El asesino silencioso: nueve razones por las que la ciberseguridad es importante para la industria alimentaria

Imagínese que se encuentra en medio de un brote de intoxicación alimentaria en todo el país que se desarrolla minuto a minuto.
Verifica y vuelve a verificar los registros de procesamiento; todos los lotes de pollo precocinado parecen estar bien, entonces, ¿qué está fallando?

Sin que se diera cuenta, un pirata informático o "hacker", posiblemente un ex empleado descontento, accedió y modificó procesos operativos críticos a los que se accede de forma remota a través de un dispositivo de IoT que no es seguro, lo que resultó en un lote de pollo poco cocinado y peligroso. Pero no sabe qué lotes se ven afectados, por lo que se prevé una retirada del producto a nivel nacional.

La ventaja de su producto se neutraliza porque un competidor acaba de lanzar un producto que imita al suyo, utilizando propiedad intelectual robada obtenida por hackers. Estos han robado información comercial confidencial y de la cadena de suministro que pertenece a uno de sus principales clientes minoristas y ha exigido un gran rescate. Y ahora, ¿qué hace?

¿Cree que esto es algo inverosímil? Piénselo de nuevo.

ciberseguridad

Tradicionalmente, el sector financiero y minorista son los que han recibido la mayor atención por parte de los ciberdelincuentes. Más recientemente, los sistemas sanitarios y gubernamentales han sido objeto de ataques cibernéticos y, a medida que estos sectores mejoran sus defensas, los ciberdelincuentes pasarán a blancos más fáciles; y el sector de la alimentación llama muchísimo la atención.

 

Parte del problema es que el sector cree que es inmune. ¿Por qué alguien atacaría a una empresa de alimentos? Las organizaciones criminales nacionales e internacionales con frecuencia apuntan a la cadena alimentaria para cometer adulteración, falsificación, fraude, robo y contrabando a gran escala. Incluso, piratean los sistemas de las empresas de almacenamiento y distribución para mejorar los productos falsificados e insertarlos en la auténtica cadena de suministro. El peligro es real y las empresas del sector alimentario de todos los tamaños deben tomar medidas para fortalecer la resiliencia de la información. Este es el por qué:

  1. TI y ciberseguridad no son lo mismo. En la mayoría de las empresas, TI también es responsable de la ciberseguridad; este es un error fundamental. Las dos disciplinas están claramente diferenciadas y requieren enfoques, pensamientos y habilidades diferentes.

  2. "Somos una PYME, ¿por qué preocuparse?" Los informes demuestran que las PYME son atacadas con la misma frecuencia que las grandes empresas, generalmente a través del correo electrónico.

  3. "Toda nuestra TI y ciberseguridad están subcontratadas, es su problema." Los proveedores de servicios de TI ofrecen una gran variedad de opciones para los hackers y, en consecuencia, reciben una atención especial. El problema de ellos puede convertirse rápidamente en el suyo propio.

  4. El cibercrimen es cada vez más fácil y accesible. Si bien la ciberdelincuencia fue una vez dominada exclusivamente por los "maestros del código", ha evolucionado hasta convertirse en un negocio en sí mismo. Hoy en día, los autores de malware consideran que es más lucrativo, y definitivamente más seguro, ofrecer sus servicios y vender sus productos para que otros lancen ataques.

  5. Sistemas heredados. Los sistemas de procesamiento de alimentos de hoy en día generalmente se basan en plataformas de software obsoletas, como Linux o Windows 98; sistemas instalados hace más de 20 años. Además, el código antiguo no se puede actualizar ni parchear.

  6. Conexiones potentes. Al vincular internamente los procesos de producción internos con redes y sistemas de datos externos a través de Internet, la conectividad significa que es posible lograr ganancias de productividad y eficiencias de procesos. La desventaja es que para que los sistemas modernos funcionen con lo obsoleto, la seguridad a menudo se sacrifica. Esto también significa que una brecha de seguridad en un cierto punto puede propagarse rápidamente.

  7. Si no está roto, no lo arregle. Es comprensible que la alta dirección se muestre reacia a invertir en sistemas mejores y más seguros cuando un sistema antiguo funciona bien y crea que no supone un riesgo. Esta es una economía falsa.

  8. Falta de conciencia. El personal operativo está capacitado para mantener en funcionamiento los sistemas existentes y no tiene "conocimientos cibernéticos".

  9. La estampida "inteligente". Los llamados "dispositivos tontos", como las cajas portacebos, están siendo reemplazados por dispositivos habilitados para IoT. Estos habitualmente contienen sensores "listos para usar" con inseguridades integradas que se ejecutan en un software mal diseñado y compatible. A menudo, estas preguntas fundamentales se pasan por alto durante el proceso de compra.

fabrica frutos rojos

Existen diferentes tipos de ciberataques que puede sufrir una empresa alimentaria. Tal vez la ventaja de su producto se neutralice porque un competidor acaba de lanzar un producto que lo imita utilizando propiedad intelectual robada obtenida por hackers. O tal vez, un hacker ha robado información confidencial comercial y de la cadena de suministro perteneciente a uno de sus principales clientes minoristas y está exigiendo un gran rescate. En cualquier caso, estar al tanto de la gestión de riesgos es fundamental.

 

¿Qué podemos hacer?

  1. Introduzca un CHACCP, un Análisis de Peligros y Puntos Críticos de Control Cibernéticos. El control de la calidad y las funciones técnicas siempre han formado parte del sector alimentario con HACCP durante 30 años. Piense en CHACCP como una aplicación del mismo enfoque basado en el riesgo para considerar las vulnerabilidades cibernéticas y los vínculos en un entorno de producción y se aplica como una extensión del sistema integrado de gestión de seguridad alimentaria.
  2. Implementar normas de seguridad cibernética. La mayoría de las empresas no pensarían en descubrir cómo de robusta es su seguridad con una prueba de penetración ni en implementar BitSight para determinar el riesgo cibernético que les plantean sus proveedores e incorporar esto en su selección, comtrol y evaluación de proveedores. Una mejora razonable es considerar la implantación de sistemas de gestión de información ISO 27001 y exigirlo para proveedores clave, especialmente aquellas plataformas de TI integradas en su organización.
  3. Trabajar en la cultura. Todo el personal debe volverse "experto del ciberespacio" a través de formación sobre concienciación cibernética como parte de su proceso de iniciación y animársele a señalar cualquier cuestión fuera de lo común si cree que podría estar relacionado con el ciberespacio antes de que los problemas se descontrolen.

La buena noticia es que las empresas que implementan estos pasos de sentido común no solo eliminan el riesgo de sus negocios, sino que con el tiempo también se dan cuenta de que contribuyen de manera sustancial a una defensa sólida y de debida diligencia e incluso pueden brindar una ventaja competitiva y pionera.

 

Richard Werran

Autor: Richard Werran

Director of Food ─ EMEA