Industria: Deficiencias en la seguridad de OT e IoT

6. noviembre 2024
| No hay comentarios
Industria: Deficiencias en la seguridad de OT e IoT
Anzeige

Compartir publicación

Según los resultados de un estudio reciente, casi la mitad de los responsables de TI de las empresas industriales alemanas consideran insuficientes las medidas destinadas a proteger contra los ciberataques. El control industrial y el ámbito del IoT están especialmente en riesgo.

En una encuesta reciente realizada a responsables de TI de la industria alemana, ni siquiera la mitad (46 por ciento) estaba convencida de que la economía estuviera suficientemente protegida contra los ciberataques. Menos de un tercio (29 por ciento) dice que está realmente familiarizado con las regulaciones y estándares de ciberseguridad relevantes para su industria; una cuarta parte ni siquiera sabe acerca de ellos. Estos son los resultados clave del “Informe de ciberseguridad OT+IoT 2024” de la empresa de ciberseguridad ONEKEY de Düsseldorf. En la primavera de 2024 se encuestó a más de 300 empresas industriales para el informe sobre la seguridad de los controles industriales (Operational Technology, OT) y los dispositivos para el Internet de las cosas (IoT). Además de los gerentes de TI, también dieron su opinión los directores ejecutivos (CEO), los directores de información (CIO), los directores de seguridad de la información (CISO) y los directores de tecnología (CTO). El informe aparecerá en el sitio web de ONEKEY en octubre.

Anzeige

Los fabricantes subestiman los riesgos cibernéticos

El aleccionador resultado del estudio se puede resumir de la siguiente manera: aunque la digitalización industrial se ha estado acelerando durante años y cada vez se utiliza más software en los sistemas de control, la conciencia de los riesgos cibernéticos asociados parece estar muy poco desarrollada entre muchos fabricantes y operadores. "Esto ya representa un peligro concreto para los fabricantes y, por tanto, para todos los operadores de dispositivos e infraestructuras industriales", afirma el director general de ONEKEY, Jan Wendenburg.

Explica los motivos de la siguiente manera: “A muchos fabricantes les resulta difícil identificar las normas de cumplimiento realmente relevantes. Están sucediendo muchas cosas a nivel internacional: la nueva Ley de Resiliencia Cibernética en la UE, el PSTI en Inglaterra, la Ley Biden en EE. UU. y muchas otras. Por lo tanto, hemos desarrollado un Asistente de Cumplimiento que utiliza una combinación de evaluación automatizada de seguridad cibernética y asistente virtual para guiar a las empresas a través de una evaluación simplificada del cumplimiento organizacional. La documentación resultante se puede utilizar inmediatamente para requisitos futuros en cuestiones de ciberseguridad y certificaciones adicionales”.

Anzeige

Suscríbete al boletín ahora

Lea las mejores noticias de SEGURIDAD CIBERNÉTICA B2B una vez al mes



Al hacer clic en "Registrarse", acepto el procesamiento y uso de mis datos de acuerdo con la declaración de consentimiento (abra para más detalles). Puedo encontrar más información en nuestro Política de privacidad . Después de registrarse, primero recibirá un correo electrónico de confirmación para que ninguna otra persona pueda pedir algo que no desea.
Ampliar para obtener detalles sobre su consentimiento
No hace falta decir que tratamos sus datos personales de forma responsable. Si recopilamos datos personales suyos, los procesamos de conformidad con las normas de protección de datos aplicables. Puede encontrar información detallada en nuestro Política de privacidad . Puedes darte de baja del newsletter en cualquier momento. Puede encontrar el enlace correspondiente en el boletín. Después de darse de baja, sus datos se eliminarán lo más rápido posible. La restauración no es posible. Si desea volver a recibir el boletín, simplemente vuelva a solicitarlo. Haga lo mismo si desea utilizar una dirección de correo electrónico diferente para su boletín. Si desea recibir el boletín informativo que se ofrece en el sitio web, necesitamos su dirección de correo electrónico, así como información que nos permita verificar que usted es el propietario de la dirección de correo electrónico proporcionada y que acepta recibir el boletín. No se recopilan más datos o solo se recopilan de forma voluntaria. Para procesar el boletín utilizamos proveedores de servicios de boletín, que se describen a continuación.

CleverReach

Este sitio web utiliza CleverReach para enviar boletines. El proveedor es CleverReach GmbH & Co. KG, Schafjückenweg 2, 26180 Rastede, Alemania (en adelante, "CleverReach"). CleverReach es un servicio que se puede utilizar para organizar y analizar la distribución de boletines. Los datos que introduce para recibir el boletín (por ejemplo, dirección de correo electrónico) se almacenan en los servidores de CleverReach en Alemania e Irlanda. Nuestros boletines enviados con CleverReach nos permiten analizar el comportamiento de los destinatarios del boletín. Esto puede incluir, entre otras cosas: Analiza cuántos destinatarios abrieron el mensaje del boletín y con qué frecuencia se hizo clic en qué enlace del boletín. Con la ayuda del llamado seguimiento de conversiones también se puede analizar si se ha realizado una acción predefinida (por ejemplo, comprar un producto en este sitio web) después de hacer clic en el enlace del boletín. Puede encontrar más información sobre el análisis de datos a través del boletín CleverReach en: https://www.cleverreach.com/de/funktionen/reporting-und-tracking/. El procesamiento de datos se basa en su consentimiento (Art. 6 Párr. 1 lit. a GDPR). Puede revocar este consentimiento en cualquier momento dándose de baja de la newsletter. La revocación no afectará a la legalidad de los tratamientos de datos ya realizados. Si no desea que CleverReach realice análisis, deberá darse de baja del boletín. Para ello, en cada mensaje del boletín ponemos a su disposición el enlace correspondiente. Los datos que nos proporcione con el fin de suscribirse al boletín serán almacenados por nosotros o por el proveedor del servicio del boletín hasta que se dé de baja del boletín y se eliminarán de la lista de distribución del boletín después de que se dé de baja del boletín. Los datos almacenados por nosotros para otros fines no se verán afectados. Una vez que se haya dado de baja de la lista de distribución del boletín, nosotros o el proveedor del servicio del boletín podemos almacenar su dirección de correo electrónico en una lista negra si esto es necesario para evitar futuros envíos. Los datos de la lista negra sólo se utilizarán para este fin y no se combinarán con otros datos. Esto sirve tanto para su interés como para el nuestro en el cumplimiento de los requisitos legales al enviar boletines informativos (interés legítimo en el sentido del art. 6, apartado 1, letra f del RGPD). El almacenamiento en la lista negra no está limitado en el tiempo. Puede oponerse al almacenamiento si sus intereses superan a nuestros intereses legítimos. Para obtener más información, consulte la política de privacidad de CleverReach en: https://www.cleverreach.com/de/datenschutz/.

Procesamiento de pedidos

Hemos concluido un contrato de procesamiento de pedidos (AVV) para el uso del servicio mencionado anteriormente. Este es un contrato requerido por la ley de protección de datos, que garantiza que los datos personales de los visitantes de nuestro sitio web solo se procesen de acuerdo con nuestras instrucciones y de conformidad con el RGPD.

Se descuidan los controles industriales y los dispositivos IoT

En los análisis convencionales de ciberseguridad, la atención se centra principalmente en los sistemas y redes informáticos, mientras que los controles industriales en máquinas e instalaciones, así como los dispositivos IoT (Internet de las cosas), a menudo reciben menos atención, según los resultados del informe ONEKEY. Sin embargo, la mayoría de los encuestados (51 por ciento) están convencidos de que el panorama hacker ya se ha centrado en el uso indebido de controles de máquinas y sistemas, así como de dispositivos IoT. Sospechan que los ciberdelincuentes ya los utilizan activamente como puerta de entrada a las redes empresariales. Otra cuarta parte (23 por ciento) espera que cada vez más piratas informáticos concentren sus incursiones digitales en los controles industriales y el Internet de las cosas en el futuro.

“Casi tres cuartas partes de los ejecutivos de la industria contactados suponen que los piratas informáticos atacan cada vez más los controles industriales y los dispositivos de IoT. Por lo tanto, es extremadamente urgente que los fabricantes de estos controles y dispositivos protejan sus productos de los ataques cibernéticos”, Jan Wendenburg, director general de ONEKEY, insta a la gente a darse prisa.

Casi la mitad (46 por ciento) de los afectados no puede responder a la pregunta de qué estándares técnicos son importantes para la ciberseguridad en dispositivos, máquinas y sistemas, según el “Informe de ciberseguridad OT+IoT 2024” de ONEKEY. Menos de una cuarta parte (23 por ciento) considera relevante la nueva Ley de Resiliencia Cibernética (CRA) de la Unión Europea, aunque según el cronograma actual, a partir de 2027, los dispositivos y controles industriales que no cumplan con la CRA ya no lo serán. se permitirá su venta en la Unión Europea.

"A la vista de los plazos de desarrollo habituales de más de dos años, sorprende la poca conciencia que existe sobre la importancia de las nuevas normas dos o tres años antes de su entrada en vigor", afirma Jan Wendenburg. Explica: “Si los sistemas de control no cumplen los requisitos de la CRA a partir de 2027, esto no sólo planteará problemas importantes para los fabricantes de dispositivos, máquinas y sistemas, sino también para los usuarios industriales. Por lo tanto, a todos los involucrados en la Industria 4.0 les interesa actualizar rápidamente la ciberseguridad en las áreas OT e IoT al mínimo legalmente requerido”.

Las empresas subestiman el potencial de amenaza de OT e IoT

Según el informe, el desconocimiento generalizado sobre la ciberseguridad en el sector OT e IoT se debe a que la mayoría de las empresas consideran que otras áreas de la empresa son objetivos más vulnerables para los piratas informáticos y, por tanto, descuidan los componentes industriales. El 42 por ciento de los ejecutivos encuestados para el “Informe de seguridad cibernética OT+IoT 2024” consideran que vale la pena proteger especialmente los sistemas financieros y de pago contra los ciberataques. El 39 por ciento (fue posible dar varias respuestas) ve el mayor peligro en los ataques a las redes corporativas y a los centros de datos. El 36 por ciento cree que los piratas informáticos tienen como objetivo los datos de los clientes. Una buena cuarta parte (26 por ciento) teme que las comunicaciones por correo electrónico sean interceptadas por personas no autorizadas. Exactamente una cuarta parte teme la pérdida de secretos comerciales y documentos de patente. Un buen quinto (22 por ciento) clasifica los servicios en la nube como una puerta de entrada para los piratas informáticos. Según la encuesta, otras áreas particularmente dignas de protección incluyen: sistemas personalizados en el lugar de trabajo (16 por ciento), sistemas de vigilancia y seguridad (16 por ciento), infraestructura crítica y datos de salud (15 por ciento), sistemas de telecomunicaciones (12 por ciento), aplicaciones web y sitios web (9 por ciento), así como big data y sistemas con inteligencia artificial (8 por ciento).

La encuesta encontró que el potencial de amenaza en las áreas de OT e IoT es comparativamente bajo. Sólo el 11 por ciento de los encuestados considera que los sistemas de gestión de la cadena de producción y suministro son el objetivo principal de los ciberdelincuentes. Sólo el 12 por ciento asume ataques de piratas informáticos a dispositivos y sistemas desde el Internet de las cosas. Los sistemas de producción y los sistemas de control industrial (sistemas OT) no están expuestos ni a una décima parte (9 por ciento) de peligros graves por parte de atacantes de Internet. Sólo para aplicaciones y dispositivos móviles el riesgo se considera aún menor (5 por ciento).

El jefe de ONEKEY hace un llamamiento a la industria para que inste a sus proveedores a garantizar la ciberseguridad necesaria de dispositivos, máquinas y sistemas. Explica: “Por supuesto, los fabricantes deben asegurarse de que sus productos cumplan con la CRA. Pero una empresa que no utiliza productos que cumplen con la CRA tampoco está en una posición óptima. Por lo tanto, a todos los involucrados en la Industria 4.0 les interesa darle al tema de la ciberseguridad la atención que merece más allá de las computadoras y las redes, incluidos los sistemas de control industrial y el Internet industrial de las cosas”.

Más en ONEKEY.com

 

Acerca de ONEKEY

ONEKEY (anteriormente IoT Inspector) es la plataforma europea líder en análisis automáticos de seguridad y cumplimiento para dispositivos en la industria (IIoT), producción (OT) e Internet de las cosas (IoT). Utilizando "Digital Twins" y "Software Bill of Materials (SBOM)" creados automáticamente de los dispositivos, ONEKEY analiza de forma independiente el firmware en busca de brechas de seguridad críticas y violaciones de cumplimiento, sin ningún código fuente, dispositivo o acceso a la red.

Artículos relacionados con el tema

La IA multimodal mejora la ciberdefensa

Mejores tasas de reconocimiento al utilizar IA multimodal: en lugar de analizar eventos individuales, la IA multimodal examina simultáneamente flujos de datos completos, evalúa imágenes y ➡ Leer más

Seguridad: 40.000 veces más identidades de máquinas

Un informe muestra que, con 40.000 veces más identidades de máquinas que identidades humanas, esto supone un desafío para la seguridad corporativa. Al mismo tiempo, las organizaciones ganan ➡ Leer más

Ciberseguridad basada en agentes con un modelo de código abierto

El agente de inteligencia artificial de Trend Micro, Trend Cybertron, se lanza como un modelo de código abierto. El modelo de IA y el marco del agente1 tienen como objetivo facilitar el desarrollo de la inteligencia artificial autónoma. ➡ Leer más

OpenCloud: Solución alternativa de gestión de archivos

Gestión de archivos, intercambio de archivos y colaboración de contenido, pero de nuevas formas y lejos de las soluciones de las grandes corporaciones digitales Microsoft SharePoint ➡ Leer más

Proteja entornos de IoT y OT con MXDR

Con el creciente número de dispositivos IoT y OT, las empresas están incrementando sus superficies de ataque para los ciberdelincuentes. El año pasado, casi todos ➡ Leer más

Solución SASE híbrida FireCloud Internet Access

Con FireCloud Internet Access, WatchGuard Technologies presenta el primer producto de una nueva familia de soluciones híbridas Secure Access Service Edge (SASE). ➡ Leer más

La IA de ciberseguridad proactiva defiende los ataques

La primera IA de ciberseguridad proactiva de Trend Micro establece nuevos estándares con nuevas capacidades para la gestión proactiva de riesgos, el modelado de amenazas y la ruta de ataque. ➡ Leer más

El ciberespionaje chino está aumentando drásticamente

El Informe de Amenazas Globales 2025 publicado muestra una creciente agresividad del ciberespionaje chino, un aumento de la ingeniería social basada en GenAI y la investigación de vulnerabilidades. ➡ Leer más

 

Noticias de prensa
, , , , , , ,