A punto de terminar el año 2024, revisamos cuales han sido las claves a nivel de ciberseguridad. Posiblemente los cambios en legislaciones (NIS 2) de estados y entornos como la unión europea hayan sido de lo más importante. Todos estos cambios en legislaciones vienen determinados por el aumento de ciber amenazas globales que pueden impactar en la estabilidad financiera y la democracia de los países.
Los ciberdelincuentes siguen usando vectores de ataque tradicionales. Pero el uso de nuevas tecnologías como la Inteligencia Artificial – IA, está dando lugar a nuevas actividades como los deepfakes, muy usados en campañas de desinformación o para estafas financieras.
Ciber Ataques Importantes en 2024
Aquí en España también ha habido algunos ataques importantes. Principalmente las exfiltraciones de datos han sido el caballo de batalla de muchas organizaciones, como por ejemplo la exfiltración de datos en algunos grandes bancos y empresas energéticas. Pero también se han atacado instituciones públicas, como ataques de DDoS de activistas prorrusos a sectores estratégicos. O la noticia de última hora conocida, de una posible exfiltración de datos de un grupo de hackers a la agencia tributaria, con exigencias de un rescate económico para no difundir la información por el grupo de hackers trinity, que en este momento está por confirmar.
Estos hechos no hacen más que evidenciar la necesidad de nuevos marcos de trabajo y normativas que den las herramientas a los estados para protegerse en este nuevo paradigma de ciber amenazas y geopolítica, que como se decía puede desestabilizar un estado. EE.UU. por ejemplo mejoró su estrategia nacional de ciberseguridad con decenas de objetivos, como mejoras en los escenarios de ciberseguridad en infraestructuras críticas, entornos gubernamentales e IoT.
En Europa se tiene la nueva directiva NIS 2 de ámbito europeo, que venció el plazo de aplicación y transposición a legislación nacional, el pasado mes de octubre de 2024. Y que algunos países, incluido España, aún tienen los deberes por hacer. Aunque ya es vinculante para empresas españolas, pero de momento no hay marco legislativo nacional. Aun así, hay que actuar ya y prepararse para cumplir los objetivos de la directiva.
La Directiva NIS 2
La directiva NIS 2 surge para actualizar y fortalecer las directivas establecidas en la NIS 1, para abordar los retos actuales en materia de ciberseguridad. Algunas de las dudas frecuentes con la directiva son el ámbito de aplicación. La primera se basaba principalmente en entidades críticas para la sociedad. Ahora en la nueva revisión, la directiva aplica a medianas y grandes empresas, ya sean públicas o privadas, de los sectores de alta criticidad y otros sectores críticos. Por ello es importante conocer si nuestra empresa se engloba dentro de estos sectores.
Hay varios sectores claros que deben aplicar la NIS 2. Por ejemplo, sectores energéticos y subsectores eléctricos y de crudo. Además, el sector sanitario con los centros de investigación y desarrollo de medicamentos, junto con los fabricantes farmacéuticos. También incluye sectores de aguas residuales y agua potable junto con la banca e infraestructura financiera del país. Una ampliación clave son los sectores de infraestructuras digitales, que incluye proveedores de redes y servicios de comunicaciones. Se incluye en esta nueva revisión también los servicios TIC a empresas de servicios gestionados y de seguridad. Y se ha incorporado a las administraciones públicas, tanto la administración central como las regionales.
Mención aparte es la incorporación de sectores postales y de mensajería, gestión de residuos, sector de fabricación, químico (producción y distribución), alimentación y organismos de investigación. Aunque no esté dentro del sector, pero ofrezca servicios esenciales a algunos de los sectores implicados como único proveedor, probablemente también tenga que cumplir la NIS 2. La cadena de suministro se vuelve clave en estos entornos. Todas las entidades dentro del ámbito de aplicación de la directiva deberán aplicar las medidas para la gestión de riesgos de ciberseguridad, así como cumplir con las obligaciones de notificación de incidentes de ciberseguridad, al nuevo CSiRT de alerta temprana dentro de las primeras 24 horas del incidente.
Además de la aplicación de la NIS 2 al entorno financiero, se ha añadido un reglamento especifico llamado DORA. Tiene como objetivo mejorar la resiliencia operativa y la ciberseguridad en el sector financiero. Contando con fecha clave enero del próximo año 2025. Específicamente en relación con los riesgos relacionados de las tecnologías de la información y la comunicación, las entidades financieras deben establecer requisitos para la gestión de incidentes de ciberseguridad. Todo con el fin de proteger, detectar, contener, recuperar y reparar incidentes relacionados con dichas tecnologías.
¿Porqué es importante conocer si se está dentro del rango?
En un mundo digital cada vez más conectado, las amenazas no hacen más que crecer. Las nuevas regulaciones nos ayudan con un marco de trabajo, que se debe cumplir para ofrecer principalmente resiliencia a ataques graves que se puedan recibir. Muchos actores externos pueden tener intereses en afectar uno o varios sectores de un país, y ya no solo actores geopolíticos como países enemigos, sino también organizaciones que pueden sacar algún tipo de lucro atacando a empresas que puedan afectar económicamente a un sector especifico.
Es importante repasar si se está dentro del rango de aplicación de las normativas comentadas, ya que muy probablemente se tenga que desplegar en nuestra compañía, protocolos y medidas para cumplir con los requerimientos de identificación, evaluación de la gravedad de incidente, notificación en tiempo y forma, disponiendo de los informes necesarios. Por otro lado, la resiliencia, nos obliga a desplegar plataformas redundantes en caso de ataque, y tener disponibles medidas que nos permitan recuperar la operatividad lo antes posible.
Las multas varían si es una entidad esencial o importante. Pero como en el entorno GDPR, serán una cuantía porcentual al volumen de negocio total anual.
Las tecnologías de seguridad que pueden ayudarnos a parar un ataque a nuestros activos, se vuelven clave. Junto con las tecnologías que nos ayudan a identificar el proceso que ha ejecutado el atacante, y con los elementos afectados.
Desde Teldat ayudamos a nuestros clientes con protecciones activas de seguridad, junto con plataformas avanzadas de monitorización y reacción, que pueden ser la clave para mitigar el impacto de uno de estos ataques.
Fuentes:
https://es.weforum.org
https://www.channelpartner.es
https://www.incibe.es