Un aumento alarmante en ataques y fallos operativos pone bajo escrutinio la seguridad de la infraestructura crítica británica, con énfasis en el suministro del agua potable.
El suministro de agua potable del Reino Unido ha enfrentado este año un número récord de incidentes cibernéticos, esto según información recopilada por el periodista Alexander Martin, del medio especializado en ciberseguridad Recorded Future News, quien solicitó datos sobre ciberinconfidentes en infraestructuras críticas británicas bajo el Freedom of Information Act (ley de libertad de información).
Si bien los sistemas agua potable aparecen en segundo lugar con seis incidentes tras el sistema de transporte que presenta 9, en 2024 se ha triplicado el promedio de años anteriores, cuando no se registraron más de dos incidentes desde 2019.
Este aumento coincide con declaraciones del jefe del Centro Nacional de Seguridad Cibernética (NCSC), Richard Horne, quien indicó en octubre pasado que su agencia había respondido a un 50% más de incidentes significativos este año en comparación con 2023.
Aunque los detalles específicos de los incidentes no se han divulgado, los informes sugieren que incluyen ataques cibernéticos y fallos operativos que han afectado directamente la producción y entrega del servicio de agua potable.
Bajo las Regulaciones de Seguridad de Redes e Información (NIS), las empresas responsables de infraestructura crítica están obligadas a informar incidentes significativos al gobierno dentro de tres días. Sin embargo, una solicitud inicial de acceso a información sobre los incidentes fue rechazada por el Departamento de Medio Ambiente, Alimentación y Asuntos Rurales (Defra), alegando que la divulgación podría aumentar la vulnerabilidad de los servicios. Tras una apelación, Defra entregó datos estadísticos sin detallar los incidentes.
Este aumento en los ataques se produce en un contexto de advertencias similares en Estados Unidos, donde las autoridades de CISA y el Gobierno Federal han subrayado la vulnerabilidad del sector del agua a los ataques cibernéticos y la necesidad urgente de mejorar sus defensas.
De hecho, este 2024 se han hecho públicos varios ciberincidentes de este tipo en los Estados Unidos, varios de los cuales hemos compartido en este blog.
Para responder a esta situación, el Parlamento del Reino Unido se prepara para discutir una actualización a su legislación de ciberseguridad y resiliencia que data de 2018, colocando un énfasis especial a la protección de las infraestructuras críticas de la información y a la transparencia, en busca de garantizar que los clientes sean notificados de incidentes que comprometan significativamente la integridad de un servicio.
También se espera que el proyecto de ley sobre ciberseguridad y resiliencia aumente el número de incidentes denunciados, dado que hay una gran cantidad de ellos que no se registran como incidentes de ciberseguridad debido a los umbrales actuales establecidos por la legislación, que basan en el impacto -si causan interrupción en la entrega de un servicio-, y que tampoco miden la profundidad del acceso a la red informática de los atacantes ni si los actores de la amenaza tenían la capacidad de interrumpir algún servicio esencial.