Los ciberataques son una amenaza importante para las empresas en la actualidad. El informe Hiscox 2021 mostró que a medida que disminuyen sus números, el costo de un ciberataque para una empresa es siempre mayor. El número de empresas afectadas por ciberataques aumentó del 38 al 43% en 2021. El El informe Hiscox de 2021 sobre la gestión del riesgo cibernético afirma que entre las empresas atacadas, una de cada seis dijo que tenían poco riesgo de quiebra. Por tanto, la amenaza de ciberataques no debe tomarse a la ligera. Las empresas deben implementar medidas para prevenir ciberataques y minimizar sus consecuencias.
Los diferentes tipos de ciberataques
¿Cuáles son los diferentes tipos de ciberataques? El gobierno francés ha dividido los ciberataques en cuatro categorías: ciberdelito, daño a la imagen, espionaje y sabotaje. Cada una de estas categorías se puede dividir en subcategorías. El ciberdelito hace referencia a todas las actividades ilícitas que se realizan a través de Internet, por ejemplo en esta rama nos encontramos con el “phishing” que consiste en usurpar la identidad de una persona para obtener información personal y datos bancarios para realizar su uso delictivo. Entonces, el daño de la imagen tiene como objetivo desestabilizar a las empresas, en particular al reemplazar el contenido en línea de las empresas por políticos, religiosos, etc. Si bien el daño a la imagen afecta la reputación de la empresa, el espionaje es más insidioso y difícil de detectar, generalmente se utiliza con fines científicos o económicos y puede tener consecuencias que van más allá de los negocios pero que impactan en los intereses nacionales. El sabotaje, dado que el daño a la imagen es directamente detectable, tiene como objetivo dejar inoperativo todo o parte de un sistema informático.
El impacto es aún mayor en las pequeñas empresas debido al costo de los ciberataques
¿Quiénes son los objetivos de los ciberataques? Desde el inicio de la crisis sanitaria, el 58% de las empresas han dicho que trabajar a distancia las hace más vulnerables a los ciberataques. Sorprendentemente, son las pequeñas empresas las más afectadas por este tipo de ataque. En realidad, esto no se debe a su tamaño sino a su sistema de protección. Dado que consideran que los objetivos preferidos por los atacantes cibernéticos son las empresas más grandes, las medidas utilizadas para proteger su sistema suelen ser menores, por lo que esto facilita la piratería de sus datos. Los piratas informáticos lanzan miles de ataques aleatorios todos los días y esperan que un error descuidado les permita amenazar un sistema; el terreno más fértil para estos errores son las pequeñas empresas.
El impacto es aún mayor en las pequeñas empresas debido al costo de los ciberataques. De hecho, la cantidad de pérdidas en proporción al tamaño de la empresa es mucho mayor para las empresas más pequeñas. Sin embargo, no debemos generalizar, las grandes empresas también son blanco de piratería: según el informe de Hiscox, una sexta parte de las empresas atacadas declaró que el impacto era lo suficientemente grande como para “ amenazar seriamente la solvencia / viabilidad de la empresa ”. Surge la pregunta de cuál es el costo de piratear una empresa. Por supuesto, el costo de un ciberataque para una empresa varía según una serie de factores, pero existen herramientas que permiten a las empresas estimar aproximadamente cuál podría ser. Más allá del costo financiero, la piratería informática conlleva muchos costos indirectos: información del cliente, monitoreo de crédito, honorarios legales, etc.
Una vez que una empresa es consciente de las consecuencias que un ciberataque podría tener en su negocio, es necesario saber cómo protegerse frente a los ciberataques. Según el informe de Hiscox, “ las empresas consideradas ‘expertas’ en ciberseguridad asignan casi una cuarta parte (24%) de su presupuesto de TI a la protección contra riesgos cibernéticos, en comparación con el 17% de los novatos </ em> “. Se pueden poner en marcha muchas medidas para luchar contra los ciberataques: formación de empleados, seguros, medidas de control, etc.
En 2021, la Comisión propuso la creación de una unidad conjunta de ciberseguridad
Los estados miembros de la Unión Europea se han hecho cargo del tema. En Francia, la autoridad nacional de seguridad y defensa de los sistemas de información (ANSSI) señaló un 255% de aumento en los informes de ataques de ransomware [1] entre 2019 y 2021. El gobierno abordó el tema y anunció el establecimiento de una estrategia nacional para fortalecer la ciberseguridad.
Asimismo, para combatir este flagelo, la Comisión Europea ha decidido actuar: en 2021, propuso la creación de una unidad conjunta de ciberseguridad. Margrethe Vestager, vicepresidenta ejecutiva de una Europa digital, dijo: “ La ciberseguridad es la piedra angular de una Europa digital y conectada. En la sociedad actual, es fundamental responder a las amenazas de forma coordinada. La unidad conjunta de ciberseguridad ayudará a lograr este objetivo. Juntos podemos marcar una diferencia real . La creación de una unidad conjunta de ciberseguridad tendría como objetivo abordar los incidentes de ciberseguridad que repercuten en los servicios públicos, así como en la vida de las empresas y los ciudadanos de toda la Unión Europea. Este nuevo sistema se basa en la idea de colaboración, los actores ya no deben luchar individualmente contra los piratas informáticos sino trabajar juntos, reaccionar colectivamente y compartir su información para acabar con este flagelo. La creación de esta unidad conjunta de ciberseguridad es un importante paso adelante en la estrategia de ciberseguridad de la Unión Europea y la estrategia de la UE para la unión de la seguridad. La unidad conjunta de ciberseguridad debería permitir a los estados responder de manera coordinada a los principales incidentes y crisis de ciberseguridad. Debería permitir una mayor colaboración y asistencia entre los Estados miembros y, en particular, una mayor asistencia de los Estados miembros afectados por ciberataques: “ incluso si los sectores pueden ser específicos, las amenazas suelen ser comunes, por lo que la coordinación, el intercambio de conocimientos e incluso las advertencias anticipadas son esenciales . “. El objetivo es crear un espacio común en el que puedan colaborar los diferentes actores afectados por los ciberataques.
La protección contra la piratería informática es la financiación
Los ciberataques pueden afectar tanto al sector privado como a las instituciones públicas; por ejemplo, las propias instituciones europeas se ven afectadas por los problemas de los ciberataques. En 2021, algunos de ellos fueron víctimas de piratería informática, entre ellos, la Comisión Europea se vio afectada. Según el portavoz de la Comisión Europea, no hubo daños que lamentar y no se detectaron infracciones importantes, sin embargo, parece que el incidente fue más grave que los ataques habituales que los órganos de la Unión Europea conocen habitualmente.
En cuanto a las empresas privadas, en febrero de 2021, el especialista en ciberseguridad Stormshield también se vio afectado por un ciberataque que resultó en una fuga de datos personales. La compañía dijo en un comunicado un “incidente de seguridad” que resultó en un “acceso no autorizado a un portal técnico”. Según la compañía, alrededor del 2% de las cuentas se vieron afectadas por el incidente, lo que provocó la divulgación de datos personales y discusiones técnicas. La investigación reveló que se habían filtrado partes del código fuente de los productos “Stormshield Network Security”. El propósito de estos productos es proteger los sistemas de información de las empresas contra amenazas. La Agencia Nacional de Seguridad de los Sistemas de Información ha expresado su preocupación: el riesgo es que, ante esta situación, los ataques se multipliquen. Pidió a cada cliente de la solución Stormshield que llevara a cabo un “análisis de impacto”.
En este contexto, es por tanto necesario estar capacitado para reaccionar ante este tipo de situaciones y disponer de toda la información útil y relevante para evaluar el nivel de exposición de las estructuras, su capacidad de resiliencia así como sus responsabilidades.
La primera pregunta que surge en relación con la protección contraEl hackeo es el de la financiación: ¿qué presupuesto debería asignarse a la ciberseguridad? Es necesario tener en cuenta todas las medidas que habrá que poner en marcha para protegerse: el fortalecimiento de los sistemas de información, la suscripción de seguros específicos, medidas de prevención y formación ante cuestiones de ciberseguridad. de procedimientos internos, etc.
Aunque los costos de protegerse a sí mismo parecen considerables, los beneficios que se obtienen en el equilibrio entre los costos de protegerse y las consecuencias de un ataque virtual no son despreciables. Por ejemplo, un ataque de ransomware puede provocar el cierre de la estructura: parada de la producción, pérdida de confianza de los usuarios o clientes, inversores, empleados, pérdida de datos estratégicos, etc.
Por lo tanto, la anticipación y preparación para un ataque de este tipo es esencial para garantizar el equilibrio de un negocio. ¿Cómo puede prepararse una empresa para evitar enfrentarse a un ataque de piratas informáticos?
Entonces, es necesario que los acuerdos contractuales realizados con todos los actores que colaboran con la empresa incluyan disposiciones sobre protección de datos, es imperativo prever garantías dentro de la propia organización pero también con los prestadores de servicios.
Medidas útiles para prevenir ciberataques
El tercer punto a implementar para anticiparse a los ataques es la formación de los empleados: deben ser capaces de adoptar comportamientos de gestión de crisis, tanto desde el punto de vista técnico (compartir información, calificar la situación, etc.) como desde el punto de vista legal (presentación de denuncia, notificación a las personas interesadas, etc.). La formación de equipos permite incrementar la eficiencia y limitar las consecuencias sobre los datos y las consecuencias legales de la crisis.
La última política que se implementará es la de probar periódicamente los procedimientos y las instalaciones. Estos ejercicios permiten anticipar los ataques y evaluar el grado de resistencia del sistema de protección a los mismos, son fundamentales para poder adoptar las medidas correctoras del sistema.
Todas estas medidas son útiles para prevenir ciberataques, pero si los piratas informáticos ya se han infiltrado en el sistema de una empresa, su utilidad es menor: ¿cómo reaccionar después de un ciberataque?
El primer paso es alertar al departamento de informática, son los más capacitados para investigar el origen del evento y saber qué medidas tomar para limitar el daño. El siguiente paso es aislar las máquinas infectadas: el principal riesgo de un ciberataque es que la infección, que afecta solo a unas pocas máquinas, se propague por todo el sistema. Esto implica que los empleados deben estar capacitados para poder definir el perímetro de los sistemas infectados, aislarlo para detener la propagación. Además de la dimensión técnica, hay que tener en cuenta la dimensión jurídica del problema. El artículo 33 establece, en particular, la obligación de “notificar a la autoridad de control la violación de los datos personales”. El incumplimiento de esta obligación puede tener consecuencias importantes en la reputación de la empresa y dar lugar a controles por parte de las autoridades competentes. Además, la empresa afectada por un ciberataque debe poder reunir pruebas para emprender acciones legales contra el ciberataque.
Una vez detenido el ataque a corto plazo, hay que saber reaccionar en las semanas siguientes: ¿qué comportamiento adoptar en las semanas posteriores a un ciberataque? El artículo 34 del RGPD impone una” comunicación al interesado de una violación de datos personales ” esto se justifica por el hecho de que “ violación de datos personales probablemente cree un alto riesgo para los derechos y libertades de una persona física ”. Por lo tanto, es necesario advertir al interesado de la divulgación de sus datos.
Por último, es necesario implementar una comunicación de crisis adecuada porque un ataque al sistema de una empresa puede tener graves consecuencias en su reputación. Por tanto, debe ponerse en marcha una estrategia para informar a los interesados y evitar cualquier posible difusión de información falsa en los medios de comunicación o en las redes. Es fundamental tener en cuenta el aspecto legal relacionado con la divulgación de datos, esto implica velar por que el lenguaje utilizado y los actos de comunicación no vayan en detrimento de la empresa en caso de acciones ejercidas contra esta última.
La lucha contra el ciberdelito
Todos los Estados miembros de la Unión están comprometidos con la lucha contra la ciberdelincuencia, sin embargo, podemos ver que los recursos asignados a esta lucha son desiguales. La Unión Europea ha hecho de la lucha contra la ciberdelincuencia una de sus prioridades mediante el establecimiento de la estrategia renovada de seguridad interior de la Unión Europea 2015-2020. En julio de 2019, las agencias Eurojust y Europol publicaron un informe que establece los retos a los que se enfrentará la Unión en la lucha contra la ciberdelincuencia. Las autoridades comentaron las sentencias dictadas por el Tribunal de Justicia de la Unión Europea que invalidaron determinadas disposiciones nacionales y europeas y sin responder a preguntas de las autoridades nacionales sobre la posibilidad de obtener datos de actores privados en el proceso de lucha contra la ciberdelincuencia.
La primera sentencia de Digital Rights Ireland , dictado el 8 de abril de 2014 consideró contrarias a los derechos fundamentales las disposiciones de la directiva de 2006 que permite a los operadores de telecomunicaciones almacenar los datos telefónicos de sus clientes durante 6 a 24 meses para que las fuerzas policiales los utilicen con fines de prevención o investigación de actos de terrorismo y delitos graves. Se reiterará una solución similar en la sentencia Télé2Sverige , dictada el 21 de diciembre de 2016 por la cual los jueces europeos consideraron que” Artículo 15, El apartado 1 de la Directiva 2002/58, leído a la luz de los artículos 7, 8 y 11 y del artículo 52, apartado 1, de la Carta, debe interpretarse en el sentido de que excluye la legislación nacional que prevé, a efectos de la lucha contra la delincuencia , conservación generalizada e indiferenciada de todos los datos de tráfico y datos de ubicación de todos los suscriptores y usuarios registrados en todos los medios de comunicación electrónica ”. Por tanto, podemos ver que la lucha contra la ciberdelincuencia puede verse limitada por nuestros derechos y libertades fundamentales. Si bien en algunos Estados miembros de la Unión Europea todavía existe legislación para garantizar que los proveedores de servicios de Internet puedan retener datos con fines policiales, en otros Estados miembros se ha derogado la legislación nacional en el proceso tras la sentencia del TJUE. En estos Estados miembros, los proveedores de servicios de Internet conservan determinados datos con fines comerciales o contables, pero no tienen ningún dato disponible para respaldar específicamente las investigaciones penales. Las agencias señalan que “ tales desviaciones obstaculizan el trabajo de las autoridades cibernéticas competentes y pueden resultar en la pérdida de pistas de investigación y, en última instancia, afectar la capacidad de enjuiciar eficazmente la actividad delictiva en línea “. Por tanto, sería necesario un marco legislativo europeo que regule la ciberseguridad para garantizar una aplicación similar de las normas de la Unión en todo el territorio.
Por último, observamos que el campo de la ciberseguridad es extremadamente amplio y que, en ausencia de una legislación real que limite los peligros, las propias empresas deben poner en marcha medidas para limitarer el riesgo de ataque y ser capaz de afrontarlo, respetando los límites establecidos por la legislación, ya sea europea o nacional.
Eternoscorp está a su disposición para poner en marcha todas las medidas necesarias para hacer frente a los ciberataques, ya sea que desee poner en marcha una política preventiva o en caso de necesidad legal tras un ataque a su sistema.
[1] La técnica de ataque común del ciberdelito, ransomware o ransomware consiste en enviar software malintencionado a la víctima que cifra todos sus datos y exige un rescate a cambio de la contraseña de descifrado.
| 
Besoin de conseils en lien avec ce sujet ?
Faites appel à nos experts !
Que pensez-vous de cette analyse ?
Réagissez !