 |
Claverinza/Shutterstock |
La digitalització representa, sens dubte, un avanç imprescindible en tots els sectors, l'hídric entre ells. No obstant això, els avanços digitals també comporten noves amenaces i, per tant, una creixent preocupació per la ciberseguretat. Com a evidència d'això, la directiva NIS2 2022/2555 de la Unió Europea inclou tant l'àmbit d'aigua potable com el d'aigües residuals i estipula diverses obligacions respecte a la gestió de la ciberseguretat per al sector.
Esta preocupació no ha de sorprendre'ns. El de l'aigua és un sector estratègic, vital per a la supervivència humana, amb una incidència crítica en la salut pública, que es nodrix d'una multitud de dades i que involucra un elevat volum de recursos econòmics. Com a conseqüència, és un àmbit que pot ser l'objectiu de ciberatacs de gran impacte en la societat. Les entitats afectades, a Espanya tant del sector públic com privat, deuen, doncs, protegir-se i complir amb l'actual marc legislatiu.
Quines són les vulnerabilitats a les quals se solen enfrontar les entitats del sector a Espanya i quina és la seua maduresa en ciberseguretat per a fer-ho amb èxit? Per a respondre hem analitzat les bases de dades existents sobre incidents de ciberseguretat i realitzat un estudi amb entrevistes a diversos professionals del sector.
Els punts febles
A mesura que les empreses d'aigua es digitalitzen, també experimenten una convergència entre tecnologies de la informació i tecnologies operatives en la qual tots els dispositius digitals han d'organitzar-se i connectar-se com un sol sistema. Segons els professionals entrevistats, a causa d'eixa major connectivitat, la inaccessibilitat d'algunes infraestructures de tecnologies operatives, que havia actuat en part com a barrera als ciberatacs, està donant pas a una exposició cada vegada major.
Una altra vulnerabilitat recurrent i identificada per tots els professionals és l'originada per l'error humà, que actua com a facilitador de l'entrada de ciberatacs. Gràcies a l'ús de la intel·ligència artificial, en plena expansió, estos atacs són cada vegada més sofisticats i difícils de detectar, la qual cosa incrementa el risc.
Les amenaces, els actors i els motius
Les principals ciberamenazas que aguaiten al sector tenen com a objectiu la disponibilitat, la integritat o la confidencialitat de les dades. Els objectius d'un atac poden ser diversos, des de la interrupció del subministrament d'aigua fins a l'alteració de la seua qualitat, passant per estafes d'elevat import i robatoris de dades massives pertanyents als usuaris o a les entitats.
Els professionals del sector de l'aigua identifiquen les estafes i els atacs de ransomware (xifratge de dades i posterior xantatge per a la seua recuperació) com els més freqüents, i els que puguen afectar el subministrament o la qualitat de l'aigua com els més temuts pels seus efectes a nivell sanitari, ambiental i reputacional.
Darrere dels ciberatacs ocorreguts a Espanya, i segons el Centre Criptològic Nacional (CCN-CERT), pot haver-hi individus aïllats, xarxes o organitzacions delictives de tipus públic o privat (simplificant molt, podríem parlar de “hackers o hacktivistas” maliciosos i “actors-Estat”). Les seues motivacions són essencialment econòmiques o polítiques.
No obstant això, les dades indiquen que estos ciberatacs no solen apuntar a infraestructures hídriques: d'acord amb el Repositori Europeu d'Incidents Cibernètics (EuRepoC), dels 965 casos denunciats entre 2000 i 2023 a Europa, solament 18 estan relacionats amb el sector de l'aigua. Però l'escenari podria canviar: els professionals coincidixen que les noves tecnologies han creat les condicions perquè la perpetració d'un atac greu que comprometa el subministrament o la qualitat de l'aigua a Espanya siga solament qüestió de temps.
Canvis per a les entitats del sector
Les entitats del sector de l'aigua s'enfrontaran a nous reptes en els pròxims anys. La nova directiva de seguretat NIS2, la transposició de la qual arriba amb retard a Espanya –la data límit era octubre de 2024 i, de moment, hi ha un projecte de llei de finals de gener que encara s'està debatent–, establix nous terminis de gestió i comunicació dels incidents, així com un sistema de sancions elevades en cas d'incompliment.
Per a previndre les noves amenaces de ciberseguretat, les auditories externes periòdiques seran imprescindibles, així com una conscienciació de tota la plantilla en este àmbit, juntament amb una formació intensiva i freqüent adaptada a les necessitats de cada rol.
Laura Arantegui Arràez, Investigadora postdoctoral en Criminologia, UOC - Universitat Oberta de Catalunya; Ignasi Rodriguez-Roda Layret, Catededrático d'universitat en Enginyeria Química, Universitat de Girona i Steven Kemp, Serra Hunter Lecturer in Criminology, Universitat de Girona
Este article va ser publicat originalment en The Conversation. Llija el original.
* ho pots llegir perquè som Creative Commons
Cap comentari :