La revisión anual del NCSC 2023 y el discurso de King refuerzan la importancia de la ciberseguridad y la privacidad de los datos

Dos de los eventos más importantes en el calendario de la industria de la seguridad cibernética del Reino Unido durante los últimos meses fueron la publicación de la Revisión Anual 2023 del Centro Nacional de Seguridad Cibernética (NCSC) y el Discurso del Rey.

En la Revisión Anual 2023 del NCSC, la agencia gubernamental reflexiona sobre el panorama de riesgos de ciberseguridad, las tendencias y su trabajo entre septiembre de 2022 y agosto de 2023. Analiza todo, desde la amenaza que representan los estados-nación hasta el impacto de los ataques de ransomware en las empresas y ciudadanos del Reino Unido. .

Junto con la publicación de este informe, el primer discurso del rey Carlos III en la Cámara de los Lores fue un momento histórico y detalló dos nuevas regulaciones de ciberseguridad y privacidad de datos próximas. En este blog, desglosamos la Revisión Anual del NCSC 2023 y los elementos de ciberseguridad del Discurso del Rey. 

Amenazas del Estado-nación 

En su revisión anual de 2023, el NCSC explora las amenazas a la ciberseguridad que estados-nación infames como China, Rusia, Irán y Corea del Norte representan para la seguridad nacional, las empresas, las organizaciones y los ciudadanos del Reino Unido. 

El NCSC considera que el creciente estatus de superpotencia técnica de China, en particular, es una amenaza significativa para la seguridad nacional del Reino Unido. La organización describe a China como un “desafío que define una época para la seguridad del Reino Unido”, creyendo que el país se convertirá en la principal potencia del ciberespacio si Gran Bretaña no mejora su resiliencia y capacidades en esta área.

Descubrió que los piratas informáticos chinos continúan utilizando capacidades cibernéticas "sofisticadas" para "amenazar estratégicamente la seguridad y la estabilidad de los intereses del Reino Unido". Las empresas emergentes, la investigación y la innovación británicas son los objetivos principales. El NCSC calificó los desafíos de ciberseguridad de China como “globales y sistemáticos”, e instó a Gran Bretaña, sus aliados y socios industriales a mejorar su comprensión de estas amenazas. 

Otro Estado-nación que centra sus esfuerzos en la guerra cibernética es Rusia. Casi dos años después de la invasión de Ucrania, el gobierno ruso y los piratas informáticos afiliados continúan lanzando ataques cibernéticos contra el gobierno ucraniano y las empresas con sede en Ucrania. Sus tácticas preferidas son la denegación de servicio distribuida y los ataques de borrado de datos, aunque el NCSC afirma que "el impacto en Ucrania ha sido menor de lo esperado". Lo atribuye a la situación “bien desarrollada” del país. seguridad cibernética capacidades y apoyo internacional. 

Otras dos naciones con importantes amenazas a la ciberseguridad son Irán y Corea del Norte. El NCSC describió a Irán como un “actor cibernético agresivo y capaz” que “casi con seguridad utilizará lo cibernético para sus objetivos”, apuntando a todos, desde políticos hasta periodistas. Mientras tanto, el objetivo de Corea del Norte con sus actividades de piratería es ayudar a su economía en dificultades mediante la “generación de ingresos ilícitos y la evasión de sanciones”. Los piratas informáticos norcoreanos están lanzando ataques cibernéticos contra varias empresas, gobiernos e instituciones internacionales para obtener acceso a información valiosa. 

El ransomware lidera el camino 

El informe del NCSC también explora la evolución del panorama de la ciberseguridad. El ransomware es una de las mayores amenazas a la ciberseguridad a las que se enfrentan las empresas y organizaciones con sede en el Reino Unido, y el NCSC advierte que deberían "tomar medidas para protegerse de esta amenaza generalizada".

Aunque los ciberdelincuentes realizan predominantemente ataques de ransomware “robando y cifrando datos”, el NCSC ha advertido a las organizaciones y empresas que se mantengan alerta ante los ataques de extorsión de datos. Estos ven a los delincuentes robar pero no cifrar datos. 

Las víctimas de ransomware presentaron 297 informes al NCSC entre septiembre de 2022 y agosto de 2023, siendo las industrias más afectadas la academia (50), la manufactura (28), la TI (22), las finanzas (19) y la ingeniería (18). 

James Watts, director general de Barra de datos, espera que aumenten los ataques de ransomware contra objetivos del Reino Unido y los insta a tomar medidas para mitigar esta amenaza. Él dice: “Haga un plan, pruebe y haga ejercicio con frecuencia, actualícelo si es necesario.

“Si sufre un ataque de ransomware exitoso, el impacto podría ser catastrófico si no está preparado. Ese riesgo aumenta si su organización maneja y almacena datos confidenciales”.

Otras amenazas cibernéticas

El fraude es otra amenaza importante que afecta tanto a las empresas como a los particulares británicos, y una gran proporción (80%) está facilitada por medios cibernéticos. Para evitar ser víctima de un fraude cibernético, el NCSC recomienda utilizar tres palabras aleatorias para crear contraseñas y configurar la autenticación de dos factores en todas las cuentas de Internet.

En 2023, además de los actores estatales, los actores alineados con el Estado plantearon “una amenaza nueva y emergente” para la economía británica. infraestructura nacional crítica (CNI). Estos grupos están comenzando a mostrar “un deseo de lograr un impacto más disruptivo y destructivo contra el CNI occidental” junto con campañas cibernéticas tradicionales como ataques DDoS y desinformación en línea. 

El avance de inteligencia artificial La tecnología y los grandes modelos lingüísticos también permiten a los ciberdelincuentes “mejorar el oficio existente. El NCSC dice que la amenaza a corto plazo de esto será la amplificación de las amenazas cibernéticas actuales. En particular, la IA permitirá a los ciberdelincuentes ampliar sus campañas de piratería y hacerlas más rápidas. 

Katie Barnett, directora de seguridad cibernética de toro, está de acuerdo con las conclusiones del NCSC de que la tecnología de IA "amplifica los ataques en términos de velocidad y escala". Ella dice: "El número de ataques seguirá aumentando a menos que las organizaciones comiencen a poner la seguridad al frente de sus estrategias".

La mayor disponibilidad de herramientas y servicios comerciales de ciberseguridad también permitirá que los actores de amenazas, incluidos estatales y no estatales, realicen ciberataques más rápidamente. Esto les facilitará obtener “capacidad e inteligencia rentables” y cometer delitos cibernéticos “en ausencia de supervisión o comprensión de cómo se aplican las normas internacionales”. El NCSC dice que está apoyando al gobierno del Reino Unido y sus aliados para garantizar que estas herramientas se creen, se comercialicen y se utilicen de manera legal y responsable. 

Entre 2022 y 2023, el NCSC recibió 2,005 informes de empresas e individuos que experimentaron un incidente cibernético. Eso es un aumento del 64% con respecto al año anterior, cuando la organización recibió 1,226 informes. De estos 2,005 informes, la organización la gestión de incidencias Manejó 371 casos y consideró que 62 de ellos eran “de importancia nacional”. Barnett añadió: “Estas cifras deben actuar como un claro recordatorio para las organizaciones de que la ciberseguridad debe tratarse con el mismo valor que los objetivos comerciales.

El discurso del rey

En 2023, el rey Carlos III también abrió el parlamento por primera vez durante su reinado y pronunció un discurso desde el trono en la Cámara de los Lores, donde describió la agenda del gobierno del Reino Unido para los próximos meses. 

El rey discutió dos nuevas leyes diseñadas para mejorar la ciberseguridad del Reino Unido y protección de datos, el Proyecto de Ley de Protección de Datos e Información Digital (DPDI) y el Proyecto de Ley de Facultades de Investigación (Reforma).

Robert Wassall, director de servicios legales NormaCyber, explica cómo el gobierno espera ayudar a las empresas a lograr ahorros en costos de cumplimiento por miles de millones y aumentar la productividad mediante la introducción de una ley de protección de datos innovadora y flexible en forma de DPDI.

Esto, según se afirma, se logrará principalmente permitiendo a las empresas proteger los datos personales de manera más proporcionada y práctica que bajo el marco de la UE. GDPR, haciéndolos más eficientes al eliminar el papeleo innecesario y reducir la burocracia, manteniendo al mismo tiempo altos estándares de protección de datos”, afirma. 

Sin embargo, la introducción del DPDI podría empeorar la ya difícil relación de Gran Bretaña con la Unión Europea. Wassall advierte que la UE puede considerar esta ley como si el Reino Unido se alejara “demasiado del RGPD”.

En cuanto al proyecto de ley de poderes de investigación (reforma), Wassall dice que esta legalización “obligará a las empresas de tecnología a informar al Ministerio del Interior con antelación sobre cualquier característica de seguridad y privacidad que quieran añadir”. 

También los obligará a "desactivar aquellos a los que el gobierno se opone" y al mismo tiempo aumentará "el poder del Ministerio del Interior para obligar a las empresas no británicas a cumplir con los cambios que quiere que realicen en las características de seguridad sin derecho a apelar". 

Barnett cree que si bien “se necesita una reforma legislativa y un enfoque integral y conjunto para la regulación cibernética”, es poco probable que esto disminuya el número de ataques cibernéticos que ocurren. Y concluye: "Al igual que en mi respuesta al informe del NCSC, todos debemos trabajar juntos y las empresas deben tomar en serio la seguridad cibernética para evitar que su organización sea atacada".