Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Industriaren sektoreko euskal enpresen % 85ek giza baliabideak eta baliabide ekonomikoak handituko dituzte Zibersegurtasunera begira, BCSC eta CCI zentroek egindako ikerketa baten arabera

estudio, cci, industria
09/10/2018

Zibersegurtasuneko Euskal Zentroak (BCSC) eta Industria arloko Zibersegurtasun Zentroak (CCI) egindako ikerketa lan batean industria arloko 90 euskal enpresak parte hartu dute. Euskadin goranzko bidean daude sektore eta azpisektoreetan lan egiten dute, euskal ekonomian garrantzia handikoak; esaterako: fabrikazioa, ingeniaritza eta sektore elektrikoa.

Ikerketa hori burutzeko, Asociación Vasca de Profesionales de Seguridad - Segurtasun Euskal Elkartearen (SAE) eta industria arloko 11 klusterren laguntza izan dute.

Zibersegurtasun arloko 4 atalen (Antolaketa, Kudeaketa, aspektu Teknikoak eta Merkatua) inguruko 20 galdera erantzun dituzte eta, horien arabera, negozio arduradunen % 80a sentsibilizatuta daude zibersegurtasunaren gaiarekin; enpresen % 85ek, gainera, aurreikusita dute giza baliabideak eta aurrekontua handitzea, zibererasoetatik babesteko.

Euskal enpresek 9.000 ziberdelitutik gora jasan dituzte eta horrek 840 milioi euro inguruko kalte ekonomikoak eragin dituzte. Zuzenean kalte horiek jasan dituzten enpresak zein zibersegurtasunean inbertitzeko beharraz kontziente ez diren eta neurri horietan inbertitzeko beharra ikusten ez duten enpresak, 2018ko otsaila eta ekaina bitartean burututako ikerketak azaltzen duen moduan.

Zibersegurtasuna, IT departamentuen esku

Ikerketak erakusten du IT unitate Korporatiboa izaten dela industria arloko enpresetan Zibersegurtasunaz arduratzen dena, kasuen % 70ean; handik zati handi batera, Segurtasun Fisiko, Eragiketa, HSE (Lan-arriskua eta Ingurumen arlokoa) eta industria-prozesuen automatizazioaz Arduratzen diren sailak daude. Hala ere, Zibersegurtasunaren erantzukizuna ez da sail bakar baten esku geratzen, kasu gehienetan.

Industria arloko euskal enpresetako Zibersegurtasunaren arduradunek Negozio Arduradunaren babesa izaten dute, gehienetan. Inkesta egin duten pertsonen % 80k uste dute nahiko sentsibilizatuta edo ohikoa den moduan sentsibilizatuta daudela beren enpresek dituzten araudien inguruan eta zibersegurtasunaren arriskuen inguruan. Hala ere, % 18k kezka txikia adierazi du. Pertsona horiei zuzenduta daude, eta sentsibilizazio maila orokorra igotzeko helburuarekin, kontzientziazio-jardunaldiak. BCSC erakundeak burutzen ditu industri eremuetako enpresetan, sektoreko hainbat enpresa-klusterrekin lankidetzan.

Arrisku ebaluazioa eta gertakarien kudeaketa plana definitzea: Egiteke daukaguna

Sentsibilizazioaz harago, jarrera hau berretsi beharra dago, zibersegurtasunaren aldeko apustu sendo baten bidez. Zibersegurtasunaren inguruko estrategia definitzeko abiapuntuetako bat arriskuaren ebaluazioa egitea da. Inkesta egin dutenen % 42k aitortu dute beren enpresetan ez dela halakorik egin.

Enpresen ia % 40k adierazi dute antolakuntza ebaluazioak egin dituztela; eta % 30ek ebaluazio teknikoak. Aldiz, % 18k araudien araberako ebaluazioak burutu dituzte, hala nola IEC62443-ISA99 edota NERC-CIP.

Arrisku ebaluazioek aktibo garrantzitsuenak definitzen eta horiek babesteko estrategiak garatzen laguntzen dute, baina kontuan izan behar dugu sistemak ez direla % 100 seguruak; beraz, Segurtasun arloko gertakariei aurre egiteko kudeaketa plan bat eduki behar da. Aspektu honetan dauka euskal industriak egiteko garrantzitsu bat: % 12k soilik ziurtatu dute plan definitu, garatu eta frogatu bat daukatela.

% 23 gehiago gertakarien kudeaketa prozesu bat definitzen ari dira; baina, aldiz, % 27k ez daukate planik diseinatuta eta beste % 27k modu erreaktiboan jokatzen dute. Prozesu hori definitzea kritikoa da, gertakari baten aurrean modu eraginkorrean erreakzionatu ahal izateko eta ondorioak minimizatzeko; horrela, negozioaren jarraitutasuna bermatzen da, batez ere industria eremuei erasotzeko diseinatutako erasoak ugaritzen ari direla kontuan izanda. Esaterako: Tritón/Trisis/Hatman izenez ezagun bihurtu den malwarearen kasua edo DDoS erasoak burutzeko loT gailuen erabilera.

Arrisku-ebaluazioak bereziki garrantzitsuak dira industria sareak, gailu edo sistemaren batek interneterako konexioa duenean. Hala izaten da inkesta egin duten enpresa gehienetan: % 45ek denbora osoan internetera konektatuta dagoen gailuren bat daukate; aldiz, % 30ek aldi baterako konexioak erabiltzen dituzte, eskaera bidez. Are ohikoagoa da industria sarera urrunetik sartzeko aukera. Kasuen % 80an ematen da, gehienak hirugarrenek laguntza emateko edo urrunetik lan egiteko.

Arrisku-ebaluazioen edo zibererasoei aurre egiteko planez harago, inkesta egin duten ia pertsona guztiek Zibersegurtasun arloko neurriren bat dute ezarrita. Ohikoenak honakoak dira: segurtasun-kopia automatizatuak, antibirusa edo firewall konbentzionalak. Halaber, ezarritako neurriak ez dira beti egokienak, izan ere, OT eremuek babeserako berariaz diseinatutako gailuak behar dituzte, eta ez dira beti erabilgarriak IT eremuetarako berariaz diseinatutako horiek.

Zibersegurtasunaren aldeko apustu irmoa, etengabeko prestakuntzaren barruan

Azken galdera multzoa industria arloko Zibersegurtasunaren inguruko aurreikuspen eta planen ingurukoa da. Industria arloko euskal enpresek apustu sendoa egin dute; hala adierazten du datu honek: enpresen % 80k industria arloko Zibersegurtasun arloko jarduerak abian jartzea aurreikusi du, gehienak sei hilabete eta urtebete bitarteko epean.

Zibersegurtasunaren aldeko apustuaren atzean dauden motibazioak anitzak dira, baina % 65ek etengabeko hobekuntza prozesu baten barruan sartzen dute, gero eta globalizatuagoa den merkatu honetan lehiakortasun-maila mantentzeko. Inkesta egin duten enpresen % 30ek adierazi dute iraganean gertakariak jasan dituztela, eta horien aurrean erantzun on bat ematea dela haien xedea.

Apustu horren datu adierazgarri bat da enpresen % 85ek Zibersegurtasunera bideratutako aurrekontua eta giza baliabideak handitu egingo dituztela. Horren ondorioz, enplegu zuzenak eta zeharkakoak (hornitzaileak) sortuko dira. Ziurtagiri profesionalak izatea modu positiboan baloratu da kasuen % 68an, eta % 27k ezinbestekotzat jo du hornitzaileek ziurtagiri horiek izatea.

Ondorioak

Txostenetik eratorri daitezkeen ondorioetako batzuk honakoak dira:

  • Automatizazio sistemen arriskuaren kudeaketa eta kontrola informazioaren teknologia arloek hartzen dute euren gain, beraz, ikuspegia partziala da.
  • Zibersegurtasunaren garrantziaren inguruan kontzientziatu beharra dago, erakundearen maila guztietan.
  • Ikerketaren bidez antzeman dugunez, Euskadiko digitalizazioaren industria bizkortzen ari diren bi faktore nagusi daude, eta horien ondorioz bereziki garrantzitsua da zibersegurtasuna kudeatzea: Arautzea eta globalizazioa.
  • Industria arloko merkatu, enpresa eta zerbitzu-hornitzaileek industria-ekoizpen eremuetan espezializatutako profesionalak behar dituzte.
  • Inkesta egin duten euskal erakunde gehienek (industria arloko sektore guztietakoak) industria arloko zibersegurtasun ekimenak abiatuko dituzte 2018an. Horrek esan nahi du arlo horretara bideratutako aurrekontuak handitu egingo direla eta, orokorrean, heldutasun maila handitu egingo dela. Industria kontrol sistemen gaur egungo egoerarekin, zibersegurtasuneko mehatxuen aurrean babes maila baxua dutenez, heldutasun mailaren handitzea guztiz beharrezkoa da.

Txosten osoa deskargatu daiteke hemen.