Preparado por Marcello Basani, Ariel Nowersztern y Yanir Laubshtein
Aunque la creciente digitalización y automatización de las instalaciones de agua mejora su eficiencia y ayuda a reducir los costos operativos, también las expone a riesgos cibernéticos. La cantidad y variedad de amenazas cibernéticas y actores maliciosos que atacan a las empresas de servicios públicos no deja de crecer: desde agentes estatales que crean caos político y trastornos económicos hasta ciberdelincuentes que buscan beneficios, pasando por hacktivistas movidos por agendas ideológicas y particulares que cometen fraudes para reducir sus facturas.
A medida que las tecnologías digitales se extienden y añaden valor, los ciberdelincuentes explotan las infraestructuras de agua conectadas atacando sus sistemas informáticos y de control industrial (ICS) que gestionan las operaciones de flujo, el tratamiento de aguas residuales y mucho más. Se prevé que los ciberataques aumenten en frecuencia, volumen y sofisticación. Sin embargo, la escasa concienciación, unida a la reticencia a invertir en seguridad debido a los costes percibidos, la complejidad, la falta de motivación o la laxitud de la normativa, aumentan la vulnerabilidad de los servicios públicos a estos ataques.
En todo el mundo, las empresas de suministro de agua ya se han enfrentado a una amplia gama de ataques, como el ransomware y la manipulación de ICS para manipular las operaciones de válvulas y flujo, alterar las fórmulas de tratamiento químico o dañar la maquinaria. Al interrumpir la continuidad y la fiabilidad, corromper los pagos o manipular o comprometer los datos, estos ataques pueden poner en peligro tanto el suministro y la calidad del agua potable como la recogida y el tratamiento de las aguas residuales. Esto no sólo puede tener efectos devastadores en la salud pública, el medio ambiente y la economía, sino que también puede erosionar la confianza de los clientes en los servicios de agua y dar lugar a importantes responsabilidades financieras y legales.
Para que los gobiernos y las empresas de servicios públicos puedan hacer frente a estos retos y mitigar las ciberamenazas, se requiere un enfoque proactivo. La capacidad de las empresas de servicios públicos para clasificar un incidente operativo como ciber incidente depende de su infraestructura digital, sus capacidades forenses y su conciencia cibernética.
He aquí algunas ideas que hemos recopilado de normas internacionales, directrices, organizaciones de ciberseguridad y reglamentos gubernamentales:
- La cultura de la ciberseguridad debe existir en todos los departamentos. Estas amenazas y riesgos no son sólo problemas informáticos tradicionales; también pueden poner en peligro el entorno ICS/OT de control de procesos. Mediante la identificación de estos riesgos, la adopción de las medidas de control adecuadas y la participación de las partes interesadas (es decir, empleados, clientes, proveedores, reguladores, etc.), las organizaciones pueden mejorar su resistencia a los incidentes y recuperarse más fácilmente una vez que se producen.
- Conozca su entorno y sus activos. Para detectar incidentes cibernéticos y proteger los activos, la organización debe mantener un inventario de sus sistemas digitales, incluidos PLC, sensores, PC, dispositivos móviles, servidores, hardware de almacenamiento, aplicaciones, sistemas, plataformas de software, dispositivos de red, infraestructura de comunicaciones, redes, etc. Esta lista debe revisarse y actualizarse periódicamente, junto con las vulnerabilidades asociadas a estos activos para permitir, agilizar e informar la gestión de riesgos cibernéticos.
- La gestión de riesgos debe implicar a toda la cadena de suministro y a las principales partes interesadas. En un sector en el que múltiples actores proporcionan la totalidad o parte de los servicios empresariales básicos (depuración, desalinización, distribución, tratamiento del agua y servicios operativos o de ingeniería), todos los proveedores deben contar con un proceso de ciclo de vida de desarrollo de software (SDLC) y los integradores y operadores subcontratados deben aplicar normas cibernéticas.
- Las organizaciones deben ser capaces de detectar y analizar cualquier evento o anomalía de seguridad que no se ajuste a su funcionamiento. Las organizaciones deben responder profesionalmente una vez detectado un incidente, lo que requiere dedicar recursos y prepararse con antelación definiendo funciones y responsabilidades internas, políticas y procesos, estableciendo planes de contingencia con equipos de respuesta de terceros y CERT gubernamentales, y disponer de planes de comunicación de contingencia para informar al público.
Para obtener más información sobre estos riesgos y lo que debe hacerse para mitigarlos, descargue nuestra nueva publicación Protegiendo las infraestructuras de agua y saneamiento de amenazas cibernéticas: un estudio de ciberseguridad para América Latina y el Caribe.
Hablemos de Ciberseguridad en Agua y Saneamiento
A medida que las tecnologías digitales se extienden y añaden mayor valor a la infraestructura de los servicios agua y saneamiento, cada día más los ciberdelincuentes aumentan en frecuencia, volumen y sofisticación los ataques a las tecnologías que garantizan la operatividad de estos servicios, como los sistemas de control industrial, las operaciones de flujo, el tratamiento de aguas residuales.
La División de Agua y Saneamiento, la División de Innovación en Servicios Ciudadanos y BID Lab realizaron el 25 de mayo de 2023 un seminario web gratuito en el que se presentó un nuevo estudio sobre ciberseguridad en agua y saneamiento: Protegiendo las infraestructuras de agua y saneamiento de amenazas cibernéticas: un estudio de ciberseguridad para América Latina y el Caribe.
Asimismo, se compartió una serie de recomendaciones en ciberseguridad para los actores gubernamentales y del sector privado.
¿Eres operador de servicios de Agua y Saneamiento? Conoce tu nivel de ciberseguridad
Te invitamos a hacer clic a nuestra herramienta de autoevaluación y podrás saber el nivel de seguridad en que se encuentra su empresa operadora de Agua y saneamiento
Sobre Fuente de Innovación
Fuente de Innovación es una alianza del Grupo BID con socios externos para promover el desarrollo y la adopción de soluciones innovadoras en el sector de agua, saneamiento y residuos sólidos para lograr servicios inteligentes, inclusivos y sostenibles, con un foco en los proveedores de servicios en América Latina y el Caribe.
Fuente de Innovación es financiada por el Gobierno de Suiza a través de su Secretaría de Estado de Economía (SECO), por la Fundación FEMSA, por la República de Corea a través de su Ministerio de Ambiente y por el Gobierno de Israel. La alianza se complementa también con contribuciones directas de BID Lab y de la División de Agua y Saneamiento.
Autores invitados
Yanir Laubshtein. Actualmente vicepresidente de Managed Extended Detection and Response (M/XDR) en Sygnia, una de las principales empresas de respuesta a incidentes y ciberresiliencia a nivel mundial, Yanir ha tenido una extensa e impresionante carrera en ciberseguridad. En el pasado, ocupó altos cargos como director de proyectos de laboratorio cibernético; actuó como Consultor de Seguridad Cibernética para el mayor proyecto de planta desalinizadora del mundo, y ocupó un cargo como Director Global en PwC Israel, liderando su Centro de Excelencia global para ICS/OT y protección de infraestructuras críticas. Yanir también trabajó como Jefe de Operaciones de Ciberseguridad en el Ministerio de Infraestructuras Nacionales, Energía y Recursos Hídricos, y en la Autoridad de Agua y Alcantarillado, guiando a los sectores nacionales y privados de la energía y el agua de Israel en la consecución de la resiliencia cibernética. Mientras trabajaba para el Ministerio de Energía, contribuyó a elaborar reglamentos, orientaciones y auditorías, así como a examinar y evaluar nuevas tecnologías cibernéticas, sin olvidar la coordinación con diferentes organismos gubernamentales y proveedores industriales internacionales.
Ariel Nowersztern. Especialista sectorial del Banco Interamericano de Desarrollo, se incorporó al BID en 2017. Sus responsabilidades incluyen apoyar a los gobiernos de América Latina y el Caribe en aspectos de sus iniciativas digitales nacionales, así como en esfuerzos específicos de modernización digital financiados por el BID. Con más de 25 años de experiencia profesional, Ariel también trabajó en Israel como consultor independiente para clientes del sector privado y público. Ariel posee un máster en Administración de Empresas por la Universidad de Tel Aviv y una licenciatura en Informática por la Universidad Hebrea.
Leave a Reply