Las organizaciones industriales no controlan la información publicada en Internet
Planos o fotografías de instalaciones, información de empleados o ex-empleados, y datos sobre elementos críticos del proceso, son algunos de los datos sensibles que las organizaciones industriales deberían evitar subir a la Red, ya que pueden permitir lanzar un ciberataque a infraestructuras críticas.
- El 70% de las empresas de infraestructuras críticas sufrieron una brecha en 2013
- Nueva guía para elaborar planes de seguridad y protección de infraestructuras críticas
- Check Point da las claves para proteger las infraestructuras críticas
- El 60% de los usuarios desconfía de Internet para compartir información confidencial
En su tercer Informe Técnico sobre Protección de Infraestructuras Críticas, S2 Grupo advierte que, pese a que las organizaciones industriales españolas cuentan con fuertes medidas de seguridad física, apenas controlan la información publicada en Internet acerca de sus instalaciones y procesos. Lo que no saben es que la existencia en Internet de información sensible puede poner en riesgo no sólo su negocio sino a la población a la que da servicio.
Al realizar su investigación, S2 Grupo ha encontrado en Internet información sensible perteneciente a organizaciones españolas de sectores como alimentación, industria química, energía nuclear, tratamiento y distribución de agua, transporte y administración pública, entre otros, unos datos pueden encontrarse fácilmente en proyectos de fin de carrera y tesis doctorales, pliegos de concursos públicos, artículos en revistas especializadas y casos de éxito, y ayudan a los cibercriminales a conseguir sus objetivos.
Para evitarlo, S2 Grupo facilita un decálogo de datos que las organizaciones industriales deberían evitar subir a la Red, incluyendo:
1. Información acerca de la red de control u otros equipos: arquitectura, marcas, modelos, protocolos empleados.
2. Información sobre el desarrollo de procesos físicos, a través de una descripción o de capturas de pantalla de las interfaces gráficas del software.
3. Información acerca de las personas que trabajan o trabajaron en las instalaciones en labores de diseño, construcción, mantenimiento y explotación.
4. Planos o fotografías de un espacio físico determinado.
5. Información sobre rutinas y procedimientos internos.
6. Reproducción de documentación propia, como albaranes, partes y formularios.
7. Información acerca del sistema de seguridad física: vigilantes rondas y sistemas de control de acceso.
8. Información acerca del sistema de seguridad lógica: arquitecturas, ubicación de firewalls, IDS, IPS, modelos, antivirus.
9. Datos sobre elementos críticos del proceso.
10. Sistemas de detección y respuesta ante emergencias.