ZIUR se ha convertido en el aliado de las empresas guipuzcoanas, a quienes ayuda, aconseja e informa sobre la necesaria implantación de nuevas normativas de ciberseguridad que acaban de aprobarse, como la CRA (The European Cyber Resilience Act), o que deben cumplirse obligatoriamente en unos meses como la UNECE/155 del sector de automoción.
El Centro de Ciberseguridad Industrial de Gipuzkoa, un proyecto estratégico de la Diputación nacido bajo el paraguas de Etorkizuna Eraikiz, contribuye a la competitividad de las empresas del territorio, reforzando su protección y la de sus productos o servicios frente a los ciberataques.
La compañía está inmersa en estos momentos en ayudar a la industria vasca a asumir las nuevas normativas de ciberseguridad que vienen marcados por Europa, como es el caso de la CRA, aprobada de forma sorpresiva hace unas semanas para garantizar que el hardware y el software sean más seguros, o de UNECE/R155 dirigida al sector de la automoción, con gran peso en Euskadi. Esta última afectará a todos los vehículos nuevos que se vendan a partir del 1 de julio de 2024, y deberá ser aplicada tanto por fabricantes como por terceros para evitar multas que pueden ascender hasta 30.000 euros.
Por su parte, la CRA establece unas reglas de juego para todos los fabricantes que quieran invertir en mejorar la ciberseguridad de sus productos, algo que para María Penilla, Directora General de ZIUR, es “positivo”. “Esta normativa marca una estrategia y una línea de actuación única para todos los fabricantes. Antes, si los fabricantes querían invertir en mejorar la ciberseguridad en el diseño de sus productos industriales -lo que conlleva un coste extra-, podían tener la incertidumbre de no saber exactamente cuáles eran las medidas más importantes o que más se valoran en el mercado. La CRA te dice cuáles son las líneas de actuación a cuidar por lo que consideramos que protege las inversiones que realizan los fabricantes en esta materia”, defiende Penilla.
No es fácil regular al ritmo al que evoluciona la tecnología en el mundo, y no nos podemos equivocar y que acabe siendo peor el remedio que la enfermedad
Desde ZIUR no esperaban tan pronto la aprobación de esta normativa, que surge de una petición ciudadana hacia los reguladores europeos para que los productos con sello Europa sean ciberseguros. “Hay gente que considera que la normativa llega tarde, pero es verdad que vivimos en un mundo en el que el desarrollo de las nuevas tecnologías y la ciberseguridad van a un gran ritmo, mientras que los procesos legales regulatorios son y deben ser más lentos. No es fácil regular al ritmo al que evoluciona la tecnología en el mundo, y no nos podemos equivocar y que acabe siendo peor el remedio que la enfermedad”, insiste la Directora General de ZIUR.
De hecho, asegura, en Europa también están los agentes que critican que el continente es “demasiado regulatorio”, más que los americanos, chinos o rusos, lo que puede comprometer la competitividad de las empresas europeas. “Ese equilibrio no es fácil, pero desde el punto de vista regulador creemos que hay que unos requisitos mínimos en el mercado europeo», insiste.
El incumplimiento de los requisitos básicos de ciberseguridad que contempla la CRA puede conllevar multas importantes, de 15 millones o hasta el 2,5% del volumen total del negocio anual. Además, tal y como explica Penilla, la normativa no solo marca obligaciones en el diseño del producto, sino también cuando sale al mercado y durante toda su vida útil. “Tienes que asegurar el ciclo de vida de ese producto y ser capaz de continuar vigilando su ciberseguridad. Es decir, si descubres una nueva vulnerabilidad debes actualizar el hardware o el software en un tiempo definido y poner esa actualización a disposición de los clientes”, afirma Penilla, mientras señala que existen sectores en los que este servicio postventa “no es habitual”. “En estas empresas el impacto será importante, puesto que afecta en cierto modo hasta al modelo de negocio de los fabricantes”, indica.
Uno de los temas más críticos ahora en el sector industrial reside en la cadena de suministros, donde los ataques se han triplicado en el último año. Por ello, ZIUR está fijando su mirada en estas empresas para que encuentren el apoyo necesario en el centro en su objetivo de ser ciberresilientes. “Pongamos de ejemplo a Volkswagen: atacar directamente a este fabricante es muy complicado, porque tiene un músculo financiero importante para invertir en ciberseguridad, por lo que el esfuerzo que supone puede no compensar a los ciberdelincuentes, que también tienen sus cuentas de resultados. Sin embargo, los hackers se han dado cuenta de que cuando bajan a la cadena de suministro de Volkswagen encuentran ese eslabón, una empresa más pequeña y débil desde el punto de vista de la ciberseguridad y, por lo tanto, más fácil de atacar. El coste-esfuerzo es mucho más claro y les permite su objetivo final: entrar a Volkswagen”, expone Penilla.
Al hablar de ciberseguridad hay que tener en cuenta que el nivel lo marca el eslabón más débil, por lo que la cadena de suministro cada vez tiene más peso en esta materia
Por tanto, al hablar de ciberseguridad hay que tener en cuenta que el nivel lo marca “el eslabón más débil”, por lo que la cadena de suministro cada vez tiene más peso en esta materia. “Todos los requisitos que se marcan acaban bajando como una bola de nieve y afectan a todas”, indica.
La ciberresiliencia del sector industrial radica, por tanto, en todas las empresas implicadas y en cuestiones tan importantes como la certificación, la evaluación, la prevención y la formación, según Penilla. En cuanto a la formación, es “clave” para que “los usuarios y usuarias sepan qué acciones de su día a día tienen más riesgo”, mientras que la prevención ya no se trata de pensar “si vas a ser atacado o no, sino de cuándo, saber que va a llegar y estar preparado para actuar, para recuperar la normalidad en el menos tiempo posible y con la menor afección posible”.
Por su parte, la certificación es “muy importante a nivel de competitividad” y la evaluación “periódica” se ha convertido en “la única manera de saber si el producto, el servicio o la empresa es cibersegura”.
ZIUR, el Centro de Ciberseguridad Industrial de Gipuzkoa, está muy pendiente del auge de la IA y la Computación Cuántica, ya que estas tecnologías suponen un nuevo desafío para la ciberseguridad del sector.
Los datos de ciberdelitos son preocupantes, puesto que se incrementaron en un 41% en 2022 con respecto a 2019 y representaron el 20% del total de las infracciones penales, según la Memoria Delincuencial de la Ertzaintza.
En Euskadi, entre enero y septiembre de 2023 se registraron un total de 20.047 infracciones penales cometidas por medio de la ciberdelincuencia, lo que supone 5.019 más que en el mismo periodo del año anterior. Estas cifras asustan a la industria vasca y, por ello, ZIUR quiere que el sector esté preparado para combatir un ciberataque y pone a disposición de las empresas todo su conocimiento en esta materia, contribuyendo a que sean más competitivas. Solo en 2023 realizó asesorías con 50 organizaciones y, además, 160 tomaron parte en los talleres de formación.
“Tecnologías como la IA y la Computación Cuántica tienen grandes beneficios, pero también es cierto que les facilitan a los cibercriminales mejorar sus ataques. Logran disminuir el tiempo que dedican a cada uno de ellos, por tanto, aumenta su eficacia, y su rentabilidad económica crece exponencialmente”, advierte la Directora de ZIUR, María Penilla, un centro que seguirá reforzando la formación a las pymes vascas y sus barreras de protección frente a los ciberataques.