Una colaboración entre Lloyd’s, Guy Carpenter y CyberCube Analytics proporciona un análisis de las posibles vías de ciberataque a un objetivo industrial.

Este informe considera cuatro industrias clave de los ICS (fabricación, transporte marítimo, energía y transporte) y evalúa los precedentes y el impacto potencial en cada uno de ellos.

El potencial de los peligros físicos representa un punto de inflexión importante para el ecosistema de los ciberseguros en general. Según el informe, hasta ahora se consideraba improbable que este riesgo tuviera un impacto material en el mercado, ya que los riesgos cibernéticos han surgido tradicionalmente en forma de pérdidas no físicas.

Sin embargo, el hecho de cruzar la línea divisoria entre la tecnología de la información (TI) y la tecnología operativa (OT), junto con el aumento de la automatización y la sofisticación de los actores de las amenazas, significa que es primordial que las aseguradoras (re) consideren cuidadosamente cómo pueden ocurrir las pérdidas importantes y los impactos potenciales.

Conclusiones

  • El riesgo de un incidente ciberfísico de ICS está aumentando, especialmente para las entidades individuales.
  • Es probable que sólo un Estado-nación o un actor afiliado a un Estado-nación posea los recursos y el nivel de sofisticación técnica necesarios para un ataque malicioso orientado a los ICS.
  • Se consideran tres escenarios plausibles: (1) un ataque de malware orientado a la cadena de suministro, en el que los actores maliciosos violan a un fabricante de dispositivos y comprometen los productos de ese fabricante antes de la distribución; (2) un ataque dirigido a la vulnerabilidad de la Internet de las Cosas (IoT), en el que los atacantes explotan una vulnerabilidad en dispositivos IoT ampliamente utilizados que se encuentran en entornos industriales; y (3) la infiltración de las redes industriales de TI para cruzar el «espacio aéreo» de OT.

Tres escenarios, ¿tres caminos?

Según el informe, un evento de OT podría desencadenar un siniestro que provoque daños materiales y la pérdida de vidas en una entidad, llevar a una amplia labor forense, a la reparación y a la retirada de productos, según sea necesario, para limitar los daños adicionales. Sin embargo, actualmente es menos probable que se produzca un suceso que provoque daños materiales generalizados, interrupción de la actividad empresarial y costes humanos en varios centros.

Un ataque dirigido contra un centro industrial de gran importancia estratégica, económica o social (o cualquier combinación de estos factores) sería enormemente significativo.

Las tendencias continuas de una mayor adopción de la nube en las operaciones industriales, la convergencia de la TI y la OT, y la proliferación de la IO y la «fabricación inteligente» pueden exacerbar las preocupaciones de seguridad y aumentar los perfiles de exposición, añaden los expertos.

Seguros: límites y productos específicos

Por todo ello, el informe recomenda al Seguro seguir investigando y centrarse en el desarrollo y la mejora de la gestión de la exposición y las normas de suscripción en un área emergente de riesgo cibernético cuyos límites aún están por definir.

Además, solicitan que se continúe con la diligencia en torno al creciente potencial de agregación que podría hacer la transición de una amenaza específica para las carteras individuales a una que pueda agregarse en todo el mercado.

«El mercado de los seguros tiene un rico legado de adaptación a los riesgos emergentes y a las tendencias cambiantes. A medida que crece el riesgo de pérdidas ciberfísicas, es esencial que el mercado desarrolle productos y experiencia para atenderlo», añade el informe