Introducción: Fundamentos del perfil de riesgo actual: «¿Cómo hemos llegado hasta aquí?»

Los fabricantes estadounidenses se enfrentan a múltiples retos de ciberseguridad que amenazan sus operaciones, reducen su productividad y ponen en peligro su propiedad intelectual y sus datos. Durante los últimos dos años, el sector manufacturero ha sido el más afectado por los ataques de ransomware,[1] y los fabricantes han gastado una media de 1,82 millones de dólares estadounidenses por ataque en 2023, sin incluir los pagos de rescates.[2]

Estos retos y riesgos en materia de ciberseguridad se ven agravados por el simple hecho de que las operaciones de fabricación suelen depender de diversos sistemas interconectados que no se han diseñado teniendo en cuenta la ciberseguridad. La modernización de esos sistemas puede resultar costosa y compleja. Pero los fabricantes que cuentan con sistemas más modernos tampoco se libran de los riesgos. Aunque la rápida integración de la tecnología y la conectividad en las operaciones de fabricación ha aportado niveles de innovación y eficiencia sin precedentes, también amplía exponencialmente la superficie de ataque cibernético y crea nuevas categorías de vulnerabilidades.

Descargar el informe

Igualmente problemático es el aumento de la sofisticación, la frecuencia y el coste de la respuesta a los ciberataques. Según un estudio reciente de la empresa de ciberseguridad Sophos, el 56 % de los encuestados del sector manufacturero sufrió un ataque de ransomware entre enero y marzo de 2023.[3] De ellas, solo una de cada cuatro empresas frustró los ataques antes de que sus datos fueran completamente cifrados, y más de un tercio recurrió al pago de un rescate en un intento por recuperar los datos.[4] Además, en el 32 % de estos ataques, los ciberdelincuentes no solo cifraron los datos, sino que también los robaron.[5]

Para hacer frente al abanico de retos que plantea la ciberseguridad, los fabricantes estadounidenses deben adoptar un enfoque holístico para proteger sus operaciones y datos, y avanzar hacia un sistema que proteja a la empresa y contribuya a impulsar la rentabilidad. En este documento, primero describimos los cinco retos clave en materia de ciberseguridad a los que se enfrentan los fabricantes, identificamos formas de gestionar esos riesgos y describimos las consideraciones legales y de seguros que deben tener en cuenta los fabricantes a la hora de abordar estas cuestiones. A continuación, proponemos nuevos enfoques que tienen el potencial de marcar el comienzo de una nueva era de fabricación inteligente y segura que convierte la ciberseguridad de un centro de costes a un centro de beneficios impulsado por el valor. En la sección final, describimos el poder de las asociaciones público-privadas a la hora de abordar los retos de ciberseguridad.

I. Navegando por el complejo terreno de los retos de la ciberseguridad

Para crear un enfoque holístico que garantice la seguridad de las operaciones y proteja los datos, es necesario tener en cuenta los numerosos retos de ciberseguridad inherentes a las operaciones de fabricación. Sin restar importancia a otros retos específicos de cada fabricante, a continuación se enumeran cinco retos clave cotidianos.

1. La proliferación del Internet industrial de las cosas (IIoT)

El primer reto proviene de la creciente adopción del Internet industrial de las cosas (IIoT) (véase la figura A más abajo). Aunque estos dispositivos IIoT y sistemas de automatización mejoran la productividad y la eficiencia, a menudo no están suficientemente protegidos y amplían la superficie de ataque para los ciberdelincuentes y los adversarios estatales. Las vulnerabilidades de un solo dispositivo pueden desencadenar un efecto en cadena que provoque la infiltración de toda una red de fabricación, la interrupción de las operaciones, la violación de datos e incluso daños físicos a los trabajadores.

Figura A[6]

Descargo de responsabilidad

Foley & Lardner LLP ("Foley" o "la Firma") pone a disposición este blog únicamente con fines informativos. No pretende transmitir la posición jurídica de la Firma en nombre de ningún cliente, ni tampoco asesoramiento jurídico específico. Las opiniones expresadas en este artículo no reflejan necesariamente los puntos de vista de Foley & Lardner LLP, sus socios o sus clientes. En consecuencia, no actúe sobre la base de esta información sin buscar el asesoramiento de un abogado autorizado. Este blog no pretende crear, y su recepción no constituye, una relación abogado-cliente. La comunicación con Foley a través de este sitio web por correo electrónico, entrada de blog, o de otro modo, no crea una relación abogado-cliente para ningún asunto legal. Por lo tanto, cualquier comunicación o material que usted transmita a Foley a través de este blog, ya sea por correo electrónico, entrada de blog o de cualquier otra manera, no será tratado como confidencial o de propiedad. La información de este blog se publica "TAL CUAL" y no se garantiza que sea completa, exacta o actualizada. Foley no hace representaciones o garantías de ningún tipo, expresas o implícitas, en cuanto a la operación o el contenido del sitio. Foley rechaza expresamente todas las demás garantías, condiciones y representaciones de cualquier tipo, ya sean expresas o implícitas, ya se deriven de cualquier estatuto, ley, uso comercial o de otro tipo, incluidas las garantías implícitas de comerciabilidad, idoneidad para un fin determinado, titularidad y no infracción. En ningún caso Foley o cualquiera de sus socios, directivos, empleados, agentes o afiliados serán responsables, directa o indirectamente, bajo ninguna teoría legal (contrato, agravio, negligencia u otra), ante usted o cualquier otra persona, por cualquier reclamación, pérdida o daño, directo, indirecto especial, incidental, punitivo o consecuente, resultante de u ocasionado por la creación, uso o confianza en este sitio (incluyendo información y otros contenidos) o cualquier sitio web de terceros o la información, recursos o material al que se acceda a través de cualquiera de dichos sitios web. En algunas jurisdicciones, los contenidos de este blog pueden considerarse publicidad de abogados. En su caso, tenga en cuenta que resultados anteriores no garantizan un resultado similar. Las fotografías son sólo para fines de dramatización y pueden incluir modelos. Los parecidos no implican necesariamente la condición actual de cliente, socio o empleado.

2. Escasez de profesionales cualificados en ciberseguridad

La escasez de profesionales cualificados en ciberseguridad en el sector manufacturero es una preocupación importante para las empresas que puede convertirse en un problema de seguridad nacional. Los fabricantes necesitan expertos que comprendan tanto las complejidades de los procesos industriales como la forma de protegerlos. Sin estos expertos, las empresas pueden ser víctimas de diversos vectores de ataque, lo que se traduce en pérdidas económicas y disminución de la productividad. A nivel nacional, los adversarios de otros países buscan activamente vulnerabilidades cibernéticas que puedan explotarse para paralizar las capacidades manufactureras críticas de Estados Unidos.

3. Vulnerabilidades de la cadena de suministro

Las vulnerabilidades de la cadena de suministro suponen una grave amenaza para los fabricantes estadounidenses y la economía mundial. Las redes entrelazadas de la cadena de suministro global que sustentan las operaciones de fabricación permiten a los ciberdelincuentes atacar y explotar los eslabones más débiles y menos seguros de la cadena de suministro. En 2023, se produjo un aumento significativo de los ciberataques dirigidos a la cadena de suministro, en particular los ataques a software, hardware y servicios de terceros.[7]

Al centrarse en organizaciones más pequeñas con una infraestructura de ciberseguridad menos sólida, los ciberdelincuentes pueden aprovechar la vulnerabilidad de terceros para obtener acceso y comprometer los sistemas de los fabricantes a los que suministran dichas entidades. Cualquier eslabón débil en la cadena de suministro puede dar lugar a la introducción de código malicioso o puertas traseras en los productos, o al compromiso de sistemas de red completos. Como resultado, los fabricantes deben actuar con mayor diligencia a la hora de seleccionar socios externos con los que trabajar, lo que requiere verificaciones de cumplimiento más estrictas para examinar las herramientas cibernéticas utilizadas por estos posibles socios.

4. Superar la brecha entre TI y TO

Otra vulnerabilidad puede derivarse de la convergencia entre la tecnología de la información (TI) y la tecnología operativa (TO), así como de la posibilidad de que se produzcan malentendidos entre culturas de seguridad diferentes. La TI se centra en la integridad y la confidencialidad de los datos, mientras que la TO hace hincapié en la seguridad y la fiabilidad. La fusión de estos ámbitos sin una alineación y una comunicación adecuadas puede dar lugar a confusión, configuraciones erróneas y vulnerabilidades que los ciberdelincuentes pueden aprovechar.

5. Panorama de amenazas cibernéticas en constante evolución

Los ciberdelincuentes cuentan cada vez con más financiación y recursos por parte de Estados interesados en perturbar no solo a nuestros fabricantes, sino también a la economía mundial. Además, emplean una serie de amenazas en constante evolución que van desde el malware tradicional hasta los exploits de día cero y los ataques de ransomware. A medida que los ciberdelincuentes siguen evolucionando y atacando al sector manufacturero, los fabricantes deben esperar ataques aún más sofisticados que reduzcan la productividad de la fabricación y dañen la infraestructura y a los empleados de los fabricantes. Los fabricantes deben adelantarse de forma proactiva a esta situación adoptando medidas preventivas e implementando arquitecturas defensivas seguras de última generación y otras tecnologías que se describen más adelante en este artículo.

Los fabricantes estadounidenses se enfrentan a un panorama de ciberseguridad complejo y en rápida evolución. La integración del IIoT, las vulnerabilidades de la cadena de suministro, la escasez de profesionales cualificados, la convergencia entre TI y TO, y la gran variedad de protocolos (y proveedores que ofrecen «soluciones») contribuyen a este desafío. Si bien cada empresa asume el riesgo y el coste de la ciberseguridad, la acumulación del riesgo colectivo para los fabricantes estadounidenses puede suponer una amenaza significativa tanto para la economía estadounidense como para la economía mundial.

II. Gestión de los riesgos cibernéticos en la actualidad

Los fabricantes deben adoptar un enfoque integrado y multifacético para mitigar los riesgos de ciberseguridad. Este nuevo enfoque debe evolucionar más rápidamente, ser más ágil que los adversarios e introducir innovaciones que proporcionen garantías de seguridad verificables de los procesos físicos. En la era en la que los mundos digital y físico se conectan, proteger los procesos y los datos de fabricación es de suma importancia para garantizar la competitividad global y la resiliencia del sector manufacturero estadounidense.

Los fabricantes no deben permitirse una falsa sensación de seguridad. Por ejemplo, el término «arquitectura segura» puede ser engañoso, ya que:

Connota una combinación de defensa perimetral + seguridad de datos;
A menudo implica controles de seguridad inadecuados que solo se aplican a un aspecto limitado de las operaciones o a una cadena de suministro.
Presta poca o ninguna atención a las consecuencias físicas en el mundo real; y
A menudo se alinea únicamente con los requisitos de cumplimiento.

Actualmente, ya existen muchas herramientas eficaces. Sin embargo, se centran principalmente en impedir que los intrusos accedan a la red, con una defensa perimetral lograda mediante la implementación de medidas de seguridad robustas. Estas medidas incluyen cortafuegos, sistemas de detección y prevención de intrusiones, control de acceso seguro y aislamiento físico. Al controlar el acceso a la red, los fabricantes pueden reducir la probabilidad de una violación. Además, invertir en la formación y la concienciación de los empleados en materia de ciberseguridad reduce aún más el riesgo, ya que el factor humano representa el mayor riesgo para la ciberseguridad. Los empleados suelen ser la primera línea de defensa contra las amenazas cibernéticas, por lo que es fundamental formarlos para que reconozcan los correos electrónicos de phishing, los intentos de ingeniería social y los riesgos asociados a los dispositivos portátiles, como las memorias USB.

Las actualizaciones periódicas de software son fundamentales. Estas actualizaciones suelen proteger contra vulnerabilidades conocidas que han sido expuestas recientemente. Recientemente, la Agencia de Seguridad Cibernética y de Infraestructuras (CISA) publicó un aviso conjunto sobre ciberseguridad en el que confirmaba que los autores de amenazas suelen atacar las vulnerabilidades del software antiguo, ya que suelen ser formas económicas y eficaces de comprometer un objetivo.[8] Por lo general, estas vulnerabilidades son antiguas y existen parches disponibles para ellas desde hace años. Los fabricantes son muy conscientes de que el software obsoleto alberga miles de vulnerabilidades cibernéticas que los ciberdelincuentes pueden aprovechar. Al mantener el software actualizado en todo el sistema, los fabricantes pueden cerrar los posibles puntos de entrada de los atacantes. Sin embargo, los parches por sí solos no siempre son suficientes; las organizaciones deben aplicar las técnicas de detección sugeridas para una supervisión continua. En algunos casos, los atacantes pueden aplicar ingeniería inversa a las actualizaciones y encontrar formas de eludir los parches publicados con nuevas variantes de explotación,[9] lo que pone de relieve la necesidad de que las organizaciones supervisen continuamente sus redes y sistemas.

Como resultado, la colaboración con terceros proveedores y distribuidores también puede mitigar el riesgo. El Centro de Análisis e Intercambio de Información sobre Fabricación (ISAC) (https://www.mfgisac.org/), recientemente inaugurado, es una valiosa fuente de información pública sobre las últimas amenazas cibernéticas. El ISAC proporciona información crítica para ayudar a los fabricantes a proteger y asegurar sus propios sistemas. Los fabricantes también pueden utilizar la información del ISAC para exigir a sus proveedores unos estándares de ciberseguridad más estrictos, lo que reduce drásticamente la probabilidad de riesgos de ataques a la cadena de suministro. Estados Unidos también ha financiado organizaciones encargadas de proteger a los fabricantes estadounidenses, como el Instituto de Innovación en Ciberseguridad para la Fabricación (CyManII).

Además, los fabricantes deben mantenerse al tanto de las amenazas cibernéticas y familiarizarse con las diversas herramientas y marcos de seguridad, como los documentos del Instituto Nacional de Estándares y Tecnología (NIST), el Departamento de Defensa de los Estados Unidos (DoD), el Departamento de Energía de los Estados Unidos (DOE), la Agencia de Seguridad Nacional (NSA), la Oficina Federal de Investigaciones (FBI) y la CISA. Estas organizaciones proporcionan información sobre las amenazas cibernéticas «urgentes» y cómo mitigarlas de forma proactiva. Los fabricantes también deben establecer un plan de respuesta a incidentes y preparar cómo responder, incluyendo cómo informar del incidente y a quién.

Un fabricante puede mantenerse un paso por delante en la guerra constante contra la ciberseguridad mediante la implementación de mecanismos avanzados de detección y respuesta ante amenazas. Por ejemplo, los sistemas de detección de intrusiones supervisan continuamente el tráfico de red en busca de patrones sospechosos, mientras que los análisis avanzados y el aprendizaje automático ayudan a identificar anomalías que a menudo pueden indicar un ciberataque en curso. Estos sistemas, junto con planes de respuesta rápida ante incidentes completos y bien entrenados, minimizan aún más los daños en caso de una posible violación de la seguridad.

Desafortunadamente, estas precauciones por sí solas pueden seguir siendo insuficientes para proteger a los fabricantes. Es fundamental recordar el problema subyacente: los sistemas utilizados no se diseñaron teniendo en cuenta la seguridad. Si bien los enfoques «complementarios» disponibles que se han comentado anteriormente pueden ayudar a reforzar la seguridad y proteger contra los ciberataques, su eficacia es limitada. Los fabricantes deben evolucionar e implementar estrategias nuevas e innovadoras para proteger a los fabricantes estadounidenses, sostener y hacer crecer la economía, y seguir siendo competitivos a nivel mundial.

Cubos tecnológicos — «Un fabricante puede mantenerse un paso por delante en la guerra constante contra la ciberseguridad mediante la implementación de mecanismos avanzados de detección y respuesta ante amenazas».

III. Implicaciones legales, obligaciones y responsabilidades

Además de los riesgos de ciberseguridad descritos anteriormente, los fabricantes deben comprender las diversas obligaciones e implicaciones legales, incluidas las responsabilidades financieras y legales potencialmente significativas.

1. Legislación vigente y obligaciones legales

En respuesta al aumento de las amenazas a la ciberseguridad, Estados Unidos ha introducido diversas leyes y medidas ejecutivas para mejorar la protección de las infraestructuras críticas. A nivel federal, estas incluyen, entre otras:

Ley de la Agencia de Seguridad Cibernética y de Infraestructuras (CISA) de 2018: Esta ley estableció a la CISA como la agencia federal principal responsable de proteger la infraestructura crítica. Las funciones y el papel de la CISA abarcan:
- Despliegue rápido: La responsabilidad de la CISA incluye el despliegue rápido de recursos y apoyo a las entidades afectadas para mitigar las amenazas cibernéticas en curso.
- Análisis de incidentes: La CISA analizará los incidentes notificados para identificar patrones y tendencias, mejorando la capacidad de responder eficazmente a las amenazas emergentes.
- Intercambio de información sobre amenazas: La CISA facilitará el intercambio eficiente de información sobre amenazas entre entidades, fomentando una postura colectiva de defensa de la ciberseguridad.
Ley de notificación de incidentes cibernéticos para infraestructuras críticas (CIRCIA): promulgada en marzo de 2022, la CIRCIA obliga a las empresas de infraestructuras críticas, incluidas las del sector manufacturero crítico, a notificar a la CISA los incidentes de ciberseguridad importantes y los pagos de ransomware en un plazo de 72 y 24 horas, respectivamente.
La Comisión de Bolsa y Valores de Estados Unidos (SEC): En marzo de 2022, la SEC propuso una norma que exige a las empresas que cotizan en bolsa informar sobre los incidentes de ciberseguridad, sus capacidades en materia de ciberseguridad y la experiencia y supervisión de su consejo de administración en este ámbito.
Suplemento del Reglamento Federal de Adquisiciones de Defensa (DFARS): Los fabricantes que contratan con el Departamento de Defensa deben cumplir con el DFARS, que impone requisitos específicos de ciberseguridad a los contratistas. Esto incluye la protección de la información controlada no clasificada (CUI) y el cumplimiento de las normas de la Publicación Especial 800-171 del NIST. El incumplimiento de estos requisitos puede dar lugar a la rescisión del contrato y a consecuencias legales.
Comisión Federal Reguladora de Energía (FERC): La FERC establece normas de ciberseguridad para el sector energético con el fin de proteger la infraestructura energética crítica del país. El cumplimiento de las regulaciones de la FERC es esencial para los fabricantes y las empresas de servicios públicos relacionados con la energía. El incumplimiento puede dar lugar a sanciones, la pérdida de licencias y daños a la fiabilidad de la red energética.

El cumplimiento de los requisitos de notificación impuestos por leyes como la CIRCIA y la FERC es fundamental. El incumplimiento de estos requisitos puede dar lugar a sanciones importantes y repercusiones legales. Aunque la CISA tiene hasta marzo de 2024 para desarrollar y finalizar las normas que exigen a las entidades afectadas notificar a la CISA los incidentes cibernéticos y los pagos de ransomware[10], se recomienda compartir información de forma proactiva durante el periodo de elaboración de las normas. En consecuencia, las entidades de los 16 sectores de infraestructura crítica definidos por la CISA, incluidas las del sector manufacturero crítico, y todos los registrantes en la SEC deben considerar y prepararse para notificar los incidentes a las autoridades competentes y cumplir con las regulaciones aplicables.

Legislación estatal emergente: Varios estados, entre ellos Colorado, Florida, Maryland y Nueva York, están trabajando activamente en la elaboración de leyes relacionadas con la ciberseguridad de las infraestructuras críticas. Aunque estos proyectos de ley aún no se han aprobado, es probable que sea solo cuestión de tiempo que se conviertan en ley.[11]

Estas medidas legislativas tienen como objetivo mejorar el intercambio de información, desarrollar normas de ciberseguridad y mejorar las asociaciones público-privadas para proteger las infraestructuras críticas. Sin embargo, las entidades afectadas deben comenzar a prepararse y garantizar el cumplimiento en caso de que se produzca un incidente cibernético.

2. Posibles responsabilidades legales

Los fabricantes se enfrentan a diversas responsabilidades legales en caso de producirse un incidente de ciberseguridad y deben tener en cuenta estas cuestiones como parte de su respuesta ante un incidente.

Leyes de protección de datos: si un ataque a la ciberseguridad implica una violación de datos personales, los fabricantes pueden incurrir en responsabilidad en virtud de las leyes de protección de datos. Por ejemplo, si una empresa manufacturera controla grandes cantidades de datos personales, incluidos los datos de clientes o empleados, estaría sujeta a leyes de protección de datos como el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, la Ley de Derechos de Privacidad de California (CPRA) y otras leyes estatales integrales de privacidad de datos en los Estados Unidos. El incumplimiento de estas leyes puede dar lugar a importantes multas y sanciones reglamentarias, que pueden alcanzar hasta el 4 % de la facturación global anual o 20 millones de euros en virtud del RGPD. Además, los fabricantes pueden enfrentarse a una responsabilidad considerable derivada de las demandas colectivas presentadas por las personas afectadas. Del mismo modo, el incumplimiento de los requisitos federales, como la CIRCIA, puede dar lugar a sanciones, multas o el cierre definitivo.
Responsabilidad de los directores y ejecutivos: Los directores y ejecutivos de las empresas manufactureras tienen obligaciones fiduciarias con los accionistas y podrían enfrentarse a reclamaciones legales por un presunto incumplimiento de dichas obligaciones. Por ejemplo, la obligación de diligencia de un director o ejecutivo puede interpretarse como la obligación de implementar medidas razonables de ciberseguridad. Si un ataque a la ciberseguridad provoca pérdidas económicas significativas, los directores y ejecutivos podrían ser considerados responsables por incumplimiento de su deber de diligencia. Del mismo modo, si un ataque a la ciberseguridad se debe a una falta de verificación y supervisión adecuadas de las políticas y procedimientos de ciberseguridad de un proveedor u otro tercero, los fabricantes pueden enfrentarse a posibles reclamaciones por incumplimiento del deber de diligencia exigido. Los accionistas también pueden presentar demandas alegando que la negligencia de los directores y ejecutivos a la hora de abordar los riesgos de ciberseguridad ha provocado pérdidas económicas.
Implicaciones en materia de propiedad intelectual (PI): Los incidentes de ciberseguridad que implican la pérdida o divulgación de PI, especialmente en casos de espionaje industrial, pueden dar lugar a costosas responsabilidades legales.
Obligaciones contractuales: Los fabricantes podrían ser considerados responsables por incumplimiento de contrato si un ataque a la ciberseguridad interrumpe su capacidad para cumplir con las obligaciones contractuales. Los contratos suelen contener cláusulas relacionadas con la protección de datos y la ciberseguridad requeridas, y el incumplimiento de estas obligaciones contractuales puede acarrear diversas consecuencias legales.

3. Consideraciones sobre los seguros cibernéticos

Combatir el aumento de las amenazas cibernéticas y cumplir con los crecientes requisitos legales puede resultar costoso. Los seguros cibernéticos desempeñan un papel crucial en la mitigación de los riesgos financieros asociados a las amenazas cibernéticas. Los fabricantes deben considerar cuidadosamente los diversos aspectos de los seguros cibernéticos. Estas pólizas suelen constar de dos componentes principales:

Cobertura propia: este aspecto de la póliza aborda los costes directos en los que incurre el fabricante como consecuencia de un incidente cibernético. Incluye cobertura para la respuesta ante violaciones de datos, la interrupción del negocio y los gastos de restauración de datos. Por ejemplo, si un ataque de ransomware interrumpe las operaciones, la cobertura por interrupción del negocio puede ayudar a compensar la pérdida de ingresos durante el tiempo de inactividad.
Cobertura de terceros: La cobertura de terceros se ocupa de las cuestiones de responsabilidad civil derivadas de un incidente cibernético. Abarca la protección contra los gastos legales, como los relacionados con la defensa ante demandas por violaciones de datos, violaciones de la privacidad y robo de propiedad intelectual. Los fabricantes también pueden estar cubiertos por multas y sanciones reglamentarias.

Para determinar el nivel y el alcance adecuados de la cobertura del seguro cibernético, lo primero es realizar una evaluación exhaustiva de los riesgos. Los fabricantes deben evaluar las posibles pérdidas financieras, las responsabilidades legales, los costes de cumplimiento normativo y el daño a la reputación para adaptar la cobertura del seguro a las necesidades específicas y a la tolerancia al riesgo de forma adecuada.

IV. Abordar de forma proactiva los riesgos cibernéticos

El verdadero estado de ciberseguridad requiere algo más que costosas y interminables aplicaciones «complementarias». Los fabricantes deben colaborar con expertos cibernéticos y jurídicos para desarrollar «arquitecturas seguras y defendibles» con las siguientes características:

La implementación del ciclo de vida de la ingeniería digital en toda la cadena de suministro.
Consideración de cada operación, máquina y persona como un «nodo» en este diseño digital para integrar a la perfección la cadena de suministro con las operaciones.
Capturar cada nodo en una identidad ciberfísica (pasaporte) que proporcione:
- Garantías de las funciones físicas;
- Vinculación de la seguridad con la calidad del producto y la eficiencia energética/de emisiones (energía incorporada); y
Propiedades de seguridad verificables que se pueden extender a múltiples dominios.

Como parte de las arquitecturas seguras y defendibles, los fabricantes deben desarrollar un pasaporte ciberfísico que garantice que todas las cadenas de suministro sean «aptas desde el principio» y «basadas en la confianza». La figura B ilustra dónde nos encontramos hoy (triángulo azul) y las innovaciones secuenciales que deben desarrollar e implementar los fabricantes estadounidenses. Es importante destacar que esta figura también refleja cómo prevemos los avances en tres frentes: ciberseguridad; calidad e integridad; y productividad, eficiencia energética y descarbonización.

Por lo tanto, se trata de un enfoque integrado y audaz que convierte la ciberseguridad de un centro de costes a un centro de beneficios. El beneficio de las inversiones en ciberseguridad se obtiene mediante (a) la verificación de la integridad y la calidad de los productos como ventaja comercial y (b) la optimización de la eficiencia energética y la reducción de emisiones a nivel de las instalaciones y la red de la cadena de suministro. La ciberseguridad pasa de ser una inversión interminable sin resultados verificables a una estrategia de inversión que conduce a garantías de seguridad verificables de los procesos físicos y los productos, al tiempo que aumenta la calidad y la integridad y reduce el consumo de energía y las emisiones.

Figura B

Descargo de responsabilidad

Foley & Lardner LLP ("Foley" o "la Firma") pone a disposición este blog únicamente con fines informativos. No pretende transmitir la posición jurídica de la Firma en nombre de ningún cliente, ni tampoco asesoramiento jurídico específico. Las opiniones expresadas en este artículo no reflejan necesariamente los puntos de vista de Foley & Lardner LLP, sus socios o sus clientes. En consecuencia, no actúe sobre la base de esta información sin buscar el asesoramiento de un abogado autorizado. Este blog no pretende crear, y su recepción no constituye, una relación abogado-cliente. La comunicación con Foley a través de este sitio web por correo electrónico, entrada de blog, o de otro modo, no crea una relación abogado-cliente para ningún asunto legal. Por lo tanto, cualquier comunicación o material que usted transmita a Foley a través de este blog, ya sea por correo electrónico, entrada de blog o de cualquier otra manera, no será tratado como confidencial o de propiedad. La información de este blog se publica "TAL CUAL" y no se garantiza que sea completa, exacta o actualizada. Foley no hace representaciones o garantías de ningún tipo, expresas o implícitas, en cuanto a la operación o el contenido del sitio. Foley rechaza expresamente todas las demás garantías, condiciones y representaciones de cualquier tipo, ya sean expresas o implícitas, ya se deriven de cualquier estatuto, ley, uso comercial o de otro tipo, incluidas las garantías implícitas de comerciabilidad, idoneidad para un fin determinado, titularidad y no infracción. En ningún caso Foley o cualquiera de sus socios, directivos, empleados, agentes o afiliados serán responsables, directa o indirectamente, bajo ninguna teoría legal (contrato, agravio, negligencia u otra), ante usted o cualquier otra persona, por cualquier reclamación, pérdida o daño, directo, indirecto especial, incidental, punitivo o consecuente, resultante de u ocasionado por la creación, uso o confianza en este sitio (incluyendo información y otros contenidos) o cualquier sitio web de terceros o la información, recursos o material al que se acceda a través de cualquiera de dichos sitios web. En algunas jurisdicciones, los contenidos de este blog pueden considerarse publicidad de abogados. En su caso, tenga en cuenta que resultados anteriores no garantizan un resultado similar. Las fotografías son sólo para fines de dramatización y pueden incluir modelos. Los parecidos no implican necesariamente la condición actual de cliente, socio o empleado.

Hay que tener en cuenta un factor adicional: la detección y mitigación de vulnerabilidades cibernéticas. En el panorama de las amenazas cibernéticas, que evoluciona rápidamente, es fundamental abordar las debilidades, enumeraciones y vulnerabilidades cibernéticas para mitigar los riesgos cibernéticos. Una debilidad cibernética se refiere a un defecto o susceptibilidad en el diseño o la implementación de un sistema. Estas debilidades pueden surgir debido a errores de codificación, configuraciones incorrectas, controles de seguridad inadecuados o errores humanos. Las enumeraciones implican sondear sistemáticamente un sistema objetivo para recopilar información sobre su arquitectura, servicios y posibles puntos de entrada. Las vulnerabilidades cibernéticas son brechas en la seguridad de un sistema que pueden explotarse para obtener acceso no autorizado, interrumpir las operaciones o robar datos. Estas vulnerabilidades pueden surgir de errores de software, software obsoleto o mecanismos de autenticación débiles.

Actualmente, los fabricantes persiguen las vulnerabilidades cibernéticas «parcheándolas» en las actualizaciones de software. Sin embargo, dado el gran número de vulnerabilidades, que no deja de crecer, muchos consideran que este enfoque es demasiado caro y poco escalable. En su lugar, los fabricantes deben elaborar listas exhaustivas de debilidades cibernéticas (en las que cada debilidad refleja entre miles y millones de vulnerabilidades), clasificarlas, enumerarlas y, a continuación, desarrollar anexos de ataque específicos para orientar las estrategias de mitigación. Organizaciones como MITRE, con la colaboración de CyManII y muchas otras empresas, han elaborado una lista exhaustiva de debilidades cibernéticas (https://cwe.mitre.org/), y CyManII está desarrollando anexos de ataque a la fabricación para que los fabricantes estadounidenses puedan hacer frente a las debilidades (y vulnerabilidades) que crecen a una escala sin precedentes.

Otro reto adicional es la falta de experiencia de los proveedores de servicios de seguridad gestionados (MSSP) en el estado actual de las pequeñas y medianas empresas manufactureras (SMM). A menudo, las SMM externalizan su seguridad, creyendo que sus necesidades cibernéticas están adecuadamente cubiertas, solo para descubrir que no es así cuando se enfrentan a una nota de ransomware. Muchos MSSP exageran sus capacidades y su visibilidad de las funciones críticas de una SMM, al tiempo que cuentan con personal insuficiente para sus operaciones debido a la falta de mano de obra y a los márgenes de beneficio. CyManII recomienda que las SMM intenten autorrepararse mediante soluciones de ayuda mutua y herramientas adecuadas, en lugar de limitarse a confiar en terceros. CyManII está desarrollando una IA generativa para este fin y la correcta implementación de controles de seguridad asociados con una respuesta adecuada y temprana a un intento de intrusión. La combinación de este enfoque con anexos de ataque contra categorías completas de enumeraciones de debilidades comunes (CWE) es revolucionaria. Es posible que nos encontremos en la encrucijada de llevar la ciberseguridad de una adolescencia difícil de manejar a la madurez.

También debemos dotar a los fabricantes de una plantilla con conocimientos cibernéticos. Para ello, debemos desarrollar e implementar formación a gran escala. CyManII ha desarrollado un amplio plan de estudios centrado en la fabricación de OT-ICS que se imparte de forma presencial, virtual y en línea. Con este enfoque y en colaboración con varios socios (SME ToolingU, Cyber Readiness Institute, etc.), estamos a punto de alcanzar el millón de trabajadores que han mejorado sus habilidades en ciberseguridad. Añadir este conjunto de habilidades a los fabricantes estadounidenses conduce a operaciones más seguras desde el punto de vista cibernético, al tiempo que se minimizan los tiempos de inactividad y los problemas de producción derivados de los ciberataques.

Imagen del Héroe de la Inteligencia de Datos. — La ciberseguridad es un deporte de equipo, y las APP permiten que los equipos más fuertes trabajen juntos, o quizás «Secure.TOGETHER» (Seguridad.JUNTOS).

V. El poder de las asociaciones público-privadas para hacer frente a las amenazas cibernéticas en el sector manufacturero

La industria manufacturera se encuentra en la encrucijada entre el avance tecnológico y los crecientes riesgos de ciberseguridad. En esta era digital, las asociaciones público-privadas (APP) surgen como una fuerza formidable para abordar y mitigar las amenazas cibernéticas a las que se enfrentan los fabricantes estadounidenses (y son una parte fundamental del cumplimiento de la CIRCIA). Las APP forjan colaboraciones, cooperación y contratos entre el gobierno, las empresas privadas y los expertos en ciberseguridad. Esta sinergia aprovecha la fuerza de cada sector para reforzar colectivamente las defensas contra las amenazas cibernéticas. Al poner en común recursos, conocimientos y experiencia, las APP desarrollan estrategias integrales e integradas que introducen nuevas innovaciones en el mercado.

Los fabricantes se benefician de las PPP gracias al acceso a información sobre amenazas en tiempo real, orientación sobre las mejores prácticas y la implementación de estándares para todo el sector. Lo más importante es que las PPP involucran a las empresas en la investigación, el desarrollo y la implementación de nuevas innovaciones cibernéticas en sus operaciones e instalaciones de fabricación, lo que permite a los fabricantes protegerse mejor contra las vulnerabilidades en constante evolución.

La ciberseguridad es un deporte de equipo, y las APP permiten que los equipos más fuertes trabajen juntos, o quizás «Secure.TOGETHER» (Seguridad.JUNTOS). En una era en la que las amenazas cibernéticas pueden interrumpir las operaciones, comprometer los datos privados, afectar a la seguridad nacional y amenazar nuestra economía, las APP ofrecen un sólido mecanismo de defensa. Es fundamental unir al sector público y al privado, ya que estas APP son la pieza clave para fortalecer la ciberresiliencia de la industria manufacturera y garantizar un crecimiento sostenido en nuestro mundo digital.

Más información sobre CyManII

Lanzado en 2020 por el Departamento de Energía de los Estados Unidos, CyManII trabaja con la industria manufacturera, instituciones académicas y de investigación, y agencias gubernamentales federales para desarrollar tecnologías que permitan la seguridad y el crecimiento del sector manufacturero estadounidense. Foley & Lardner es actualmente miembro de CyManII.

Información adicional sobre los riesgos de ciberseguridad a los que se enfrentan los fabricantes disponible enRecomendaciones para gestionar las amenazas de ciberseguridad en el sector manufacturero, también elaborado conjuntamente por Foley & Lardner y CyManII.

Autores

Socio

312.832.4367

Asociado

312.832.4389

Howard Grimes, director ejecutivo del Instituto de Innovación en Ciberseguridad para la Industria Manufacturera.

Director ejecutivo
Instituto de Innovación en Ciberseguridad y Fabricación

[1] «Índice de inteligencia sobre amenazas X-Force2023», IBM Security, febrero de 2023.

[2] «El estado del ransomware en la fabricación y la producción en 2023», Sophos, junio de 2023 (encuesta realizada en 14 países a fabricantes con entre 100 y 5000 empleados).

[3] Id.

[4] Id.

[5] Id.

[6] «Una aceleración en la adopción del IoT beneficiará a la economía digital», Delta2020, 29 de noviembre de 2016. Disponible en: https://delta2020.com/blog/150-an-accelerating-iot-adoption-rate-will-benefit-the-digital-economy

[7] «Informe sobre el panorama de amenazas del segundo trimestre de 2023: todos los caminos conducen a infiltraciones en la cadena de suministro», Kroll, 2023.

[8] «CISA, NSA, FBI y socios internacionales emiten un aviso sobre las vulnerabilidades más explotadas habitualmente en 2022», Agencia de Seguridad Nacional/Servicio Central de Seguridad, 3 de agosto de 2023. Disponible en: https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3481350/cisa-nsa-fbi-and-international-partners-issue-advisory-on-the-top-routinely-exp/.

[9] «Finding Something New About CVE-2022-1388» (Descubriendo algo nuevo sobre CVE-2022-1388), VulnCheck, 13 de abril de 2023. Disponible en: https://vulncheck.com/blog/new-cve-2022-1388

[10] La CISA está obligada a publicar un aviso de propuesta de reglamentación (NPRM) en un plazo de 24 meses a partir de la promulgación de la CIRCIA, lo que sitúa la fecha límite para el NPRM en marzo de 2024.

[11] «Legislación sobre ciberseguridad 2022», Conferencia Nacional de Legislaturas Estatales, 22 de julio de 2022. Disponible en: https://www.ncsl.org/technology-and-communication/cybersecurity-legislation-2022

[12] El ciclo de vida de la ingeniería digital se refiere al proceso integral de desarrollo y gestión de productos o sistemas digitales. Abarca varias etapas, desde la conceptualización hasta la retirada, e incluye actividades como el diseño, la simulación, la creación de prototipos, las pruebas, la implementación y el mantenimiento. Básicamente, se trata de un marco integral que aprovecha las tecnologías y herramientas digitales para optimizar y mejorar los procesos de ingeniería tradicionales.

Descargo de responsabilidad

Foley & Lardner LLP ("Foley" o "la Firma") pone a disposición este blog únicamente con fines informativos. No pretende transmitir la posición jurídica de la Firma en nombre de ningún cliente, ni tampoco asesoramiento jurídico específico. Las opiniones expresadas en este artículo no reflejan necesariamente los puntos de vista de Foley & Lardner LLP, sus socios o sus clientes. En consecuencia, no actúe sobre la base de esta información sin buscar el asesoramiento de un abogado autorizado. Este blog no pretende crear, y su recepción no constituye, una relación abogado-cliente. La comunicación con Foley a través de este sitio web por correo electrónico, entrada de blog, o de otro modo, no crea una relación abogado-cliente para ningún asunto legal. Por lo tanto, cualquier comunicación o material que usted transmita a Foley a través de este blog, ya sea por correo electrónico, entrada de blog o de cualquier otra manera, no será tratado como confidencial o de propiedad. La información de este blog se publica "TAL CUAL" y no se garantiza que sea completa, exacta o actualizada. Foley no hace representaciones o garantías de ningún tipo, expresas o implícitas, en cuanto a la operación o el contenido del sitio. Foley rechaza expresamente todas las demás garantías, condiciones y representaciones de cualquier tipo, ya sean expresas o implícitas, ya se deriven de cualquier estatuto, ley, uso comercial o de otro tipo, incluidas las garantías implícitas de comerciabilidad, idoneidad para un fin determinado, titularidad y no infracción. En ningún caso Foley o cualquiera de sus socios, directivos, empleados, agentes o afiliados serán responsables, directa o indirectamente, bajo ninguna teoría legal (contrato, agravio, negligencia u otra), ante usted o cualquier otra persona, por cualquier reclamación, pérdida o daño, directo, indirecto especial, incidental, punitivo o consecuente, resultante de u ocasionado por la creación, uso o confianza en este sitio (incluyendo información y otros contenidos) o cualquier sitio web de terceros o la información, recursos o material al que se acceda a través de cualquiera de dichos sitios web. En algunas jurisdicciones, los contenidos de este blog pueden considerarse publicidad de abogados. En su caso, tenga en cuenta que resultados anteriores no garantizan un resultado similar. Las fotografías son sólo para fines de dramatización y pueden incluir modelos. Los parecidos no implican necesariamente la condición actual de cliente, socio o empleado.