Ciber Riesgos – Domingo Valero Mendoza
Transcripción
Ciber Riesgos – Domingo Valero Mendoza
“El único sistema seguro es aquel que está apagado y desconectado, enterrado en un refugio de cemento, rodeado por gas venenoso y custodiado por guardianes bien pagados y muy bien armados. Aun así, yo no apostaría mi vida por él”. (Eugene Spafford, profesor de ciencias informáticas en la Universidad Purdue (Indiana, EEUU) y experto en seguridad de datos) CIBER RIESGOS DOMINGO VALERO MENDOZA CURSO 2012-2013 CIBER RIESGOS CONTENIDO 1. INTRODUCCIÓN……………………………………………..….…......2 • Noticias internacionales……………………………………….….2 • Noticias nacionales………………………………………..…..…..3 • ¿Qué está ocurriendo?....................................................4 2. VULNERABILIDADES DE LOS SISTEMAS INFORMÁTICOS………………………………………………....….…5 3. AMENAZAS DE LOS SISTEMAS INFORMÁTICOS………………………………………………………9 • Amenazas lógicas………………………………………….…...….9 • Amenazas físicas……………………………………………....…16 4. CIBER RIESGOS………………………………………………....…..17 • Evolución……………………………………………………………17 • Impacto económico………………………………………...…….17 • Ámbito empresarial………………………………………...…….18 Principales ciber riesgos en la empresa…………………...19 Las pymes en el punto de mira…………………………..…24 Impacto en el negocio…………………………………..…...25 5. SOLUCIONES ASEGURADORAS…………………………...26 • Mercado Americano……………………………………………...26 • Mercado Europeo…………………………………………………28 • Mercado Español…………………………………………………31 • • • Principales coberturas………………………………….……31 Exclusiones………………………………………….………..33 Ejemplos de posibles incidentes………….………….……..35 Otras características………………………………...……….36 6. CONCLUSIÓN………………………………………………………….36 1 CIBER RIESGOS Haga Click sobre las noticias para leerlas 1.INTRODUCCIÓN Noticias internacionales Ataques informáticos afectaron a 550 millones de personas en el mundo. Aumentaron en un 30% entre el 2011 y el 2012. EFE 15 de Julio del 2013 Microsoft y el FBI desactivan una red mundial de cibercrimen. La organización robó más de 381 millones de euros desde cuentas bancarias en los últimos 18 meses ABC TECNOLOGÍA / Madrid Día 06/06/2013 - 13.43h Roban a Yahoo! datos de 22 millones de usuarios. Pide a sus abonados que cambien de contraseña El País Madrid 20 MAY 2013 - 14:59 CET Los ciberataques sustituyen al terrorismo como primera amenaza para EE UU. El Pentágono reconoce por primera vez que cuenta con equipos preparados para contraatacar en caso de que el país sufra intromisiones de piratas informáticos Eva Saiz Washington 13 MAR 2013 - 17:00 CET Robo de informació n: informá tico de 2012 7 de December de 2012 10:57 am principal incidente 2 CIBER RIESGOS Noticias nacionales Atención al virus informático de moda: «Policía Nacional, páguenos 100 euros». abc.es@ABC_es / Madrid Día 03/05/2013 - 09.52h Detienen en Barcelona al autor del mayor ataque de internet. Hace un mes las conexiones a internet se ralentizaron por culpa de un ciberataque de denegación de servicios DDOs F. / Madrid Día 29/04/2013 - 09.09h Identifican un nuevo troyano que roba las credenciales de redes sociales y bancos Ep / Madrid Día 13/04/2013 - 10.49h España está entre las víctimas de MiniDuke, un nuevo malware espía. ABC tecnología / Madrid Día 27/02/2013 - 19.51h Roban 5,8 millones de euros en cuentas españolas mediante un ataque informático abc.es / Madrid Día 05/12/2012 - 16.50h Un ataque informático bloquea durante unos minutos la nueva web del Senado Efe | Madrid lunes 12/11/2012 18:52 horas 3 CIBER RIESGOS ¿Qué está ocurriendo? El uso de Internet ha aumentado de forma exponencial en la última década, multiplicando por cuatro los 591 millones de usuarios del año 2.002 a casi 2.400 millones de usuarios en 2012. Además, Internet ha crecido en sofisticación y posibilidades de ingresos. Con el incremento de sitios de comercio electrónico, servicios de pago y banca online, intercambio de información entre empresas, particulares, etc, Internet se ha convertido en un cofre del tesoro repleto de dinero e información que ha resultado irresistible para los delincuentes. De repente, la información bancaria y de las tarjetas de crédito de miles de millones de personas ha sido potencialmente accesible para aquellos que aprovechan vulnerabilidades o estafan. La llegada de los medios sociales al final de la década ha supuesto otra oportunidad increíble para atacar la información personal y de identidad. Mientras que los objetivos de la ciberdelincuencia han crecido de manera exponencial, también lo han hecho las habilidades de estos ciberdelincuentes. Las ventajas técnicas han permitido que los cibercriminales puedan actuar más fácilmente y esconder mejor su propia identidad. Para los usuarios de Internet, ha sido una década de emocionantes avances online que nos permite comunicarnos, expresarnos y hacer negocio de forma nueva y distinta a lo conocido hasta entonces pero también ha sido una década de crecientes amenazas que han puesto nuestro dinero e identidad en peligro. Phising, Scam, pharming, ataques de denegación de servicio, redes zombi, son algunos de los ejemplos de las técnicas que utilizan los cibercriminales para realizar fraudes, sabotajes, robo de bases de datos de clientes, etc. Con este panorama, surgen nuevos riesgos a los que las empresas, independientemente de su tamaño, se enfrentan a diario. La idea de este trabajo es exponer las vulnerabilidades y amenazas que sufren los sistemas informáticos, con la finalidad de identificar y comprender mejor estos nuevos “ciber riesgos” a los que se enfrentan las empresas. Nos preguntaremos también si existen soluciones aseguradoras para mitigarlos y si proporcionan una adecuada protección. Quizás nos encontremos ante un nicho de mercado poco explotado por el sector. 4 CIBER RIESGOS 2.-VULNERABILIDADES DE LOS SISTEMAS INFORMÁTICOS Las vulnerabilidades suponen el origen del que derivan numerosos fallos de seguridad. Una vulnerabilidad en un programa informático o software es simplemente un error, un problema en su código o en su configuración. Es muy probable que los programas contengan errores, puesto que han sido creados por seres humanos. Esto es especialmente frecuente en el caso de las aplicaciones muy complejas (como por ejemplo, un sistema operativo), que tienden a contener errores de manera exponencial. La peculiaridad que convierte un simple fallo en una vulnerabilidad es la posibilidad de que el abuso de este defecto pudiera llevar a un riesgo de seguridad que compromete todo el sistema. Una vulnerabilidad es un fallo en un programa o sistema informático. Pero no cualquiera, sino un fallo de seguridad. Es necesaria esta distinción puesto que no todos los errores de programación derivan en fallos de seguridad. Un error en un programa puede llevar a que no funcione correctamente o que su comportamiento no sea el esperado, pero no todos estos tipos de problemas pueden considerarse fallos de seguridad. Según la capacidad de aprovecharse de este defecto, la vulnerabilidad será más o menos grave. Una vulnerabilidad se define, por varios factores que deben identificarla: 1. Producto Para definir una vulnerabilidad, lo primero que es necesario conocer es a qué productos afecta. Dentro de un mismo programa, incluso, puede afectar a una sola versión, a toda una rama o incluso a programas totalmente diferentes que compartan un mismo fallo. Este último supuesto ocurre cuando la aplicación afectada por la vulnerabilidad reside en sistemas operativos diferentes. Por ejemplo, todas las versiones de Windows comparten una buena cantidad de software, entre ellos, el propio núcleo del sistema. Una sola vulnerabilidad en el núcleo o kernel puede afectar a todas las versiones que lo contengan. 5 CIBER RIESGOS 2. Dónde Dentro de un mismo programa, una vulnerabilidad se localiza habitualmente en un componente o módulo. Los programas suelen componerse de varios módulos que interactúan entre sí. Una vulnerabilidad puede encontrarse en un módulo concreto del programa o bien por utilizar una configuración concreta. Por ejemplo, puede existir una vulnerabilidad en el módulo de interpretación de ficheros en formato RTF en Microsoft Word sin afectar al módulo que procesa otro tipo de ficheros. O en el módulo de procesado de ficheros MP3 en el programa de reproducción Winamp. Es posible que la vulnerabilidad no pueda ser aprovechada si este módulo no se encuentra activo. Por ejemplo, el módulo de procesamiento de JavaScript en documentos PDF no se encuentra activo por defecto en Adobe Reader. Si, por el contrario, el fallo se encuentra en un componente intrínseco al programa, no existe posibilidad de deshabilitar componentes. Esto puede ocurrir por ejemplo si se encuentra un fallo en el explorador de Windows o en su propio núcleo. 3. Causa y consecuencia ¿Cuál es el origen del problema? ¿En qué falló el programador? Esto se refiere al fallo técnico concreto que cometió el programador a la hora de crear la aplicación que es el origen de la vulnerabilidad. Por ejemplo, puede que no comprobase bien qué valores alojaba una variable, los límites de la memoria, o que olvidara establecer unos permisos adecuados a unos ficheros. Expertos recomiendan desactivar Java por un fallo de seguridad. Varios grupos de «hackers» se han aprovechado de esta vulnerabilidad en los últimos días Reuters | EP | Madrid viernes 11/01/2013 10:28 horas Las consecuencias técnicas de estos fallos suelen ser diferentes. Desde el desbordamiento de memoria hasta el consumo consecuencias excesivo suelen ser de memoria. siempre las Estas mismas derivadas de los mismos descuidos, y es lo que buscarán los cazadores de vulnerabilidades. Normalmente la causa de una vulnerabilidad es un fallo técnico de programación, una falta El catálogo de INTECO supera las 50.000 vulnerabilidades informáticas registradas 04/04/2012 de comprobación que permite que se den circunstancias indeseadas en el código durante 6 CIBER RIESGOS su ejecución 4. Impacto El impacto define en gran medida la gravedad de la vulnerabilidad. La ejecución de código arbitrario supone la mayor gravedad puesto que significa que el atacante podrá ejecutar cualquier programa en el sistema de su víctima. Por tanto, podría realizar cualquier acción. En estos casos, se dice que el sistema queda "comprometido" porque ha quedado en manos de la voluntad de un tercero. 5. Vector A la forma que tiene el atacante de aprovechar la vulnerabilidad se le conoce como “vector de ataque”. Un vector de ataque común es el envío de información especialmente manipulada a un puerto concreto del sistema. Otra forma de conseguir aprovechar una vulnerabilidad es creando un fichero manipulado que será procesado por ese programa. Por ejemplo, si se encuentra una vulnerabilidad en Word, es muy probable que el vector de ataque sea un archivo en formato .doc que aproveche la vulnerabilidad. Si la víctima lo procesa con un Word vulnerable, el atacante conseguirá el impacto deseado. Otros vectores de ataque pueden ser muy sencillos de llevar a cabo: como hacer que la víctima visite un enlace. Por ejemplo, muchas de las vulnerabilidades encontradas en los navegadores son aprovechadas por atacante creando una página web adulterada que, al ser visitada con el navegador vulnerable, aprovecha la vulnerabilidad. Por tanto, enviar un enlace a la potencial víctima, sería el vector de ataque en este caso, y el impacto, podría ser la ejecución de código. En un intento de clasificación podemos encontrar distintos tipos de vulnerabilidades en función del fallo de seguridad (simplemente las enuncio dado el nivel técnico de la definición de las mismas): • Configuración • Validación de entrada • Salto de directorio • Seguimiento de enlaces • Inyección de comandos en el sistema operativo • Secuencias de comandos en sitios cruzados (XSS) 7 CIBER RIESGOS • Inyección SQL • Inyección de código • Error de búfer • Formato de cadena • Revelación/Filtrado de información • Gestión de credenciales • Permisos, privilegios y/o control de acceso • Fallo de autenticación • Carácter criptográfico • Falsificación de petición en sitios cruzados (CSRF) • Condición de carrera • Error en la gestión de recursos • Error de diseño Como hemos visto, una vulnerabilidad es todo aquel fallo de seguridad que puede provocar que nuestro sistema informático sea susceptible de sufrir un ataque por una mala programación del mismo o una configuración errónea. Las vulnerabilidades están en directa interrelación con las amenazas porque si no existe una amenaza, tampoco existe la vulnerabilidad o no tiene importancia, ya que no se puede ocasionar un daño. Las vulnerabilidades son una puerta abierta a las amenazas. Pasamos a estudiar las diferentes amenazas a las que se enfrenta un sistema informático. 8 CIBER RIESGOS 3.-AMENAZAS DE UN SISTEMA INFORMÁTICO En cuanto a amenazas de un sistema informático podemos encontrar dos tipos diferenciados: las amenazas lógicas y las amenazas físicas. Amenazas Lógicas Las amenazas lógicas son las que provienen de software o código que de una forma u otra pueden afectar o dañar a nuestro sistema y de las técnicas y formas de interrumpir, interceptar o modificar tanto la información como los componentes del sistema informático. Encontramos multitud de software malintencionado y de técnicas para atacar los sistemas informáticos (vectores de ataque antes comentados): 1. MALWARE Programas malintencionados (virus, espías, gusanos, troyanos, etc.) que afectan a los sistemas con pretensiones como controlarlos o realizar acciones remotas, dejarlo inutilizable, reenvío de spam, etc. 2. EXPLOITS Son los programas que aprovechan una vulnerabilidad del sistema. Los exploits son utilizados como "componente" de otro malware ya que al explotar vulnerabilidades del sistema permite hacer uso de funciones que no estarían permitidas en caso normal. 3. VIRUS Secuencia de código que se incluye en un archivo ejecutable (llamado huésped), y cuando el archivo se ejecuta, el virus también se ejecuta, propagándose a otros programas. 9 CIBER RIESGOS 4. GUSANOS Programa capaz de ejecutarse y propagarse por sí mismo a través de redes, y puede llevar virus o aprovechar bugs (errores) de los sistemas a los que conecta para dañarlos. 5. TROYANOS Software malicioso que se presenta al usuario como un programa aparentemente legítimo e inofensivo pero al ejecutarlo le brinda a un atacante acceso remoto al equipo infectado. En la mayoría de los casos crean una puerta trasera (backdoor) que permite la administración remota a un usuario no autorizado. 6. ROGUEWARE Aplicación que intenta asemejarse a otra, ya sea por nombre o por apariencia, con la única finalidad de engañar y timar al usuario normalmente como falsos programas de seguridad, falsos antivirus o antispyware. También denominados Rogue, FakeAVs, Badware, Scareware. 7. BOMBAS LÓGICAS Las "bombas lógicas" son piezas de código de programa que se activan en un momento predeterminado, como por ejemplo, al llegar una fecha en particular, al ejecutar un comando o con cualquier otro evento del sistema. Normalmente, las bombas lógicas se utilizan para lanzar ataques de denegación de servicio al sobrepasar la capacidad de red de un sitio Web, un servicio en línea o una compañía. 8. SPYWARE Tipo de malware que consiste en programas espía que recopilan información sobre una persona o una organización sin su conocimiento. Esta información luego puede ser cedida o vendida a empresas publicitarias. Pueden recopilar información del teclado de la víctima pudiendo así conocer contraseñas, nº de cuentas bancarias, pines, etc... 10 CIBER RIESGOS 9. ADWARE Advertising-Supported software (Programa Apoyado con Propaganda), en otras palabras se trata de programas creados para mostrarnos publicidad, abriendo ventanas emergentes, de productos o servicios que subvencionan la aplicación. 10. RANSOMWARE También llamados criptovirus o secuestradores, son programas que cifran los archivos importantes para el usuario, haciéndolos inaccesibles, y piden que se pague un “rescate” para poder recibir la contraseña que permite recuperar los archivos. 11. INGENIERÍA SOCIAL Conjunto de técnicas psicológicas y habilidades sociales utilizadas de forma consciente y muchas veces premeditada para la obtención de información de terceros. El origen del término tiene que ver con las actividades de obtención de información de tipo técnico utilizadas por hackers. 12. SCAM Estafa electrónica por medio de engaño como donaciones, transferencias, compra de productos fraudulentos, etc. Las cadenas de mail engañosas pueden ser scam si hay pérdida monetaria y hoax (bulo) cuando solo hay engaño. 13. SPAM Correo o mensaje basura, no solicitados, no deseados o de remitente no conocido, habitualmente de tipo publicitario, enviados en grandes cantidades que perjudican de alguna o de varias maneras al receptor. Suele ser una de las técnicas de ingeniería social basada en la confianza depositada en el remitente, empleadas para la difusión de scam, phising, hoax, malware, etc... 11 CIBER RIESGOS 14. PHISING Del inglés "fishing" (pescando), se utiliza para identificar la acción fraudulenta de conseguir información confidencial, vía correo electrónico o página web, con el propósito de que los usuarios de cuentas bancarias lo contesten, o entren a páginas aparentemente iguales a la del banco, etc. 15. PHARMING Redirigir un nombre de dominio (domain name) a otra máquina distinta. De esta forma, un usuario que introduzca un determinado nombre de dominio que haya sido redirigido, accederá en su explorador de internet a la página web que el atacante haya especificado para ese nombre de dominio 16. SNIFFING Un sniffer es un programa informático que registra la información que envían los periféricos, así como la actividad realizada en un determinado ordenador. Rastrea monitorizando el tráfico de una red para hacerse con información confidencial. 17. SPOOFING Uso de técnicas de suplantación de identidad generalmente con usos maliciosos. Se pueden clasificar los ataques de spoofing, en función de la tecnología utilizada. Entre ellos tenemos el IP spoofing (quizás el más conocido), ARP spoofing, DNS spoofing, Web spoofing o email spoofing, aunque en general se puede englobar dentro de spoofing cualquier tecnología de red susceptible de sufrir suplantaciones de identidad. 12 CIBER RIESGOS 18. PASWORD CRACKING Descifrar contraseñas de sistemas y comunicaciones. Los métodos más comunes son mediante sniffing, observando directamente la introducción de contraseñas (shoulder surfing), ataques de fuerza bruta probando todas las combinaciones posibles, etc. 19. BACKDOORS Es un método para eludir los procedimientos habituales de autenticación al conectarse en una computadora. Una vez que el sistema ha sido comprometido, puede instalarse una puerta trasera para permitir un acceso remoto más fácil en el futuro de los atacantes. Los hackers suelen usar puertas traseras para asegurar el acceso remoto a una computadora, permaneciendo ocultos ante posibles inspecciones, utilizando troyanos, gusanos u otros métodos. 20. BOTNET O RED ZOMBI Estas redes son conjuntos de ordenadores infectados software que con han un sido tipo malicioso, de con funcionalidad de puerta trasera (backdoor), atacante que permite controlar al dichas maquinas sin tener acceso físico a ellas y sin el conocimiento del propietario. De este modo, el atacante puede utilizar las maquinas infectadas para llevar a cabo diferentes acciones ilegales como ataques de denegación de servicio, spam, fraudes, anonimato al dificultar la trazabilidad de una comunicación, computación distribuida ya que utiliza la capacidad de procesamiento de todos los equipos, etc. 21. ATAQUE DDoS Ataque distribuido de denegación de servicio, también llamado ataque DDoS ( Distributed Denial of Service) el cual se lleva a cabo generando un gran flujo de información desde varios puntos de conexión que provoca la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima. La forma más común de realizar un DDoS es a través de una botnet. 13 CIBER RIESGOS 22. PROGRAMAS CONEJO O BACTERIAS Programas que no hacen nada, solo se reproducen rápidamente hasta que el número de copias acaba con los recursos del sistema (memoria, procesador, disco, etc.) 23. KEYLOGGERS Y STEALERS Estos programas están encaminados al aspecto financiero, la suplantación de personalidad y el espionaje. Los Keyloggers monitorizan todas las pulsaciones del teclado y las almacenan para realizar operaciones fraudulentas como son pagos desde cuentas de banco o tarjetas de crédito. La mayoría de estos sistemas son usados para recopilar contraseñas de acceso, espiar conversaciones de chat u otros fines. Los Stealers también roban información privada pero solo la que se encuentra guardada en el equipo. Al ejecutarse comprueban los programas instalados y si tienen contraseñas recordadas, por ejemplo en los navegadores web la descifran. 24. ROOTKITS Conjunto de herramientas usadas frecuentemente por los intrusos informáticos o hackers que consiguen acceder ilícitamente a un sistema informático. Estas herramientas sirven para esconder los procesos y archivos que permiten al intruso mantener el acceso al sistema, a menudo con fines maliciosos. 25. TÉCNICA DEL SALAMI Técnica por la que rodajas muy pequeñas apenas perceptibles, de transacciones financieras, se van tomando repetidamente de una cuenta y se transfieren a otra. Consiste en introducir a los programas algunas instrucciones o condiciones para que envíe a una determinada cuenta los céntimos de dinero de muchas cuentas corrientes. 26. WHALING Se trata de un ataque de carácter económico, que consiste en enviar a personas de influencia y alto poder adquisitivo, como empresarios, autoridades y gerentes, un correo electrónico, supuestamente emanado de un tribunal, donde se solicita hacer click en un enlace determinado con el fin de recibir una citación judicial. Cuando la víctima hace click en el enlace le aparece un documento de aspecto oficial que, sin embargo, contiene código maligno que se introduce en el ordenador del usuario 14 CIBER RIESGOS captando información personal, y permitiendo al ciberdelincuente asumir el control del sistema. 27. SCUMWARE Es un tipo de software similar al spyware, que modifica en tiempo real los sitios web (u otras aplicaciones), cambiando la apariencia de la página, su contenido y estructura sin permiso del usuario que visita dicho sitio. Es decir que una vez alojados en el sistema del usuario, puede modificar los banners de publicidad, agregar información falsa en las páginas, añadir enlaces publicitarios sin permiso, etc. De esta forma, el usuario pensando que el sitio web promociona un enlace o un banner, ingresará al mismo y será redirigido a un sitio dañino. 28. DRIVE BY DOWNLOADS Son sitios que instalan spyware o códigos que dan información de los equipos. Generalmente se presentan como descargas que de algún tipo, se efectúan sin consentimiento del usuario, lo cual ocurre al visitar un sitio web, al revisar un mensaje de correo o al entrar a una ventana pop-up. El proceso de ataque Drive-by Downloads se realiza de manera automática mediante herramientas que buscan en los sitios web alguna vulnerabilidad e insertan un script malicioso dentro del código HTML. 29. HIJACKERS Son programas que realizan cambios en la configuración del navegador web, cambiando la página de inicio por páginas con publicidad, pornográficas u otros re direccionamientos con anuncios de pago o páginas de phishing bancario. Ésta es una técnica que suplanta al DNS, modificando archivos hosts, para redirigir el dominio de una o varias páginas a otras, muchas veces una web falsa que imita a la verdadera. Comúnmente es utilizada para obtener credenciales y datos personales mediante el secuestro de una sesión. 15 CIBER RIESGOS Amenazas Físicas Paso a enunciar brevemente y sin entrar en detalle este tipo de amenazas ya que, este estudio, se centra en riesgos provenientes de vulnerabilidades y amenazas basadas en software. Las amenazas físicas de un sistema informático son amenazas que pueden provocar que la información no esté accesible o no sea fiable por error o daño en el hardware como daños en discos duros, en los procesadores, errores de funcionamiento de la memoria, etc. Las principales amenazas al hardware de una instalación informática son: 1. Desastres naturales: Las instalaciones de procesos de datos se encuentran sometidas a todo tipo de amenazas y catástrofes naturales como terremotos, inundaciones, tormentas eléctricas, etc… que pueden provocar la interrupción del funcionamiento y, en muchos casos, la destrucción del sistema. 2. Alteraciones del entorno: Incendios, inundaciones accidentales, fallos y alteraciones del suministro eléctrico, las radiaciones electromagnéticas, ruido eléctrico, cambios de temperatura, humo, polvo, humedad excesiva, etc…pueden alterar el funcionamiento de los equipos y los datos almacenados de forma magnética. 3. Amenazas ocasionadas por el hombre: El punto más débil de un sistema informático son las personas relacionadas en mayor o menor medida con él. Estas amenazas pueden provenir de: • Sucesos accidentales como errores de utilización, de explotación, de ejecución de procedimientos por empleados descuidados, por inexperiencia o falta de preparación, descontento, pérdida de hardware de la empresa, errores en la utilización de las herramientas y recursos del sistema, etc… • Actuaciones malintencionadas como robo, fraude, sabotaje, espionaje industrial o comercial, con acceso físico al sistema. 16 CIBER RIESGOS 4.-CIBER RIESGOS Evolución Pocos años atrás, las primeras generaciones de hackers solo anhelaban tocar, estudiar, asaltar las máquinas y redes de las empresas y universidades, porque sólo éstas podían pagarlas. Eran hackers por necesidad, la informática de la época era escasa y cara y tenían que buscarse la vida para tener herramientas, información, acceder a redes e investigar cómo funcionaban. La mayoría acabó trabajando para las empresas que hackearon. Hoy en día, por el contrario, la amenaza más grave proviene del cibercrimen, entendido como sinónimo de los diversos ilícitos penales y ataques a través de medios telemáticos: robo de información, fraudes, sabotajes, delitos contra el honor y la intimidad, propiedad intelectual e industrial y una interminable lista de infracciones tecnocriminales perpetradas por verdaderas bandas organizadas de crimen tradicional que han puesto sus ojos en la red. A eso se suma que los ataques ya no están limitados a una sola plataforma tecnológica, como son los computadores de escritorio, sino que hoy en día son vulnerables los teléfonos inteligentes, las tabletas e incluso la información o los datos almacenados en ‘la nube’ (cloud computing). Hay que recordar que esos dispositivos con frecuencia almacenan información sensible de las personas o de sus compañías y que por ello son blanco de los ataques, lo que les genera huecos de seguridad adicionales a las corporaciones. Impacto económico Con el objetivo de medir las pérdidas económicas y de puestos de empleo que supone el cibercrimen, McAfee junto con una de las instituciones internacionales para la defensa y la seguridad, el Center for Strategic and International Studies (CSIS) han 17 CIBER RIESGOS colaborado para elaborar el primer informe que cuantifica el impacto económico del cibercrimen. Han creado una metodología para estimar adecuadamente estas pérdidas, que pueden extenderse a nivel mundial. Dichos investigadores utilizaron analogías del mundo real como datos de accidentes de tráfico, piratería, robos, crímenes y drogas para crear el modelo. El CSIS clasificó la actividad cibermaliciosa en seis áreas: Pérdida de propiedad intelectual Pérdida de información empresarial confidencial, incluyendo la posible manipulación del mercado bursátil Costes de oportunidad, incluyendo interrupción de servicio y descenso de la confianza para actividades en la red Coste adicional de garantizar la seguridad de las redes y recuperación a partir de ciberataques Daño de la reputación de la empresa atacada Teniendo en cuenta todas estas áreas resultó un coste a la economía global de entre 100.000 y 500.000 millones de $, lo que viene a ser entre un 0,15%-0.7% del PIB mundial. Extrapolando estos datos a España tendríamos un impacto medio de unos ¡¡ 5.000 millones de euros!! Ámbito empresarial Los delitos cibernéticos se han convertido en el pan de cada día para muchas organizaciones. Aunque algunos son imperceptibles otros estallan en diferentes direcciones afectándolas considerablemente al no contar con una infraestructura de gestión de riesgos que les permitan enfrentar acertadamente esas amenazas. Al tratarse de un fenómeno relativamente nuevo y en constante evolución, los hackers hacen de las suyas en Peligro: ciberataques a empresas. Una oleada de fraudes en Twitter y Facebook revela la fragilidad y los elevados riesgos que corren las marcas, incluso las más grandes, en las redes sociales Miguel Ángel García Vega 3 MAR 2013 - 01:00 CET las redes para manipular la información ante las debilidades que presentan las empresas en sus plataformas tecnológicas. 18 CIBER RIESGOS Las noticias lo confirman. Cientos de empresas se ven afectadas cotidianamente por diversas amenazas. Los ciberdelincuentes son cada vez más adeptos a infiltrarse en las redes corporativas sin desencadenar una alerta de intrusión, desviando la información fácilmente, haciendo uso indebido de sitios web, realizando fraudes y robo de la propiedad intelectual. Y a raíz de estos hechos delictivos, surgen una serie de hechos conexos que perturban a las organizaciones como la pérdida de credibilidad que puede sufrir con los ataques cibernéticos y quebrantos económicos que ponen en aprietos a las organizaciones. Todas las compañías, independientemente de su tamaño, son objetivos para los hackers. Principales ciber riesgos en la empresa Uno de los principales riesgos deriva de la seguridad de los datos que, de forma masiva, las empresas almacenan en formato electrónico. Resulta crucial que estos datos, que se caracterizan por su naturaleza sensible (información de facturación, bancaria, datos de clientes y empleados, información corporativa confidencial, etc., ) se almacenen de forma segura y protegida de cualquier intento de violación, intrusión, acceso indebido o robo. Y no solo nos referimos a ataques a través de los sistemas o internet; el simple robo o pérdida de un ordenador, un dispositivo externo de almacenamiento de datos, o el envío de un correo electrónico por error que contenga alguno de estos datos, puede suponer una potencial amenaza de sufrir pérdidas o reclamaciones. De acuerdo con un estudio realizado por Price Waterhouse Coopers, un solo incidente de pérdida de datos cuesta a las empresas una media de 7.500 €. Gartner (Empresa consultora y de investigación de las tecnologías de la información) también revela que el 80% de las empresas que sufren una pérdida de datos importante o un fallo durante más de 24 horas cierran al cabo de un año. En nuestro país, las cosas no son muy diferentes que en el resto. El 20% de las empresas españolas ha perdido información corporativa tras la desaparición o robo de dispositivos móviles. A pesar de estos datos, el 36% de las compañías permite a sus empleados acceder sin ningún tipo de restricción a los recursos de la empresa desde sus smartphones. Además, sólo el 8% de las compañías en España tiene entre sus planes introducir algún tipo de control estricto en el uso de dispositivos personales 19 CIBER RIESGOS En cuanto a la custodia de información, el último informe de la consultora KPMG revela que, en el año 2012, España suponía el 1,9% de los casos mundiales de incidentes relacionados con la pérdida de datos. Por sectores, los datos son, igualmente, muy relevantes: Como podemos observar el mayor causante de pérdida de datos es con diferencia la piratería informática o hacking en sectores como el gobierno (62%), servicios 20 CIBER RIESGOS financieros (35%), venta al por menor (76%), tecnología (74%), medios de comunicación (98%), despachos de abogados (63%) y mercados industriales (63%). Debemos tener en cuenta la importancia de la información que las empresas y los usuarios almacenan; bases de datos de clientes, proveedores, datos económicos, propiedad intelectual, propiedad industrial, número de tarjetas de crédito, contraseñas, información contractual, datos de investigación, expedientes, números de teléfono, direcciones, y un largo etcétera. El último grito en este terreno es el Cloud Computing (computación en la nube). En lugar de comprar programas que se quedan desfasados en poco tiempo y de comprar capacidad de almacenaje que cada vez es agota antes, traslademos estas funciones a macro estructuras que nos permitan alquilar en función de las necesidades de cada momento. Pues bien, incluso Microsoft a través de una de sus filiales al hacer un traspaso de datos, perdió miles de estos de sus clientes por no haber hecho correctamente la copia de seguridad. Otro riesgo importante es la extorsión. Los ciberdelincuentes se ponen en contacto con la empresa víctima para exigirle el pago de una cantidad económica so pena de colapsarles los servidores e imposibilitarles prestar sus servicios durante un lapso de tiempo lo suficientemente largo como para generarles importantes perjuicios económicos; o viceversa, les atacan vía DDoS y luego les exigen el pago de una cantidad económica a cambio de devolverles la disponibilidad de su portal web. Podemos imaginar el grave perjuicio económico para una empresa de venta online que puede generarle que su web no esté disponible durante horas o días. Importante también mencionar el grave perjuicio en cuanto a imagen y confianza de los clientes actuales y potenciales si se llega a hacer público un incidente de este tipo. Es más, si el virus es de las últimas generaciones, puede incluso utilizar los sistemas infectados como plataforma de ataque a otras organizaciones, añadiendo el riesgo de que éstas reclamen responsabilidad por los daños producidos a la empresa desde la que se ejecutó inadvertidamente el ataque. ¿Y si se produce el robo de información confidencial de clientes y ésta se utiliza posteriormente para cometer fraudes?¿Y una intromisión en la intimidad o daño a la reputación? Son ejemplos de posibles demandas por responsabilidad que la empresa tendría que asumir. Las empresas, cada una a su nivel, dedican ingentes cantidades de esfuerzo y dinero por construir marcas, por trasladar una imagen de servicio, de trabajo bien hecho, 21 CIBER RIESGOS seriedad, compromiso con la sociedad y de repente llega alguien en un blog y critica nuestro producto, nuestro servicio y no solo eso, sino que surgen decenas o cientos de voces que se le unen y lo que es peor, que los comentarios quedan, allí, de forma permanente y a los ojos de cualquiera. Más allá del riesgo reputacional y de las pérdidas económicas que puede acarrear la paralización de la actividad o la imputación de responsabilidad, otra de las implicaciones de sufrir un robo de datos personales de terceros son las multas y sanciones con las que la empresa puede ser castigada en los distintos países en los que opere. La Unión Europea está preparando una nueva directiva por la que las empresas estarán obligadas a demostrar la efectividad de sus modelos de seguridad, y deberán crear además la figura del Delegado de Protección de Datos (Data Officer) en compañías de más de 250 empleados. Aunque uno de los aspectos del borrador que quizás más inquietud esté generando es el posible aumento de las sanciones económicas por incumplimientos de la ley. España ya cuenta con una de las legislaciones más restrictivas (LOPD) y exigentes de Europa, con sanciones que pueden llegar hasta los 600.000 €. Sin embargo, la directiva europea en proyecto contempla sanciones de hasta 1 millón de euros o el equivalente al 2% de la facturación anual de la empresa infractora. Por lo tanto, los ciber riesgos empresariales más frecuentes y perjudiciales para la empresa son: • Robo/pérdida de información/datos • Extorsión • Robo de propiedad intelectual • Paralización del negocio • Hackeo de perfiles y correos corporativos • Pérdida de imagen corporativa • Sanciones por incumplimiento de la LOPD • Daños a terceros como consecuencia de las anteriores 22 CIBER RIESGOS Los ciber riesgos son reales y están ocurriendo actualmente en las empresas. Sus principales características son: Afectan a todos los sectores, organizaciones y gobiernos; el número de violaciones de datos así como sus costes asociados está creciendo exponencialmente Intencionalidad en muchas ocasiones e incertidumbre en sus consecuencias Inicialmente no son fácilmente detectables; puede pasar un largo periodo de tiempo hasta que se muestran sus efectos siendo necesaria la involucración de personal cualificado. Evolucionan rápida y constantemente y sus consecuencias alcanzan a múltiples áreas de las organizaciones propagándose a gran velocidad por los medios tecnológicos actuales Su alcance es global; pueden afectar a diversos países, legislaciones y jurisdicciones donde opera la empresa o sus clientes y proveedores La vulnerabilidad de las empresas por ataques informáticos o violaciones de la seguridad es cada día mayor, de hecho 3 de cada 4 han sido víctimas de un ciber ataque en el último año. Y lo que es peor, el 66% de las compañías que sufrieron un ciber siniestro han tardado meses (incluso años) en enterarse. 23 CIBER RIESGOS Las pymes en el punto de mira A pesar de la gravedad de estas amenazas, la mayoría de los estudios actuales muestran una gran complacencia empresarial respecto a este riesgo que, según los expertos, es uno de los mayores de nuestra era, tanto por frecuencia como por impacto. Muchos negocios desestiman la probabilidad de que les toque a ellos, pensando que sólo los organismos militares, gubernamentales o las grandes marcas son objetivos apetecibles para los ciberdelincuentes. Nada más alejado de la realidad. Prácticamente todos los días aparecen en los medios Las pymes, el blanco de ciberataques de los hackers El 31% de los ataques cibernéticos son contra pequeñas y medianas empresas Misael Zavala Madrid 10-06-2013 15:14 noticias sobre alguna gran firma internacional que ha sufrido estos ataques, con el consiguiente daño a su marca, reputación y cuenta de resultados. Son los casos más sonados. Sin embargo, los estudios apuntan que son las pequeñas empresas las que están registrando un mayor crecimiento en el número de ciber ataques. De hecho, casi la mitad de los incidentes confirmados el pasado año se produjeron en empresas de menos de 1.000 empleados, con un crecimientos del 31% en empresas de menos de 250 empleados ya que son las más frágiles por tener una menor seguridad en los ordenadores y redes a lo que destinan pocos recursos, y a través de ellas los ladrones pueden obtener información de las grandes empresas, robar identidades, información financiera o de sus clientes. Pese a estos datos, sólo dos tercios de las empresas restringen el acceso a los que tienen información de ingreso, el 63% no protege los equipos utilizados para la banca en línea y el 9% no toma precauciones adicionales. Además, más de la mitad, el 61% no utiliza antivirus en todos los equipos de escritorio y el 47% no tiene medidas de seguridad en servidores y servicios de correo electrónico. El sector manufacturero es el preferido por los delincuentes cibernéticos. Un 24% de los ataques se dirigen a esta industria. Mientras que el sector de finanzas y seguros ocupa el segundo lugar con un 19% de ataques, seguido por servicios no tradicionales con un 17%, Gobierno un 12%, sector energético un 10% y servicios profesionales un 8%. 24 CIBER RIESGOS Impacto en el negocio ¿Qué valor tienen los datos para la estrategia de la empresa? ¿Y la propiedad intelectual, cuanto de ésta depende el peso comercial de la compañía? ¿Qué ocurre con la imagen de marca cuando un intruso hackea la cuenta de Twitter o el correo electrónico de un CEO? El impacto en el negocio abarca: • La pérdida de beneficios que se derivaría de no poder operar por Internet, realizar ventas, distribuir sus productos o acceder a los datos de sus clientes. • El coste de la recuperación de los datos en caso de secuestro. • El coste en imagen y pérdida de confianza de los clientes y usuarios afectados por un ataque. • El coste de contratar asesores legales para que le informen sobre cómo notificar el incidente a sus clientes. • Un incidente grave de seguridad TI puede costar 500.000 euros a la gran empresa Las campañas de relaciones públicas posteriores En el caso de las pymes el coste es de 38.000€ para intentar restaurar la imagen de marca. • Las demandas de terceros por responsabilidad civil. • Las multas y sanciones de los organismos reguladores de protección de datos. 25 CIBER RIESGOS 5.SOLUCIONES ASEGURADORAS La visión tradicional del sector asegurador sobre la seguridad de la información comparte el mismo temor que el resto de los sectores de la sociedad. Tradicionalmente, la cobertura ha venido asociada a la protección de activos tangibles, pero ¿qué sucede cuando vale más la información que contiene un ordenador que el ordenador en sí mismo? La aún escasa oferta de cobertura de riesgo electrónico proviene de pólizas de amplio recorrido en otros países de nuestro entorno económico, sobre todo anglosajón. En estos países, el seguro complementa toda estrategia de gestión de riesgos. Mercado Americano El origen de estas soluciones lo encontramos en Estado Unidos, en la década de 2000, con el boom de las empresas “puntocom”, algunas compañías de seguros comenzaron a desarrollar un producto diseñado para hacer frente a las pérdidas financieras que pudieran surgir de una violación de datos de estas empresas. Esta fue una época donde la mayoría de las empresas tradicionales estaban empezando a aprovechar el potencial económico de Internet. En ese momento las aseguradoras querían aprovechar el filón de las grandes empresas "puntocom", como Amazon, Yahoo, eBay, Google, etc, y otras empresas pioneras de comercio electrónico. Bautizaron estas pólizas como "seguros cibernéticos” y los pioneros en adoptarlas fueron las empresas de comercio electrónico, las grandes instituciones financieras y los proveedores de servicios de tecnología. Las primeras pólizas solo cubrían fallos de seguridad “técnica” a las que se fueron añadiendo, años más tarde, coberturas de responsabilidad civil, pérdida de beneficios, extorsión cibernética, etc. pero no tuvieron el desarrollo esperado. Dos hechos hicieron que se desarrollaran exponencialmente este tipo de seguros: En primer lugar, el 1 de julio de 2003 se aprobó en California la ley sobre notificación de la vulneración de las medidas de seguridad. Aunque se trataba de una ley de rango estatal, sus efectos abarcaron a un amplio espectro de empresas en todo el país, 26 CIBER RIESGOS sujetos al cumplimiento de esta nueva ley. En virtud de dicha ley toda empresa que diera a conocer de forma accidental o de cualquier otra forma "información personal" de cualquier residente de California, debía revelar este hecho a la persona afectada dentro de un período razonable. Tal y como está formulada la ley, cualquier empresa que mantuviera relaciones comerciales con cualquier residente de California también estaba obligado a cumplir dicha ley. El Acta de Notificación de Violaciones a la Seguridad indicaba lo siguiente: • La revelación de los datos puede realizarse en cualquier momento que se estime oportuno. • Las compañías no pueden compartir los datos con sus filiales sin el consentimiento del consumidor. “La revelación de los datos debe hacerse en el momento más oportuno y sin excesivo retraso ”. (Sec. 2(a)). Con esta ley se pretende asegurar que el consumidor se entere de que sus datos están siendo recibidos por personas no autorizadas. La ley SB 1386 provee al consumidor del “derecho de actuación”, con el fin de presentar una demanda civil contra cualquier organización que no cumpla la ley. Esta medida legal de presión es única para este estado, ya que la mayoría de las demandas federales no proveen al consumidor del “derecho de actuación”. Con la SB 1386 y la posterior aprobación de las leyes de notificación de otros 45 estados se acabo con la práctica habitual de ocultar estas violaciones de seguridad. Se exigió a las empresas a incurrir en gastos directos significativos para investigar las violaciones de seguridad y cumplir con las leyes aplicables. Como resultado comenzó la presentación de gran cantidad de demandas colectivas después de la comunicación de grandes brechas de seguridad. Como tal, la cobertura del seguro cibernético pasó de ser una cobertura frente a un riesgo hipotético de futuras demandas, a una cobertura frente a un riesgo real. Además, poco después de la aprobación de la SB 1386 muchas pólizas de seguro cibernéticos comenzaron a incluir entre sus coberturas los costes directos asociados con el cumplimiento de las leyes de notificación, incluyendo honorarios de abogados , gastos de investigación forense , los costos de impresión y envío, gastos de los call center, etc. ya que todos estos gastos de notificación son directos e inevitables, por lo tanto, independientemente del contenido de las demandas, una justificación económica directa para la cobertura del seguro cibernético ya existía. 27 CIBER RIESGOS El otro cambio, que se ha producido de manera gradual en el tiempo, pero que ha tenido un impacto significativo sobre la frecuencia y magnitud de las violaciones de datos, ha sido la aparición del crimen organizado en la red. A principios del decenio de 2000 la piratería no era más que una pequeña molestia de unos pocos individuos con el fin de fanfarronear. Los hackers de la época querían que se hablara de sus hazañas. Sin embargo, en nuestros días hablamos de verdaderos criminales, a los que se les ha abierto la posibilidad de realizar sus delitos a miles de km de distancia con casi ninguna posibilidad de ser descubiertos. Se ha convertido en una implacable máquina de ciber crimen abierta 24 horas al día y 365 días al año, constantemente atacando y buscando nuevas maneras de hacerlo, y con la sensación de ir siempre un paso por delante de los que los buscan para detenerlos. Por lo tanto, en Estados Unidos, el mercado de seguros cibernéticos es un mercado que está mucho más establecido que en Europa. Empresas de todos los tamaños suscriben este tipo de pólizas ya que son conscientes de los riesgos de la red y los consideran una compra obligatoria. La fuerte competencia entre aseguradoras ha hecho que las primas disminuyan y por tanto sean accesibles a empresas de cualquier tamaño. Las primas se mueven entre unos pocos miles de dólares para coberturas base en empresas con facturación por debajo de 10MM$ a varios cientos de miles de dólares, e incluso por encima del millón, para grandes empresas con la cobertura más amplia. Según datos de la correduría MARSH, el número de clientes que ha suscrito ciber seguros en EEUU ha aumentado un 33% en 2012, con los mayores incrementos en el sector servicios, con un 76%, y en educación, con un 72% de incremento. También se ha producido un aumento del 20% en la cobertura de sus clientes. Con un mercado en pleno desarrollo como el americano no es extraño encontrar innumerables ejemplos de compañías y brokers que ofrecen estas pólizas como AIG, CHUBB, ACE, AXIS, OVAL, MARSH, HISCOX USA, GREAT AMERICAN y así hasta más de 30. Mercado Europeo La Unión Europea carece de un mercado de ciber-seguridad desarrollado que permita a las empresas mejorar la protección de sus sistemas y datos, según asegura un reciente informe de la Agencia Europea de Seguridad de Redes e Información (ENISA) en el que se recoge que las compañías de seguros tradicionales en Europa no han entrado aún en este tema. Los datos disponibles sugieren que el mercado de la ciber28 CIBER RIESGOS seguridad europeo se sitúa muy por detrás del norteamericano y, por ejemplo, en el Reino Unido hay solo un puñado de compañías de seguros que ofrecen productos de ciber-seguridad, comparado con las 30 ó 40 firmas de seguros especializadas en Estados Unidos. Si bien la seguridad cibernética es una preocupación importante para los responsables políticos europeos y nacionales, empresas y ciudadanos, la cobertura tradicional ofrecida por los proveedores de seguros de Europa puede que, con algunas excepciones, no aborde de manera exhaustiva los riesgos digitales. Los obstáculos para el desarrollo de un mercado de la seguridad cibernética efectivo incluyen la falta de datos actuariales sobre la magnitud del riesgo y la incertidumbre sobre qué tipo de riesgos deben estar asegurados. Para abordar estas cuestiones, ENISA propone cuatro recomendaciones: • La recopilación de datos empíricos sobre ciber seguros en Europa, mirando a los tipos de riesgos asegurados, las primas pagadas y los niveles de pagos para determinar las tendencias futuras. La acción puede ser llevada a cabo por las empresas aseguradoras, empresas o las autoridades reguladoras • El examen de los incentivos a las empresas para mejorar la seguridad de sus datos como una manera para que puedan reducir su riesgo y responsabilidad financiera si violan las normas de protección de datos. Encontrar hechos junto con la Comisión Europea sería un primer paso para la comprensión de esta área. • El establecimiento de marcos acordados para ayudar a las empresas a poner un valor cuantificable de su información. El trabajo podría ser asistido por asesores de seguridad de la privacidad y la información, suscriptores y la Comisión Europea. ENISA también podría proporcionar un mayor apoyo. • Una exploración de la función de los gobiernos como un asegurador de último recurso, siguiendo otros modelos en los que la intervención política queda en evidencia cuando se trata de riesgos catastróficos. Esto podría ser investigado por los gobiernos de los Estados miembros de la UE y por la Comisión Europea. El Director Ejecutivo de ENISA, el Profesor Udo Helmbrecht, comentó: "Este nuevo informe de ENISA indica que hay potencial para las políticas europeas de seguridad cibernética y la legislación debe ser complementada por un mercado de seguros cibernéticos centrado en la prevención. Además de proporcionar seguridad, un 29 CIBER RIESGOS mercado desarrollado en esta área ayudaría a mejorar los niveles de seguridad cibernética poniendo un coste real a los incidentes cibernéticos y mostrando los beneficios de implementar buenas prácticas de seguridad. " Finalmente, el mercado de la ciber-seguridad puede contribuir al bienestar social de todos si además de aplicar sus recursos en el sector privado, lo hace también en el sector público”, mantiene la Agencia Europea. Hay varias medidas que los responsables políticos europeos pueden adoptar para poner en orden y potenciar el desarrollo del mercado de la ciber-seguridad. Estas incluyen ayudar a las víctimas de ataques contra sus datos, lanzar procedimientos legales privados, obligando a las empresas a preservar su seguridad en Internet si quieren acceder a contratos públicos y desarrollando métodos fiables que permitan medir los costes de las brechas tecnológicas de una amplia gama de compañías a nivel europeo. “En un primer momento, cuando se pierden datos personales, las víctimas suelen recurrir a diversos colectivos para actuar, pero su capacidad de respuesta es limitada, a menos que se considere este hecho como una ataque a un derecho fundamental y no un simple derecho de propiedad privada con el que se puede hacer negocio, asegura la agencia. Las autoridades competentes en Europa no están ni siquiera creando organismos competentes en la protección de datos, asegura ENISA. Una de las razones por las que el mercado de la ciber-seguridad no consigue despegar es la falta de datos claros sobre los costes e implicaciones que acarrean los ataques. Las organizaciones sin ánimo de lucro, compañías comerciales y agencias del gobierno se están danto cuenta del creciente número de datos e informes al respecto. Sin embargo, los que toman las decisiones no saben qué creer y si hay informes más fiables que otros. La misma falta de decisión se observa en las compañías de seguros a la hora de fijar los riesgos de seguridad de este tipo y fijar su alcance. Un ejemplo de reciente de intervención regulatoria en este asunto pudo comprobarse en Estados Unidos, donde la Comisión de Valores y Bolsa (SEC) solicitó en 2011 que todas las firmas reguladas desvelaran el riesgo de los incidentes en Internet. Las expectativas del mercado es que las empresas cotizadas deben demostrar que manejan correctamente estos riesgos. 30 CIBER RIESGOS La demanda de políticas al respecto también depende de la capacidad de las empresas para medir el valor de su información. La Comisión Europea podría trabajar con proveedores de seguros, además de consultores privados de seguridad, para establecer espacios comunes que logren este propósito, concluye el informe. Mercado Español El mercado español, comparte la idiosincrasia del mercado europeo antes comentado por lo que encontramos pocos ejemplos de estas pólizas. Analizaremos las pólizas CyberEdge de la compañía AIG o Cyber Risk-Dataguard de la compañía ACE que ofrecen una adecuada protección de estos riesgos. Principales coberturas Las principales coberturas que encontramos en estas pólizas son: Servicios de consultoría Gastos incurridos por la pérdida, imposibilidad de acceso, corrupción de los datos o denegación de los servicios producidos por una violación de seguridad para; • Comprobar si ha tenido lugar una violación de seguridad de los datos • Identificar la causa de tal violación • Restaurar los sistemas y servidores de seguridad de manera que permitan volver al día a día de su negocio • Determinar si los datos electrónicos pueden o no ser recuperados o restaurados • Descontaminación, limpieza, recuperación y restauración de los sistemas • Recomendaciones necesarias sobre medidas de prevención y mitigación Pérdida de Beneficios Pérdida del beneficio neto que resulte de pérdida, imposibilidad de acceso, corrupción de los datos o una interrupción material en sus redes como consecuencia de una violación de seguridad 31 CIBER RIESGOS Extorsión Cubre el pago de extorsión a terceros en que se incurra con el fin de concluir una amenaza de seguridad Restitución de imagen Asistencia de expertos para mitigar el efecto del incidente en la reputación de la empresa y la confianza de sus clientes Notificación Gastos de notificación a los afectados o a la autoridad reguladora informando que los datos han sido expuestos como consecuencia de una violación de seguridad Perjuicios a terceros Responsabilidad en el caso de contaminar los datos o información de un tercero con un virus Responsabilidad si la empresa sufre el robo de información de terceros de sus sistemas por medios electrónicos. Responsabilidad si la empresa sufre robo de hardware conteniendo datos de carácter personal Responsabilidad si un empleado divulga datos privados de terceros Perjuicios derivados de incumplimiento de LOPD Gastos de asesoramiento jurídico y representación en relación con una investigación de la Agencia de Protección de datos Sanciones administrativas impuestas por la autoridad reguladora en materia de protección de datos personales Responsabilidad por actividades multimedia Hace frente a los perjuicios incurridos en relación con una violación de la propiedad intelectual, derechos de autor de un tercero, o actos negligentes en relación con contenidos digitales. 32 CIBER RIESGOS Defensa jurídica Gastos en que pueda incurrir como consecuencia de su intervención en un procedimiento administrativo, judicial o arbitral. Exclusiones El asegurador no responderá ante ninguna pérdida que se derive o se base en: Actos dolosos Cualquier acto u omisión doloso, deliberado, malicioso, fraudulento o deshonesto cometido por cualquier administrador, directivo o socio de la entidad Obtención ilícita de datos La obtención ilícita y no autorizada por parte de la sociedad de datos de un tercero Antimonopolio Una violación de las leyes antimonopolio, restricción al comercio, práctica desleal o engañosa en los negocios o competencia desleal, ya sean estas reales o presuntas. Hechos conocidos o procedimientos anteriores Una reclamación iniciada, presentada o pendiente con anterioridad a la fecha de efecto de la póliza; o que sea atribuida a circunstancias que pudieran dar lugar a una reclamación y que fueran conocidas con anterioridad a dicha fecha. Materiales no solicitados Cualquier distribución masiva no solicitada de e-mail, correspondencia directa o facsímile, o la realización no consentida de una escucha telefónica, de un soporte de audio, de una grabación de video, o campaña de tele marketing. 33 CIBER RIESGOS Daños personales y daños materiales Cualquier lesión física o enfermedad, salvo el daño moral o la angustia emocional resultante de la vulneración de la normativa de protección de datos; o cualquier pérdida o destrucción de propiedades tangibles, salvo la de datos de tercero o el robo físico o pérdida de los activos de la sociedad. Propiedad industrial Una violación de patentes o apropiación de secretos comerciales como consecuencia de una revelación no autorizada, dolosa, negligente o accidental. Guerra/Terrorismo Cualquier forma de guerra, terrorismo, rebelión, sedición, motín o tumulto popular, levantamiento militar o usurpación de poder, excepto terrorismo cibernético. Mantenimiento de seguridad El mantenimiento de los datos y procedimientos de seguridad por debajo de los estándares declarados en el cuestionario. Organización gubernamental o autoridad pública El asegurador no responderá ante ninguna pérdida que se derive de una amenaza de extorsión, embargo, confiscación, nacionalización o destrucción de un sistema informático por orden de cualquier organización gubernamental o autoridad pública. Conocimiento público de la existencia de seguro El asegurador no dará cobertura para una amenaza de extorsión en caso de que la existencia de ésta póliza llegase a ser de dominio público, o el mismo se revelase a una persona que puede pudiera representar una amenaza de seguridad. Insolvencia o quiebra El asegurador no se hará cargo de pérdidas que provengan de la insolvencia o quiebra del asegurado 34 CIBER RIESGOS Ejemplos de posibles incidentes Empleado malintencionado: Un empleado de una gran compañía roba información personal de miles de clientes Gastos cubiertos: Gastos de expertos especializados para determinar qué tipo de datos han sido robados a cada persona Gastos de notificación de miles de personas cuyos datos han sido robados Costes de control de identidad para los individuos afectados para asegurar que no siguen sufriendo pérdidas después del robo de información Costes de un experto legal para preparar a la empresa ante una más que probable investigación por parte de la Administración. Gastos de representación y defensa de la compañía ante reclamaciones de terceros Pago de perjuicios e indemnizaciones a terceros por el daño causado Gastos de consultoría de Relaciones Públicas para aconsejar y guiar a la empresa en sus comunicaciones externas a los medios de comunicación. Ataque hacker a una cadena hotelera: Un grupo de hackers logra acceder a los sistemas de una cadena hotelera con varios establecimientos Gastos cubiertos: Gastos de expertos especializados para determinar qué tipo de datos han sido robados a cada persona (números de tarjetas de crédito e información personal de los titulares) Gastos de notificación de miles de personas cuyos datos han sido robados Costes de control de identidad para los individuos afectados para asegurar que no siguen sufriendo pérdidas después del robo de información Costes de un experto legal para preparar a la empresa ante una previsible investigación por parte de la Administración Consultoría de Relaciones Públicas para aconsejar a la empresa sobre como mitigar el daño reputacional después de lo sucedido. 35 CIBER RIESGOS Virus externo en supermercado: El sistema de punto de venta de un supermercado fue atacado por un virus externo, deshabilitando la comunicación entre las cajas registradoras y la máquina que realiza el inventario. El supermercado se quedó sin productos en stock y tuvo que cerrar hasta que el sistema fue reparado. Gastos cubiertos: Comprobar si ha tenido lugar una violación de seguridad de los datos Identificar la causa de tal violación Restaurar los sistemas y servidores de seguridad de manera que permitan volver al día a día de su negocio Descontaminación, limpieza, recuperación y restauración de los sistemas Recomendaciones necesarias sobre medidas de prevención y mitigación Pérdida de beneficios por los días en que el supermercado estuvo cerrado Otras características Cobertura disponible hasta 15.000.000€ Sublímites amplios Póliza en base a reclamaciones (claims made) para las coberturas de RC Retroactividad Franquicias adaptadas a cada riesgo Cobertura mundial 6.CONCLUSIÓN El espectacular auge de internet y de los servicios telemáticos ha hecho que los ordenadores y las redes se conviertan en un elemento cotidiano en nuestras casas y en un instrumento imprescindible en las tareas de las empresas. El rápido progreso tecnológico ha permitido el aumento de las capacidades de los equipos informáticos y de comunicaciones y la facilidad, comodidad y rapidez con la que se accede a la información ha incrementado la fiabilidad del sistema y la confianza 36 CIBER RIESGOS de los usuarios en él, por lo que administraciones, empresas y usuarios vuelcan toda su información en servidores de archivos gestionados por sistemas conectados en red. Mientras que la industria ha progresado desarrollando sus sistemas poniendo mayor énfasis en su robustez y su interoperabilidad, se ha ido dejando un poco de lado el tema de la seguridad, probablemente guiados por el principio de primar la operatividad. A partir de este error han surgido vulnerabilidades en los sistemas operativos, también en aplicaciones y protocolos de comunicaciones, y como consecuencia diversas amenazas y técnicas de atacar estos sistemas. En la última década el cibercrimen ha pasado de ser piratería de aficionados a un brazo importante del crimen organizado. Una de las peores consecuencias de la profesionalización del fraude en Internet ha sido la implicación de las bandas organizadas de crimen tradicional en todos los ciberdelitos en los que cabía la posibilidad de obtener algún beneficio económico. Un ataque cibernético puede poner en peligro uno de los activos más importantes que atesora una empresa, “la información”, tanto datos personales como información confidencial. El robo o pérdida de información, la denegación de servicio o desconfiguración de la red de la empresa, el robo de propiedad intelectual, suponen riesgos que pueden provocar un importante daño a las empresas y llevarles al cierre definitivo. ¿Es posible transferir estos riesgos? El mercado asegurador (nacional e internacional) cuenta con capacidad suficiente para cubrir los ciber riesgos. De hecho, actualmente las empresas compran a nivel global más de 1.000 millones de dólares en seguros de protección frente a los ciber ataques. Pero, ¿por qué se conocen tan poco estos productos en España? Existen varias razones: falta de datos actuariales sobre la magnitud del riesgo y la incertidumbre sobre qué tipo de riesgos deben estar asegurados, la falta de una adecuada percepción, análisis y gestión del riesgo empresarial y el desconocimiento de esta problemática por parte del habitual canal de comercialización del sector asegurador, quien, además, no se relaciona habitualmente con el interlocutor más sensibilizado con los riesgos tecnológicos. También existe el falso pensamiento en la pequeña y mediana empresa que el objetivo de los ataques son las grandes multinacionales y, sin embargo, los datos apuntan que son las pequeñas empresas las que están registrando un mayor crecimiento en el número de ciber ataques. 37 CIBER RIESGOS En términos generales, existe una concienciación general sobre los ciber riesgos aunque las empresas desconocen los peligros concretos a los que se enfrentan. A fecha de hoy, la gran mayoría de compañías siguen sin contar con un seguro específico que las proteja, y no sólo supone una gran oportunidad de negocio para las compañías aseguradoras, también para los mediadores que apuesten por estos productos lo que les permitirá posicionarse como expertos en la materia ante sus clientes, aportando soluciones aseguradoras innovadoras. 38 CIBER RIESGOS BIBLIOGRAFÍA Y WEBGRAFÍA Instituto Nacional de Tecnologías de la Comunicación (INTECO). www.inteco.es Principios de seguridad y alta disponibilidad. Editorial RA-MA Informe “Una gran década para el cibercrimen”. McAfee. 2010 Seguridad Informática. Editorial McGraw-Hill Guía para frenar el cibercrimen. Karspersky lab Informe “The economic impact of cybercrime and cyber espionage”. Center for Strategic and International Studies. (CSIS). Julio de 2013 Los riesgos de la era digital. MARSH. Mayo de 2013 Monografía: “El ciberespacio. Nuevo escenario de confrontación. Centro de Estudios de la Defensa Nacional (CESEDEN). Febrero de 2012 Informe: “La gestión de riesgos en la era digital”. AON. Enero de 2013 Informe “Incentivos y obstáculos para el mercado de seguros cibernéticos en Europa” de la Agencia Europea de Seguridad de la Información (ENISA) Seminario “Cibercrimen en nuevos entornos online”. Asociación de Expertos Nacionales de la Abogacía TIC (ENATIC). Marzo de 2013 Internet Security Theat Report 2013. Symantec Informe de amenazas de seguridad 2013. Sophos Póliza CiberEdge. AIG Europe Limited. www.aig.com.es Póliza Cyber Risk-Dataguard. ACE Europe. www.acegroup.com 39