Los riesgos de ciberseguridad de una escalada del conflicto entre Rusia y Ucrania

Actualización: las fuerzas rusas lanzaron un ataque contra Ucrania el 24 de febrero.

A medida que proliferan las advertencias de un inminente ataque ruso contra Ucrania, las redes de noticias y las redes sociales han publicado vídeos de las fuerzas armadas rusas entrenándose, haciendo ejercicio y preparándose para luchar. Menos visibles son las formidables ciberfuerzas rusas que se prepararían para desatar una nueva ola de ciberataques contra la infraestructura energética, financiera y de comunicaciones de Ucrania y Occidente. Se produzca una invasión ahora o no, las tensiones se mantendrán altas y es probable que la ciberamenaza aumente, no disminuya.

Las implicaciones del conflicto en Ucrania para los negocios, ya sean convencionales, cibernéticos o híbridos, se sentirán mucho más allá de las fronteras de la región. Como líder empresarial, es probable que ya haya evaluado si hay personas en riesgo, operaciones que podrían verse afectadas o cadenas de suministro que podrían verse interrumpidas. La Casa Blanca advirtió recientemente de las vulnerabilidades de la cadena de suministro derivadas de la dependencia de la industria estadounidense de chips del neón de origen ucraniano. Y Rusia también exporta una serie de elementos fundamentales para la fabricación de semiconductores s, motores a reacción, automóviles, agricultura, y medicamentos, como detallado en un hilo de Twitter del exdirector de tecnología de Crowdstrike, Dmitri Alperovitch. Dada la presión que la pandemia de la COVID-19 ejerce sobre las cadenas de suministro estadounidenses, es preocupante añadir más conmoción al sistema.

Pero si acaba de evaluar su postura cibernética, probablemente sea demasiado tarde. La ciberdefensa eficaz es un juego a largo plazo que requiere una inversión estratégica sostenida, no un golpe de última hora.

El conflicto en Ucrania presenta quizás el ciberriesgo más grave Las empresas estadounidenses y occidentales se han enfrentado alguna vez. La invasión de Rusia llevaría a las sanciones más completas y drásticas jamás impuestas a Rusia, que considera esas medidas como una guerra económica. Rusia no se quedará de brazos cruzados, sino que responderá asimétricamente utilizando su considerable capacidad cibernética.

La Agencia de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) recientemente emitió una advertencia del riesgo de que los ciberataques rusos se extiendan a las redes estadounidenses, tras las anteriores advertencias de la CISA en los riesgos que representan los ciberataques rusos para la infraestructura crítica de EE. UU.. El Banco Central Europeo (BCE) ha advertido a las instituciones financieras europeas del riesgo de ciberataques rusos en represalia en caso de sanciones y las consiguientes perturbaciones del mercado.

Las primeras ciberescaramuzas ya han comenzado, con Los sistemas gubernamentales y los bancos ucranianos atacados la semana pasada, y las empresas estadounidenses vigilantes observan un aumento drástico de las cibersondeos. Rob Lee, CEO de la empresa de ciberseguridad Dragos, nos dijo: «En los últimos meses, hemos observado grupos de amenazas atribuidos al gobierno ruso por agencias gubernamentales estadounidenses que realizan reconocimientos de la infraestructura industrial estadounidense, incluidas las principales instalaciones eléctricas y de gas natural».

Los equipos de seguridad e inteligencia de varias multinacionales importantes nos han indicado que están anticipando los ciberataques rusos y evaluando los posibles efectos de segundo y tercer orden en sus operaciones. Algunas empresas han señalado que anticipan un aumento de los ataques y las estafas debido a la crisis de Ucrania, y las evaluaciones del riesgo suelen depender de si la empresa tiene vínculos directos con los bancos nacionales de Ucrania u otra infraestructura crítica. Un director de inteligencia corporativa observó que su equipo cibernético «no cree que seamos un objetivo probable», pero ha seguido las directrices de la CISA. Otro indicó también que a su empresa no le preocupaban las amenazas directas a sus datos, porque no tiene presencia en Ucrania ni Rusia, sino que estaba pendiente de los impactos indirectos en sus clientes y socios comerciales de la región.

Entonces, si es demasiado tarde para mejorar su ciberdefensa y el conflicto parece inminente, ¿qué pueden hacer los líderes además de levantar las armas?

La primera regla es que un problema cibernético o de TI se convierte rápidamente en un problema empresarial. El principal paso que las empresas deberían tomar ahora mismo es retirar, desempolvar y poner en práctica planes de continuidad empresarial. ¿Qué significaría trabajar en un mundo analógico, o en un mundo del lápiz y el papel, durante días, semanas o meses? Cuando Saudi Aramco sufrió un ciberataque, 30 000 ordenadores portátiles corporativos se convirtieron en pisapapeles en cuestión de segundos. Saque su navaja y hurgue bajo la pintura de la respuesta a la crisis. Pregunte: «Si mis sistemas de TI no funcionan, ¿cómo voy a hacer un seguimiento de mi inventario, gestionar mis cuentas o comunicarme con mis oficinas y plantas?»

En segundo lugar, examine detenidamente su cadena de suministro. Su empresa puede correr el riesgo de una dependencia oculta de ingenieros de software, redactores de códigos o servicios alojados con sede en Ucrania. De Ucrania Informes del Ministerio de Asuntos Exteriores que más de 100 de las empresas de la lista Fortune 500 del mundo dependen, al menos parcialmente, de los servicios de TI ucranianos, y varias firmas de TI ucranianas figuran entre las 100 principales opciones de subcontratación de servicios de TI del mundo.

En tercer lugar, conectarse con redes homólogas, vendedores y el FBI puede mejorar drásticamente sus probabilidades de identificar y mitigar las ciberintrusiones. Capacite a sus equipos para que contacten con los equipos de ciberseguridad e inteligencia de las empresas homólogas y con los socios de los gobiernos federales y locales que vigilan de cerca las mismas amenazas. Asegúrese de que sus equipos conocen a sus representantes regionales de la CISA y a la oficina local del FBI y de que están en sus listas de correo para estar al tanto de las alertas y advertencias. Comparta actividad cibernética anómala o maliciosa con socios federales y locales para crear mayor conciencia y ayudar a construir una defensa colectiva.

Cuarto, inculcar una mentalidad de seguridad en sus empleados. Habilitar la autenticación multifactorial (que, según la directora de la CISA, Jen Easterly) hace que tenga un 99% menos de probabilidades de que lo hackeen), parchear esas antiguas vulnerabilidades, garantizar que las contraseñas sean seguras y recordar que la suplantación de identidad es todavía el vector de ataque número uno, incluso para adversarios sofisticados; todo esto puede contribuir a mejorar la seguridad general.

Por último, reconozca que la ciberseguridad está estrechamente relacionada con la seguridad y el riesgo generales de la empresa. Ante las ciberamenazas, los líderes corporativos recurren con demasiada frecuencia a la TI en busca de una solución, pero las evaluaciones de la seguridad de la TI y los riesgos geopolíticos deben ir de la mano.

Los equipos que se ocupan de la ciberseguridad, el riesgo geopolítico y la seguridad física deberían trabajar en estrecha colaboración, no en silos. En un caso, un director de inteligencia corporativa nos dijo que había realizado una evaluación conjunta con su equipo de ciberinteligencia sobre Rusia y Ucrania, la primera vez que cooperaban de esa manera. En este caso, la crisis se basó en relaciones preexistentes e impulsó nuevos niveles de cooperación.

Si está entablando relaciones en una crisis, puede que sea demasiado tarde. Es mucho mejor fomentar la comunicación y la cooperación antes de que ocurra un desastre. Tenga cuidado con las evaluaciones de riesgos que asignan demasiado peso a la proximidad o la presencia. En una ciberguerra, los transeúntes inocentes que estén muy lejos pueden ser alcanzados por ciberbalas perdidas o por disparos precisos de ciberfrancotiradores.

En una crisis, los planes de resiliencia empresarial y continuidad empresarial se vuelven primordiales y requieren toda la atención y las soluciones de la empresa. Con la amenaza de una guerra en Europa que se avecina, que sin duda incluirá la ciberseguridad, es hora de elaborar esos planes de contingencia y comprobar si son actuales, realistas y adecuados para su propósito.