El cierre de las operaciones es lo último que desea cualquier empresa, pero es un riesgo muy real durante un ataque de ransomware. Esta es una lección que el proveedor estadounidense de pasarelas de pago BridgePay aprendió por las malas.
Por Kate O'Flaherty
En febrero, el proveedor de pasarelas de pago estadounidense BridgePay fue afectado por un ataque de ransomware eso dejó fuera de servicio sistemas clave, provocando una interrupción generalizada del servicio.
El incidente tuvo un efecto dominó, afectando a muchos clientes de BridgePay durante semanas. Restaurantes y comercios minoristas fueron forzados para informar a los clientes que ya no podían aceptar pagos con tarjeta, mientras que el portal de pago de facturas en línea de la ciudad de Palm Bay, Florida, fue desconectado.
El BridgePay El apagón fue una lección. en la importancia de la resiliencia, especialmente en sectores críticos como las finanzas«El ataque supuso una interrupción de las operaciones», afirma Oliver Newbury, director de estrategia de Halcyon. «Esto demuestra que la capacidad de respuesta no estaba diseñada para este escenario o que no se había puesto a prueba adecuadamente».
Ransomware para libros de texto
Llega en un momento en que la resistencia al ransomware está en la agenda, con una Prohibición de pagos en el Reino Unido infraestructura nacional crítica y las organizaciones del sector público en el horizonte. Investigaciones de Verizon sobre filtraciones de datos Un informe reveló que las empresas detectaron ransomware en el 44% de todos los ciberataques.
Mientras tanto, el 19% de los encuestados IO, Estado de la seguridad de la información Según el informe, habían sufrido un incidente de ransomware en los últimos 12 meses.
Cuando una proporción significativa de organizaciones ha sufrido ataques, que a menudo implican cifrado de datos y extorsión, los costes se disparan drásticamente cuando la respuesta y la recuperación son improvisadas en lugar de planificadas.
En el caso de BridgePay, el incidente fue un ataque de ransomware mediante mensajes de texto, según explica Harry Mason, jefe de atención al cliente de Mason Infotech, proveedor de servicios gestionados de TI. «La identidad de un usuario se vio comprometida, el atacante interrumpió los servicios y exigió un rescate para su recuperación. Esto provocó que la plataforma estuviera inactiva durante tres semanas antes de volver a estar completamente operativa».
Si bien los datos de las tarjetas de los clientes permanecieron a salvo, los costos del incidente se acumularon rápidamente. "Se invirtió mucho tiempo y dinero en la contratación de los equipos de especialistas en análisis forense, recuperación y seguridad necesarios para restablecer el servicio", señala Mason.
Los ataques de ransomware como el que afectó a BridgePay tienen éxito y causan interrupciones debido a deficiencias en la supervisión, afirma Rob O'Connor, CISO de EMEA en Insight. "Esto incluye responsabilidades poco claras, planes de recuperación insuficientemente probados, una gestión de riesgos de proveedores deficiente y un escrutinio insuficiente de la resiliencia cibernética".
Riesgo sistémico
En muchas organizaciones, las brechas entre las funciones de ciberseguridad, continuidad del negocio y cumplimiento normativo están generando vulnerabilidades sistémicas. El problema se agrava cuando estas funciones operan de forma aislada, en lugar de estar completamente integradas, según Newbury de Halcyon.
Los problemas suelen aparecer "en las intersecciones entre equipos", afirma Stewart Parkin, CTO global de Assured Data Protection. IO“Seguridad busca aislar y contener. Continuidad busca restablecer los sistemas rápidamente. Cumplimiento exige informes precisos y notificaciones a los reguladores. Si estas conversaciones no se han dado antes de un incidente, chocarán durante el mismo.”
Newbury coincide en que la falta de comunicación solo se hace evidente cuando se produce un ataque de ransomware. «Los derechos de decisión se desdibujan, las prioridades chocan y las vías de escalamiento se estancan. El resultado es que el tiempo de inactividad se prolonga, no porque la tecnología no se pueda restaurar, sino porque la organización no estaba preparada para responder».
En el caso de BridgePay, donde el ransomware dejó literalmente fuera de servicio a la empresa y a sus clientes, queda claro por qué el tiempo de inactividad en los sistemas de pago se considera ahora un riesgo sistémico, con implicaciones regulatorias y para la reputación.
El incidente de BridgePay tuvo un impacto tan grande porque "solo un puñado de actores clave" ahora dan soporte a "una proporción significativa" de los pagos digitales globales, afirma Luke Fardell, analista principal de ciberseguridad en la división de suscripción de riesgos cibernéticos de Tokio Marine Kiln.
Esto significa que una sola interrupción "puede tener un efecto dominó en múltiples sectores e industrias a la vez", afectando potencialmente a minoristas, empresas de servicios públicos, servicios públicos y pequeñas y medianas empresas (PYME), explica Fardell.
A medida que los reguladores buscan evitar este nivel de interrupción en sectores críticos, la legislación exige cada vez más medidas que van más allá de la simple prevención de ataques. «Alguien puede tener excelentes cortafuegos y aun así quedarse sin conexión», señala Parkin, de Assured Data Protection. «Lo que ahora exigen es la prueba de que se puede recuperar el servicio correctamente y dentro de plazos definidos».
La función Ley de Resiliencia Operativa Digital de la UE (La regulación DORA es un ejemplo clave. Dicha regulación exige que las empresas, como los bancos y las compañías de seguros, demuestren que pueden recuperar la normalidad en sus operaciones dentro de un plazo determinado.
“Un componente clave de esto es someterse a pruebas de estrés periódicas que les exigen cumplir con objetivos específicos de 'reinicio de la operación' y 'punto de restauración'”, explica Mason, de Mason Infotech.
Gobernanza de resiliencia estructurada y visible para el consejo de administración.
El incidente de BridgePay y sus consecuencias demuestran el coste real de las interrupciones del servicio provocadas por ataques de ransomware. Para evitar un destino similar, las infraestructuras financieras deben ahora crear una gobernanza de la resiliencia estructurada y visible para el consejo de administración.
En pocas palabras, esto requiere que la junta directiva comprenda con exactitud qué servicios son los más importantes y cuánto tiempo pueden permitirse que estén inactivos, según Parkin de Assured Data Protection. “Significa que las dependencias se mapean correctamente, la recuperación se prueba periódicamente y los proveedores deben cumplir con estándares claros de resiliencia. La toma de decisiones debe ser planificada, no improvisada”.
Para obtener resultados óptimos, la capacitación es fundamental y abarca "todos los aspectos del negocio", afirma Mason, de Mason Infotech. Los directivos deben saber qué se espera de ellos y cómo actuar en consecuencia, añade, y recalca que "todos deben comprender los riesgos de la cadena de suministro", prestando especial atención a las dependencias de nivel 1 y al plan de contingencia en caso de que fallen.
Al mismo tiempo, marcos como ISO 27001, Puede ayudar a las empresas a identificar, evaluar y abordar posibles amenazas, garantizando una sólida protección de los datos confidenciales y el cumplimiento de las normas internacionales.
La presentación de informes y la evaluación periódica de riesgos son clave para garantizar que una empresa esté preparada para volver a estar en línea si es "objeto de un ataque de ransomware mañana", añade Mason. "Esto parece poner RTO y RPO Se deben establecer plazos y probarlos periódicamente para comprobar su viabilidad. En caso de ataque, también debe existir un sistema para la notificación de incidentes.
El incidente de BridgePay deja varias lecciones, pero, en definitiva, nos recuerda que el ransomware ya no se limita al cifrado de archivos, afirma Newbury, de Halcyon. «En los entornos de pago, es una prueba directa de si la gobernanza y la recuperación son lo suficientemente sólidas como para mantener la actividad de la empresa cuando falla la prevención».
Amplíe su conocimiento
Podcast: Phishing para problemas, episodio n.° 09: Qué no hacer en caso de desastre.
Blog: ¿Pagar el rescate o no? Consideraciones del gobierno sobre el pago como una solución al cibercrimen.
