Si bien es inevitable y esencial, la transformación digital de las empresas genera preocupaciones sobre la ciberseguridad. Sin embargo, el peligro real no está necesariamente donde lo esperamos y una seguridad excesiva puede resultar contraproducente. Peor aún: la ciberseguridad es a veces una excusa para abandonar determinados proyectos considerados demasiado peligrosos. En cualquier caso, este es el punto de vista de Jean-Philippe LORINQUER, socio de OSS Ventures. ¡Nos dio algunas ideas para controlar mejor el riesgo cibernético sin bloquearlo todo!
OSS Ventures es un estudio de nueva creación fundado en 2019 por Renan Devillières. Su misión es apoyar a la industria francesa en una transición tecnológica, medioambiental y social.
OSS Ventures también tiene el deseo de evangelizar el mundo industrial en cuestiones digitales y de ciberseguridad.
Técnicas de ingeniería: En su opinión, ¿en qué nivel se sitúa el riesgo cibernético?
Jean-Philippe Lorinquer : Desafortunadamente, el riesgo real no está donde pensamos que está. Los fabricantes a veces me dicen que las soluciones SAAS son peligrosas y yo les digo: “Muéstrame ejemplos de ciberataques exitosos a centros de datos de Microsoft o Amazon”. Por el contrario, tengo numerosos ejemplos de empresas industriales que han sufrido hackeos con graves consecuencias, cuyo punto de entrada era el buzón de correo o el software de recursos humanos y no los productos SAAS.
También existen numerosas memorias USB que circulan en las empresas o que los mantenedores insertan en las máquinas para actualizar los equipos.
Y también existe toda una serie de riesgos de baja tecnología, en particular las estafas contra el presidente, cada vez más elaboradas gracias a los deepfakes (imitación de la imagen y de la voz), ¡todo ello con herramientas del mercado!
Pero tengo una anécdota aún más llamativa: hace un tiempo trabajamos en un proyecto de startup en ciber. Decidimos realizar pruebas de penetración¹ (Pen test) enviando a un hacker a una fábrica, proporcionándole los derechos de acceso de un aprendiz y una dirección de correo electrónico. Los resultados fueron aterradores: a las 12:00 horas pudo apagar las luces de la fábrica, a las 18:00 horas estaba en el directorio activo del grupo (LDAP) y a las 20:00 horas pudo apagar todos los equipos. producción del grupo. Por lo tanto, apenas doce horas pueden ser suficientes para poner de rodillas a un grupo industrial.
¿De dónde viene esta falta de control del riesgo cibernético?
Es un hecho: el riesgo existe, es enorme, no está controlado y las causas son múltiples, siendo la primera la falta de acceso al talento en ciberseguridad. De hecho, estos perfiles prefieren ganar mucho dinero yendo a sectores bien remunerados, en lugar de ir a fábricas que no consideran la ciberseguridad una prioridad y, por tanto, pagan menos.
¿Qué les diría a los fabricantes que estarían tentados a cerrar todo por seguridad?
Bloquear todo por seguridad no es una solución, por dos razones. Por un lado, las fábricas son un mundo de ingenieros, y está en el ADN de los ingenieros buscar obstinadamente resolver problemas. Si les impedimos resolver estos problemas cerrando el acceso, es seguro que intentarán sortear estos obstáculos. Este fenómeno genera lo que se denomina “Shadow IT”, una práctica consistente en utilizar sistemas y software no autorizados por los responsables de seguridad informática de la empresa.
He observado personalmente, en grandes grupos automovilísticos internacionales, la presencia de servidores adquiridos con el nombre de PLC. La meta ? Crear una minired interna para conectar equipos y resolver problemas técnicos. ¡Por lo tanto, Shadow IT puede llegar muy lejos!
Por otro lado, es totalmente aberrante, en un mundo donde la tecnología digital permite aumentar el rendimiento de las empresas o desarrollar nuevos productos, “volver a la edad de piedra” de las TI con la esperanza de sobrevivir. Porque, efectivamente, se trata de una cuestión de supervivencia: si todo está bloqueado, no queda nada que atacar, pero dentro de unos años, sin lo digital, simplemente no habrá más negocios.
Las empresas están acostumbradas a gestionar riesgos. ¿Por qué es diferente con el ciber?
De hecho, las empresas tienen una gran experiencia en sus riesgos operativos (químicos, de seguridad, medioambientales, etc.). Este conocimiento tiene la ventaja de estar bien compartido dentro de las organizaciones, a diferencia del riesgo cibernético. En general, lo cibernético se confía a una sola persona, el experto en DSI o CISO, a menudo con poder de “vida o muerte” sobre los proyectos. Desgraciadamente ha habido excesos, con la sensación, por parte del sector, de que el riesgo cibernético es a veces un pretexto para el abandono, por falta de voluntad.
Pero este sentimiento que tiene el personal operativo también se debe, en parte, a la falta de comunicación y comprensión de los riesgos del campo, porque tampoco es posible dejar que los ingenieros hagan lo que quieran.
¡Por lo tanto, debemos desarrollar una cultura cibernética dentro de las empresas!
De hecho, existe una falta de aculturación general al riesgo cibernético y, por tanto, de formación. Es fundamental que la ciberseguridad se convierta en un asunto de todos. Así como la calidad no es dominio exclusivo del Director de Calidad, ¡las cuestiones de ciberseguridad no conciernen sólo al CIO o al CISO!
Algunas organizaciones también han decidido poner la ciberseguridad bajo el liderazgo del director de planta. Dado que incluso los Estados, los hospitales o los servicios públicos son pirateados, evidentemente no existe una obligación de resultado, sino una obligación de medios. Este empoderamiento lo más cercano posible al campo nos permite avanzar.
En ciberseguridad hay un dicho que dice que “el problema muchas veces está entre el teclado y el respaldo de la silla”. Errar es humano y, por tanto, sistémico. Sabemos que el riesgo existe y que tarde o temprano habrá un ataque. Pero para “derribar” una fábrica se necesita una combinación de causas; lo importante es hacer todo lo posible para protegerse lo mejor que pueda y evitar lo peor.
¿Cómo garantizar la seguridad sin bloquear?
Así como el exceso de calidad es sinónimo de coste adicional, demasiada seguridad no es prueba de control de riesgos, al contrario. Lo importante es proteger al nivel adecuado. Por ejemplo, que un individuo pueda enviar mensajes a través de la red interna de una empresa es molesto, pero no necesariamente grave si no tiene acceso a información sensible.
Hay una estrategia a adoptar, que llamamos “la estrategia de la cebolla”. Consiste en sujetar fuertemente el núcleo, pero menos que proteger las capas exteriores. Por el contrario, querer proteger todo el sistema de la misma manera corre el riesgo de generar una rigidez insoportable para los equipos de campo.
Por último, es importante recordar que no es posible asegurar una organización sin esfuerzo ni recursos humanos ni presupuestarios. Las empresas también deben centrarse en apoyar el cambio. Para que un gran proyecto tenga éxito, se debería dedicar el 25% del presupuesto a este apoyo (formación, comunicación, etc.). Esto rara vez ocurre y muy a menudo las empresas se arrepienten.
¹ Ejercicio de seguridad en el que un experto en ciberseguridad intenta encontrar y explotar vulnerabilidades en un sistema informático
Crédito de video de uno: rawpixel.com
