Cuando el riesgo medioambiental y el cibernético convergen

//

Las obligaciones medioambientales implican un riesgo cada vez mayor para las empresas. El aumento de la concienciación ciudadana y el desarrollo de la normativa han hecho que las empresas tengan una mayor responsabilidad frente a los daños medioambientales. Al mismo tiempo, el riesgo cibernético es una amenaza cada vez mayor para las empresas de todos los tamaños. El punto en el que ambos convergen plantea nuevos retos.

El riesgo cibernético tiene dos elementos. El primero es más conocido, se trata de las pérdidas económicas debidas a la interrupción de la actividad y el daño a la reputación tras una vulneración cibernética. El segundo se refiere a la amenaza física que puede derivarse de un incidente cibernético, que, en algunos casos, puede tener un impacto medioambiental. Un hacker que se haga con el control de los sistemas de una empresa podría provocar un suceso de contaminación debido a una emisión incontrolada, por ejemplo, mediante la apertura de válvulas de control o el aumento de la presión o la temperatura, lo que provocaría una explosión. Del mismo modo, un acto de negligencia u omisión por parte de un empleado durante el funcionamiento, el mantenimiento o la actualización de un sistema informático también podría provocar un suceso de contaminación. En ambos casos, la empresa puede verse obligada a pagar los costes de limpieza de los daños medioambientales.

Cuantos más sistemas digitales estén conectados a Internet, mayor será el número de puntos de acceso para un hacker. Esto abre la puerta a posibles vulneraciones. En la actualidad, casi todos los sectores cuentan con sistemas automatizados que pueden ser vulnerados.

Sistemas interconectados

El reto para muchas empresas es que no solo tienen que defender su infraestructura informática, sino también sus sistemas de control industrial (SCI), que son mucho más difíciles de proteger. Esto se debe a dos razones. En primer lugar, los dos funcionan con protocolos muy diferentes, por lo que mientras hay un gran número de profesionales informáticos experimentados en la búsqueda de amenazas en Internet, hay menos que hagan lo mismo con los sistemas basados en SCI.

En segundo lugar, mientras que los sistemas informáticos tienen un ciclo de vida relativamente corto, de unos tres años, en el caso de los SCI es de unos 10 o 20 años. Esto se debe a que, hasta ahora, no tenía ningún sentido desde el punto de vista empresarial cambiar los SCI con mayor frecuencia. Antes de que surgiera el Internet de las Cosas era necesario pensar en la protección, pero no en la seguridad propiamente dicha. Esta mentalidad ha permanecido. AIG suscribe el seguro de responsabilidad medioambiental para una amplia gama de sectores y los clientes suelen seguir pensando que la ciberseguridad es solo una cuestión informática. Y esto es algo que tiene que cambiar.

Riesgo en evolución

Aunque los objetivos no cambien, las amenazas sí. La extorsión es la mayor causa de siniestros cibernéticos a la que nos enfrentamos, representando alrededor del 15-20% del volumen. Cuando el “ransomware” surgió hace cinco o seis años, el modus operandi consistía en que el usuario final sufriera la encriptación de su software o de sus datos por parte de un hacker y que este pidiera unos 200 dólares por la clave de encriptación para restaurar los sistemas y devolver los datos.

Esta dinámica se ha incrementado hasta el punto de que los delincuentes organizados atacan a las empresas. Para ello, investigan con más detenimiento cuánto pueden pagar los posibles objetivos antes de robar sus datos y cifrarlos. Ahora, las víctimas pueden tener que pagar hasta dos rescates millonarios. Uno para recuperar los datos y otro para que el hacker no los haga públicos.

En el ámbito del seguro de responsabilidad medioambiental, las ciberamenazas pueden materializarse en importantes daños en el mundo real, causando problemas medioambientales, daños materiales y víctimas, además de los ya mencionados daños económicos. Por ejemplo, si un hacker se hiciera con el control de los sistemas de una empresa hidráulica, podría amenazar con abrir las compuertas del alcantarillado y contaminar las vías fluviales cercanas si no se paga un rescate. A veces, la motivación del hacker no es el dinero y solo busca el reto de poder causar daño. Y, por supuesto, las amenazas no solo provienen de actores externos, sino también de empleados negligentes o descontentos.

Gestión integral de riesgos

Las empresas deben comprender mejor el riesgo cibernético y su conexión con las amenazas ambientales, cambiando el enfoque para no limitarse únicamente a las posibles pérdidas económicas, sino también a los daños materiales.

La protección comienza con una buena base. Para ello hay que asegurarse de que existe el suficiente grado de separación entre los sistemas SCI y los sistemas informáticos. Debe haber una autenticación de dos factores. Las contraseñas deben ser seguras y difíciles de adivinar. Debe instalarse un proceso de monitorización para identificar cualquier actividad inusual en el sistema. La gestión de la vulnerabilidad es importante y la aplicación de parches debe realizarse con rapidez. También es fundamental adoptar un enfoque adecuado para la gestión de los accesos: plantearse regularmente la pregunta "¿quién tiene acceso a qué?" y asegurarse de que solo lo tienen las personas adecuadas. A menudo es difícil comprobar los antecedentes de los empleados, por lo que es muy importante tener acceso a la monitorización y el control de los registros.

Dado que los límites entre las pérdidas cibernéticas de carácter material y económico son cada vez más difusos, las empresas también deben conocer los productos de seguro que están disponibles y asegurarse de que cuentan con la cobertura adecuada. La amplia experiencia en la suscripción de riesgos cibernéticos, tanto de índole material como no material, debe ser una consideración importante a la hora de evaluar la cobertura del seguro de responsabilidad medioambiental.