores de telecomunicaciones hasta empresas del sector de transporte y logística, habían estado invirtiendo en tecnologías de inteligencia artificial en los últimos años. Buscaban hacer sus operaciones más eficientes, generar ahorros de costos e innovar, dijo.
El impulso por innovar está impulsando a las organizaciones a adoptar rápidamente la IA. Reyes dijo: “Lo que mantiene a la mayoría de la gente despierta por la noche es si los equipos de ciberseguridad están preparados o no para hacer frente a lo que se avecina”.
La Ley SOCI podría ayudar a asegurar la infraestructura crítica de Australia
Una regulación mejorada podría impulsar a las organizaciones australianas de infraestructura crítica a ser más seguras.
Australia introdujo la nueva Ley SOCI en 2018
La Ley de Seguridad de Infraestructura Crítica de 2018, que rige los riesgos de infraestructura crítica en Australia, fue modificada en 2020 para ampliar la definición de infraestructura crítica a una gama más amplia de industrias, incluidos los servicios financieros, la salud, la educación superior y el almacenamiento y procesamiento de datos.
La seguridad cibernética es un foco de atención para las organizaciones según la Ley SOCI. Las nuevas reglas introducidas en agosto de 2024 requieren que las entidades de infraestructura crítica hayan establecido y mantengan un marco de ciberseguridad para su nivel de madurez para proteger los datos como parte de un programa más amplio de gestión de riesgos.
VER: ¿Deberían los profesionales australianos de la ciberseguridad estar preocupados por los ataques patrocinados por el Estado?
Elevar el nivel de cumplimiento dificulta las infracciones
El informe de Thales mostró una fuerte correlación entre los logros de cumplimiento y la reducción de las infracciones: entre los encuestados de infraestructura crítica que dijeron que no habían pasado una auditoría de cumplimiento en los últimos 12 meses, el 84% informó haber experimentado alguna infracción en su historial.
Por el contrario, entre las organizaciones de infraestructura crítica que no pasaron una auditoría de cumplimiento, solo el 17% tiene algún historial de violaciones y solo el 2% sufrieron violaciones en los últimos 12 meses.
Se pueden implementar más mejoras en la seguridad.
La Ley SOCI podría significar resultados de seguridad más positivos para la infraestructura crítica. Reyes dijo que algunas industrias menos operativas que dependen de la tecnología, como los servicios financieros, están liderando el camino en materia de protección de datos, mientras que industrias más tradicionales con tecnología operativa todavía se están poniendo al día.
Añadió que OT se está convirtiendo cada vez más en un objetivo para los ciberdelincuentes a medida que la tecnología operativa se fusiona cada vez más con la TI. Si bien las organizaciones tradicionales de infraestructura crítica están en el camino hacia una mejor seguridad a través de un mayor conocimiento y conciencia, Reyes advirtió que “todavía no hemos llegado a ese punto”.
Dónde deberían centrarse las organizaciones australianas
Las organizaciones australianas de infraestructura crítica deben centrarse en la seguridad, afirmó Reyes.
“Ellos saben que esto es importante; saben lo que deben hacer; saben cómo es un buen modelo cibernético”, dijo. “Ahora se trata más de cómo se vuelven proactivos y se preguntan cómo pueden ir un paso más allá para que, si algo sucede, sepan que los activos críticos que tienen pueden protegerse”.
Integrar la seguridad como parte del diseño futuro
DevSecOps ofrece un marco valioso que las organizaciones deben considerar al abordar los aspectos de TI y OT de la infraestructura crítica. Reyes enfatizó en no subestimar la exigencia de buenas prácticas de seguridad durante todo el proceso.
Un enfoque de múltiples capas para la seguridad de la CI
Si bien la seguridad en el borde a través de la gestión de identidades es importante, Reyes dijo que las organizaciones de infraestructura crítica necesitarán cada vez más pensar de manera multidimensional sobre cómo proteger los activos críticos. Esto comienza con conocer los activos que deben proteger, por qué deben protegerlos y luego controlar esos riesgos.
Reyes mencionó que los riesgos de las cadenas de suministro, así como las tecnologías emergentes como la inteligencia artificial o la computación cuántica (áreas donde el NIST ha publicado recientemente nuevos estándares) son factores que los proveedores de infraestructura crítica deben considerar como parte de un enfoque de múltiples capas.
Convertir el conocimiento en proactividad
El Informe sobre amenazas a los datos de 2024 concluyó que las empresas de infraestructura crítica deben tomar medidas proactivas que puedan controlar. Eso puede implicar implementar respuestas formales de ransomware para cumplir con éxito con la auditoría.
“Las nuevas tecnologías como 5G, la nube, IAM y GenAI prometen nuevas eficiencias cuando se programan en operaciones de CI”, dice el informe. “Unas mayores expectativas y mayores compromisos en torno a la resiliencia y la confiabilidad operativa llevarán a las empresas a una posición de mayor seguridad y menos susceptibilidad”.
