El aumento de las ciberamenazas, especialmente dirigidas a infraestructuras críticas, ha puesto de manifiesto las deficiencias en seguridad IoT (Internet de las Cosas) y OT (Tecnología Operativa) en el ámbito gubernamental.
En el último año, y especialmente desde el inicio de la guerra en Ucrania, los ciberataques que han experimentado las administraciones públicas han experimentado un notable crecimiento. Esto ha llevado a que las instituciones públicas hayan reforzado su ciberseguridad, algo que no ha evitado que sean objetivo de no pocos ataques, especialmente procedentes de ciberdelincuentes prorrusos.
Un reflejo de la necesidad de seguir reforzando la ciberseguridad de estos organismos queda reflejado en el informe que ha publicado la oficina de Contabilidad del Gobierno de los Estados Unidos (GAO). En él se constata que muchos departamentos gubernamentales que están quedando muy cortos a la hora de aplicar medidas de ciberseguridad en su infraestructura conectada a IoT y OT.
Energía, Salud, Seguridad Nacional, y Transporte son áreas clave en cualquier lugar del mundo y que, sin embargo, no gozan de la seguridad suficiente ante las sofisticadas y crecientes ciberamenazas actuales.
En el caso de Estados Unidos, la GAO ha lamentado que las instituciones gubernamentales sigan sin implementar la mayoría de las más de 90 recomendaciones que han publicado desde 2010 para proteger las infraestructuras críticas. En junio de 2022 aún estaban sin implementar más de 50 de estas recomendaciones. Y lo que aún es más preocupante, 10 de las 14 recomendaciones prioritarias tampoco se han implementado.
¿Se trata de un caso específico del gobierno norteamericano o esta situación puede extrapolarse a otros países?
Hacia una mayor protección de las infraestructuras críticas
En el caso de Europa, se presume de contar con una legislación más avanzada y de un cumplimiento garantizado, si bien no sabemos el estado en el que se encuentran estas infraestructuras críticas.
No en vano, los ciberataques a instituciones públicas europeas también han experimentado un notable aumento a lo largo de este año, por lo que seguir avanzando en su ciberseguridad es clave.
En Estados Unidos, la falta de cumplimiento con las recomendaciones de la GAO hace que las agencias federales se vean limitadas en su capacidad para garantizar que las infraestructuras críticas estén protegidas contra amenazas de ciberseguridad potencialmente dañinas.
Esto hace que algunas entidades gubernamentales aún no son conscientes de la importancia de reforzar la seguridad de la infraestructura crítica. Si bien cada vez se avanza más en concienciación en ciberseguridad, la realidad muestra que no se están adoptando las recomendaciones de seguridad de manera proactiva.
El informe también destaca cómo las entidades del sector privado han visto que la facilidad con la que pueden participar en estos avances en ciberseguridad es un desafío. Y es que gran parte de la información sobre amenazas se comparte a nivel de información y no como inteligencia procesable. El intercambio público-privado sigue siendo un desafío constante.
Retos que deben abordarse lo antes posibles ya que el aumento de las ciberamenazas a la infraestructura crítica y sus dispositivos y sistemas IoT y OT representan un importante desafío para la seguridad nacional.
