¿Son los datos ESG el próximo objetivo de los actores del ransomware?

Como dijo una vez una famosa rana, no es fácil ser verde. A finales de enero, informes surgieron de un ataque de ransomware a la división Sustainability Business de Schneider Electric, lo que plantea la pregunta: ¿qué tan valiosos son los datos de sostenibilidad corporativa como objetivo? A medida que las organizaciones se embarcan seriamente en estrategias ambientales, sociales y de gobernanza (ESG), es posible que deban hacer más para mantener esta información bajo control.

¿Qué pasó en Schneider Electric?

El grupo de ransomware Cactus afirmó tener 1.5 TB de datos de la empresa y amenazó con hacerlos públicos si la multinacional francesa no pagaba. Un mes después, publicado 25MB de datos para resaltar la amenaza. Aún no se sabe si Schneider Electric ha pagado un rescate por los datos, ni si Cactus cifró la información y al mismo tiempo la robó, que es su modus operandi general.

Schneider Electric ha sufrido un ataque de ransomware antes; La banda Clop obtuvo acceso a algunos de sus datos en mayo de 2023 como parte del ataque al servicio de transferencia de archivos MOVEit de Progress Software, que absorbió la información de miles de empresas.

Esta vez, el ataque se centró en una división específica. La división Sustainability Business es una operación dentro de Schneider Electric que se centra en un mercado relativamente nuevo: la recopilación y presentación de informes de datos de sostenibilidad.

Una necesidad creciente de datos ESG

Los datos de sostenibilidad representan la “E” en ESG, un movimiento creciente para hacer que las empresas sean más responsables de su efecto en el planeta y la sociedad. El lado de la sostenibilidad se ocupa de métricas que incluyen el consumo (de recursos como energía y agua), junto con las emisiones (generalmente de gases de efecto invernadero).

Estos datos son útiles para los inversores que puntúan cada vez más a las empresas en función de su desempeño ESG. Empresa de gestión de inversiones Grupo Capital encontrado que nueve de cada 10 profesionales de la inversión a nivel mundial consideran los criterios ESG en sus estrategias, y el 57 % cree que pueden descubrir oportunidades de inversión atractivas. Sin embargo, el 54% de ellos afirma que estos datos son más difíciles de conseguir. Cuanto más tengan los inversores, más cómodos se sentirán invirtiendo dinero en estas empresas.

Otras presiones están impulsando a las empresas a centrarse en los informes de sostenibilidad. En la UE, el Directiva de informes de sostenibilidad corporativa (CSRD) hará cumplir la Estándares Europeos de Informes de Sostenibilidad (ESRS), aplicando informes de sostenibilidad más detallados sobre las empresas de la UE o las que operan en el bloque.

Para comprender el valor de los datos de sostenibilidad que respaldan estas iniciativas, siga el dinero. Las Cuatro Grandes están impulsando activamente negocios de sostenibilidad basados ​​en datos. Deloitte será invertido mil millones de dólares en su Práctica de Sostenibilidad y Clima en abril de 1, y ofrece una servicio de análisis de sostenibilidad práctica que ayuda a los clientes a monitorear el uso de recursos tanto internamente como en sus cadenas de suministro. EY, KPMG y PwC ofrecen servicios para crear una estrategia de sostenibilidad y luego integrar datos de operaciones para respaldarla.

Una superficie de ataque en expansión

Recopilar y reportar estos datos crea varios riesgos para las empresas:

Profundidad y amplitud de datos

Las empresas recopilan una amplia gama de datos operativos de sus propias instalaciones, que van desde el consumo de energía de las máquinas individuales hasta la producción de residuos, las cantidades de combustible y el número de flotas.

Algunos, como PwC, defensor lagos de datos que contendrán una combinación de datos operativos, de biodiversidad y de seguridad. Estos se combinarán con otros lagos de datos que contienen información de clientes y mercados, junto con datos de sistemas ERP, sensores de IoT e incluso datos de recursos humanos. Prevé que toda esta información fluya a través de herramientas de elaboración de informes de sostenibilidad.

Ámbito de datos

La otra amenaza es el alcance de los datos recopilados, que se extiende más allá de las operaciones patentadas de una organización hasta los datos de sus proveedores. El modelo de PwC para datos de sostenibilidad incluye información de terceros en la cadena de suministro corporativa.

El ataque a Schneider Electric comprometió su plataforma EcoStruxure Resource Advisor. Es un sistema basado en la nube que recopila y analiza datos sobre las operaciones de las instalaciones y las cadenas de suministro. Esto permite a los clientes monitorear y pronosticar el consumo de energía y generar informes de emisiones. Su material promocional afirma con orgullo que no sólo obtiene los propios datos de sus clientes, sino también datos de proveedores externos.

Centralización de datos

Empresas como Schneider Electric obtienen ganancias de los servicios de datos de sostenibilidad quitando la recopilación y el análisis de estos datos de las manos de los clientes. Esto convierte a estos proveedores de servicios de datos de sostenibilidad en un objetivo atractivo para los ciberdelincuentes que desean recopilar grandes volúmenes de esta valiosa información de los clientes. La unidad de sostenibilidad de Schneider Electric contaba con varias empresas de alto valor entre sus clientes, incluidas Clorox, DHL, DuPont, Hilton, Lexmark, PepsiCo y Walmart.

Cómo mantenerse seguro en pos de la sostenibilidad

No está claro si el ataque a Schneider Electric fue un objetivo o simplemente un accidente afortunado para ladrones oportunistas, pero de cualquier manera estos datos sensibles son claramente un objetivo valioso. Entonces, ¿qué pueden hacer las empresas para protegerse?

Evaluar a los proveedores para determinar prácticas de seguridad efectivas es clave, incluida la evaluación de sus certificaciones de controles de ciberseguridad. Sin embargo, estas certificaciones no garantizan el 100% de seguridad. Otras medidas pueden reducir la probabilidad de robo de datos.

Es importante mantener un inventario de datos sólido: realizar un seguimiento de los datos que se comparten y documentar claramente los tipos de información confidencial a los que puede acceder un proveedor de servicios externo. Establecer protocolos para gestionar el riesgo de acceso, tanto por parte de proveedores de servicios externos como internamente, también es una buena práctica de seguridad.

Ya sea que se trate de un proveedor de servicios externo o de que se recopilen y guarden todos los datos internamente, la protección contra el ransomware es crucial. Esto significa implementar controles, como la detección y prevención básica de puntos finales hasta la detección y respuesta administradas (MDR). La ciberhigiene básica, incluidas las actualizaciones de seguridad oportunas y la capacitación de los usuarios finales, también son líneas de defensa útiles.

Los datos ESG se están convirtiendo en un activo cada vez más atractivo para los delincuentes en línea, ya sea que los capturen indiscriminadamente en sus redes o los busquen intencionalmente. Medidas efectivas de ciberseguridad que estén bien documentadas contribuirán en gran medida a proteger esta nueva joya de la corona.