Sabemos que la mayoría de las mineras han girado hacia la transformación digital en un mundo cada vez más conectado. Por lo mismo, el panorama tecnológico que se abre es muy amplio porque todos los activos utilizados en una organización cuentan con una presencia o se integran en la red: un beneficio enorme, pero que levanta un nuevo foco de riesgo. Lo anterior genera un sinfín de oportunidades y también riesgos como los incidentes de ciberseguridad, que para 2021 se proyecta que su costo global alcance los US$6 billones (Cybersecurity Ventures), el doble del total estimado en 2015. El Foro Económico Mundial calificó las “brechas de ciberseguridad a gran escala” como uno de los cinco riesgos más graves que enfrenta el mundo.
Las organizaciones dependen cada vez más de la tecnología, la automatización y los datos de operaciones, para impulsar el aumento de la productividad, la mejora de los márgenes y la reducción de sus costos. Al mismo tiempo, nunca ha sido más difícil para las empresas mineras entender y asegurar el entorno digital en el que operan o sus interacciones. Algunos de los mayores inconvenientes se ven en la complejidad y personalización ante múltiples actores y recursos, así como en la dificultad de definir una “organización” ante la interacción de equipos que cada trabajador lleva por su cuenta (Bring Your Own Device – BYOD), y el incremento de la “superficie de ataque” respecto el aumento de conectividad entre entornos TI y de Operación Tecnológica (OT).
Históricamente, los ambientes OT se encontraban en redes segregadas de las redes TI tradicionales. Estos ambientes utilizaban tecnologías y protocolos propietarios y no securizados, permitiendo a sus administradores mantener el enfoque de “seguridad por oscuridad” (dar confianza a la complejidad y al secreto del diseño). Sin embargo, este enfoque ya no es viable en los entornos OT modernos.
Habitualmente los incidentes cibernéticos en la minería se deben a una serie de condiciones específicas para vulnerar la seguridad de las organizaciones. Una de estas condiciones es la dependencia de los sistemas de automatización, el monitoreo remoto de infraestructura y los dispositivos OT conectados desde diferentes entornos geográficos. Adicionalmente, hay casos como el equipamiento e infraestructura, que antes funcionaban desconectados (excavadoras y perforadores mineros autónomos, camiones y otros sistemas de traslado), que hoy están integrados para proporcionar un mayor control de las operaciones. Se suman casos donde se presentan la complejidad de arquitectura, redes y sistemas, y los riesgos asociados a falencias de seguridad en accesos de sus usuarios o de terceros.
Los caminos de los ciberatacantes
En la industria minera existen cuatro “rutas de ataque” principales utilizadas por ciberdelincuentes. La primera es desde Internet y la red corporativa, por medio de sistemas con brechas de acceso y débil segregación de redes corporativas. La segunda es a través de tecnologías y servicios de terceros, en donde no existen prácticas de hardening (asegurar un sistema mediante la reducción de vulnerabilidades) de herramientas y de accesos adecuados. La tercera y cuarta son mediante brechas de segmentación de zonas en redes OT y a causa de brechas de acceso a sistemas y dispositivos OT, respectivamente.
A la fecha existen registros de intrusiones basados en diferentes métodos de ataque, ya sea directos o por terceros, incluyendo malware orientado a los entornos de OT. En diciembre de 2015, la red eléctrica de Ucrania se vio afectada por un ataque basado en malware (BlackEnergy y KillDisk) dirigido a sistemas de control industrial y de OT. En abril de 2016, Gold-Mining, sufrió una brecha de seguridad de 14,8 GB de información publicada online, incluyendo información financiera y de sus empleados. En noviembre de 2017 se registró una serie de ataques coordinados a Siemens AG y Moody´s Analytics, con el objetivo de acceder a información comercial y sensible de sus trabajadores. En enero de 2018, el malware “Triton”, orientado a sistemas de control industrial logró apagar la planta de Schneider al atacar su sistema de seguridad. Sin duda habrá más eventos para este 2019.
Los niveles de amenazas presentados requieren una respuesta más robusta. De acuerdo a nuestra encuesta mundial de seguridad de la información de 2018 (EY GISS), el 53% de las industrias de minería y energía ha incrementado sus gastos de ciberseguridad en el último año, sin embargo, no es suficiente para gestionar eficazmente el riesgo de misión crítica de OT. A medida que las compañías continúan avanzando hacia la era digital, muchas de ellas han adoptado un enfoque reactivo o actuado tarde para gestionar sus riesgos y vulnerabilidades, exponiéndose a mayores amenazas.
Los riesgos de OT requieren diferentes actores para establecer controles y conciencia de ciberseguridad, con el objetivo de formar una visión coherente y accesible del entorno de amenaza. Lo anterior, debe ser orquestado por un Director de Operaciones, para impulsar el cambio, prioridades, y para mantener la gestión continua del riesgo ciberné- tico de OT.
Además, se necesita un cambio en la cultura y el conocimiento del riesgo cibernético dentro del sector de la minería y los metales para resolver el “factor humano”. La urgencia se vuelve más crítica cuando acepta la ideología de que ya no es “si es que ocurre un ataque”, sino “¿cuándo ocurrirá?”.
Algunas sugerencias
Algunas recomendaciones para enfrentar los ataques son: aplicar principios de gestión de riesgos, comenzando con la comprensión de las ciberamenazas para mejorar la madurez de la organización. Para esto, las compañías deben alinear su estrategia a largo plazo con un plan de gestión de riesgo, establecer una línea de base de controles respaldados por un enfoque basado en ciberseguridad. Adicionalmente, se debe adoptar un marco de seguridad tecnológica para la identificación consistente de las brechas críticas, las amenazas y las acciones necesarias para alcanzar el perfil de riesgo objetivo. Independientemente del marco adoptado, se debe tener un enfoque adecuado para su propósito, equilibrado entre “proteger” y “reaccionar”, y que cumpla con los requisitos operacionales de una organización: identificar los riesgos reales, que dé prioridad a lo que más importa, que permita controlar y monitorear el desempeño, que optimice las inversiones y que permita habilitar el rendimiento empresarial.
Complementariamente, los directorios deben desempeñar un rol más activo para abordar los riesgos informáticos. La mayoría de las organizaciones se esfuerza en informar sobre la toma de decisiones tácticas y sobre el progreso actual; en lugar de combinar métricas tangibles y cuantificables que demuestren los resultados obtenidos de las decisiones clave recientes y el desempeño del entorno de control actual de la ciberseguridad. Lo anterior, se refrenda con la encuesta “La Voz del Mercado”, realizada por EY y la Bolsa de Santiago, que revela que “solo el 34% de los encuestados está de acuerdo con que los directorios están considerando o preparando la cultura organizacional de sus empresas para la era de la digitalización.
Por último, para permitir una toma de decisiones efectiva del directorio, se necesita un marco de informes de ciberseguridad exitoso que proporcione una visión clara y continua de la exposición actual al riesgo de la organización, que ayude a aplicar una mentalidad centrada en el riesgo para resolver las preguntas necesarias que se plantean a la gerencia.