El ciberdelito ha sido identificado por el gobierno del Reino Unido como una amenaza de primer nivel junto con el terrorismo, y el ciberdelito les cuesta a las empresas del Reino Unido grandes sumas de dinero cada año, y ese es solo el ciberdelito que conocemos, porque es muy poco reportado.
El gobierno y la infraestructura nacional crítica (CNI) siguen siendo objetivos clave para las bandas del crimen organizado que ejecutan una gran proporción de los delitos cibernéticos, así como los estados nacionales hostiles, aunque estos son más raros. Sin embargo, a veces subcontratan este tipo de “trabajo” a bandas criminales.
Entonces, la guerra cibernética (como bien podemos considerar los ataques contra CNI) podría, de hecho, estar en manos no solo de naciones hostiles, sino del elemento criminal de esas naciones hostiles, o de hecho otras naciones.
De hecho, el mundo ha visto varias veces lo que sucede cuando tienen éxito (piense en la red eléctrica de Ucrania que se cortó tres veces y WannaCry y NotPetya deshabilitaron las empresas y el NHS). Pero, ¿nuestro liderazgo en seguridad está lo suficientemente desarrollado para hacer frente a esta amenaza persistente y en evolución?
“La mayor amenaza para la seguridad hoy en día es la falta general de convicción de que existe alguna amenaza”, dijo Lord Radcliffe en un Informe de seguridad en 1962.
Para abordar esta amenaza de Nivel Uno, es necesario que haya una comprensión real en el corazón del gobierno: hace varios años que la Oficina Nacional de Auditoría (NAO) criticó la falta de comprensión y liderazgo en torno a la seguridad de la información.
El número de sistemas gestionados de forma remota o habilitados para la web crece cada año y, con razón, nuestro CNI debe beneficiarse de la mayor capacidad de gestión y el ahorro de costes que proporcionan estas nuevas formas de trabajo.
Al mismo tiempo, la prisa por interconectar numerosos sistemas heredados continúa sin cesar, lo que hace que los sistemas que nunca fueron diseñados para conectarse a Internet sean exactamente eso.
La conexión de OT y sistemas heredados a Internet los convierte en un objetivo “legítimo” para los estados nacionales que utilizan capacidades de ataque ofensivo y criminales y terroristas por igual. No hacen distinciones basadas en ningún código moral o ético, buscan un resultado.
Entonces, si continuamos habilitando todo en la web en nuestro CNI, sería perdonable imaginar que hemos tomado todas las medidas posibles para garantizar su seguridad y resistencia.
Sin embargo, en 2017, descubrimos que más de un tercio de las organizaciones de infraestructura en el Reino Unido no habían completado los estándares básicos de seguridad cibernética emitidos por el gobierno del Reino Unido, conocidos como 10 pasos para la seguridad cibernética.
No cabe duda, entonces, de que hay una falta de pensamiento a largo plazo en esta área y lo que parece un enfoque similar a “si no está roto, no lo arregles”.
En otras palabras, si todavía está funcionando, sabemos que puede que no sea seguro, pero no vamos a gastar en reemplazarlo si todavía está funcionando. Esto se debe a que la aplicación de parches puede resultar difícil o costosa, y posiblemente requiera la intervención del proveedor. Es posible que el sistema operativo en el que se construyó ya no sea compatible con parches de seguridad y el costo de mantenimiento o reemplazo no se haya incluido en los costos del ciclo de vida.
Combine esto con la disparidad que ahora rodea al concepto de CNI y esto coloca al Reino Unido en una posición muy precaria. CNI es ahora una colección suelta de públicamente y organismos u organizaciones de propiedad privada que ni siquiera pueden ser de propiedad nacional.
Solo hay un tiempo limitado para que puedas enterrar la cabeza en la arena. El panorama estratégico del Reino Unido está dictado por las mismas personas que están acostumbradas a redactar estrategias de cinco años para períodos de gobierno de cinco años. Pero la seguridad cibernética no funciona en ciclos de cinco años; El ciberespacio funciona hoy en día y no es posible hablar de una auténtica resiliencia a menos que se acepte como un hecho.
Se necesita una respuesta ágil, iterativa y proactiva. Esperar seis años para actualizar su estrategia cibernética simplemente respalda las observaciones de la NAO de que el gobierno no comprende completamente la amenaza.
Eso puede ser cierto o no, pero lo que sí es cierto es que los sueños de avanzar con la seguridad cibernética del Reino Unido seguirán siendo solo eso, hasta que seamos realistas sobre la construcción de estrategias que aborden algunas de las realidades más difíciles e incómodas de cómo comportarse realmente y revisarlos con regularidad.