Ghenova, especialista en seguridad (security) de la cadena de suministro de la construcción naval

Redacción Interempresas30/04/2024

Ghenova es una empresa que ofrece servicios multidisciplinares de ingeniería y consultoría en las áreas de Naval y Defensa, Energía e Industria, Transformación Digital e Infraestructuras y actualmente trabaja en proyectos en más de 25 países. La sinergia entre sus áreas de negocio y la innovación continua la sitúan entre las empresas lideres de ingeniería en Europa e Iberoamérica. La experiencia acumulada a lo largo de más de 30 años de actividad, los buenos resultados y, sobre todo, la confianza de sus clientes, han contribuido a su continuo crecimiento en los sectores tecnológicamente más exigentes.

Todo ello hace que Ghenova conjugue un conocimiento muy profundo de la ingeniería naval, la integración de sistemas, la digitalización y la ciberseguridad, circunstancia que ha propiciado que Ghenova haya sido una de las empresas pioneras en España en ofrecer entre sus servicios uno específicamente enfocado a la seguridad (security) de la cadena de suministro con una orientación preferente hacia la construcción naval y que pueda presumir ya de casos de éxito en algo aún muy novedoso pero que, con toda seguridad, va a ver crecer su demanda en los próximos años.

Los ataques a, y a través de, la cadena de suministro

En el año 2020, un ciberataque que empleó como vector de compromiso un software producido por la compañía estadounidense SolarWinds afectó a alrededor de 18.000 de sus clientes, entre los que se encontraban agencias gubernamentales, la OTAN y grandes compañías. Se trata, hasta la fecha, del más grave y conocido entre los categorizados como ciberataques a, o a través de, la cadena de suministro. En los últimos años, estamos asistiendo a un crecimiento impresionante de este tipo de ataques. Se fundamentan en que la inseguridad de un proveedor se traslada a la organización que lo emplea, convirtiéndose así en el eslabón más débil de la cadena. Por otra parte, más del 50% de los ataques conocidos a cadenas de suministro han sido atribuidos a grupos APT (Amenaza Persistente Avanzada). Muchos de ellos están considerados actores-Estado y sus ataques suelen ser dirigidos, altamente sofisticados, complejos de detectar y de muy difícil atribución, lo que explica su elevado índice de éxito.

Un ataque a la cadena de suministro es una combinación de, al menos, dos ataques. El primero va dirigido contra un proveedor y se emplea como vector para acceder al objetivo final. Por lo tanto, para que se clasifique como ataque a la cadena de suministro, tanto proveedor como cliente deben ser objetivos secuenciales. Una vez comprometido el proveedor, su posición privilegiada frente al verdadero objetivo (relación de confianza, menores prevenciones) es explotada para incrementar las posibilidades de éxito de alguna de las técnicas precursoras habituales (phishing, falsificación de certificados, inserción de malware…), que de provenir de otra fuente difícilmente habrían podido prosperar.

El reto para el sector naval

Pocos casos podemos encontrar de cadena de suministro tan larga y compleja de gestionar como la necesaria para la construcción de un buque. Si tomamos como referencia una fragata moderna, estamos hablando de una cifra de proveedores que fácilmente puede alcanzar el centenar. Además, muchos astilleros hoy en día ejercen de integradores, por lo que sus proveedores lo son de equipos o sistemas complejos y cuentan con su propia cadena de suministro. Proveedores que, como consecuencia de la globalización, se reparten por todo el mundo, lo que incrementa las posibilidades de actuación de la amenaza, a la vez que complica la gestión de la seguridad.

Se estima que en torno a dos tercios de los ataques a la cadena de suministro utilizan como vector de compromiso el software proporcionado por proveedores. Sin embargo, hoy en día existen infinidad de elementos a bordo (motores, generadores, sistemas de control, bombas… y, por supuesto, todos los sensores y armas) que cuentan con algún tipo de software embebido y que se interconectan y comunican con otros sistemas del buque, por lo que la seguridad debe abarcar a todos ellos, dado que cualquiera puede ser empleado para atentar contra un sistema crítico o el propio buque.

Y aquí es importante advertir que una fragata o un super portacontenedores pueden resultar objetivos de altísimo interés para infinidad de actores, y muy especialmente actores-Estado, por lo que hemos de asumir que habrá grupos APT que, con la finalidad del espionaje o el sabotaje, traten de acceder a los sistemas para robar información o insertar algún tipo de malware. Y esto es algo que puede ocurrir tanto en la fase de construcción como en la de operación, pero para lo que hay que estar ya preparado desde la definición y el diseño.

¿Cómo pueden gestionar este riesgo emergente las armadas, navieras y astilleros? La respuesta no es sencilla, en tanto abarca un buen número de medidas, muy heterogéneas, que deben implantarse de manera coordinada, teniendo en cuenta que la exposición de un buque a las ciberamenazas varía notablemente a lo largo de su ciclo de vida: definición precisa y completa de requisitos de ciberseguridad y cláusulas contractuales, security by design, desarrollo seguro de software, auditorías de software, incorporación de elementos de ciberseguridad a bordo, adecuada selección de las tecnologías, contratación de especialistas, , arquitecturas y configuraciones, planificación y ejecución de análisis de riesgos, auditorías y test de penetración, medidas antitampering, concienciación... Y podríamos seguir.

Todas las medidas esbozadas en el párrafo anterior son complicadas de implementar, incluso de forma individual, por lo que cada vez es más recomendable recurrir a empresas especializadas; pero sin olvidar que este sector reúne muchas peculiaridades que complican el problema y con las que resulta muy conveniente estar familiarizado. Ghenova es una de ellas.

Comentarios al artículo/noticia

Nuevo comentario

Identificarse | Registrarse

Nombre

Texto

Atención

Los comentarios son la opinión de los usuarios y no la del portal. No se admiten comentarios insultantes, racistas o contrarios a las leyes vigentes. No se publicarán comentarios que no tengan relación con la noticia/artículo, o que no cumplan con el Aviso legal y la Política de Protección de Datos.

Advertencias Legales e Información básica sobre Protección de Datos Personales:
Responsable del Tratamiento de sus datos Personales: Interempresas Media, S.L.U. Finalidades: Gestionar el contacto con Ud. Conservación: Conservaremos sus datos mientras dure la relación con Ud., seguidamente se guardarán, debidamente bloqueados. Derechos: Puede ejercer los derechos de acceso, rectificación, supresión y portabilidad y los de limitación u oposición al tratamiento, y contactar con el DPD por medio de lopd@interempresas.net. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar una reclamación ante la AEPD.

Responsable: Interempresas Media, S.L.U. Finalidades: Suscripción a nuestra(s) newsletter(s). Gestión de cuenta de usuario. Envío de emails relacionados con la misma o relativos a intereses similares o asociados.Conservación: mientras dure la relación con Ud., o mientras sea necesario para llevar a cabo las finalidades especificadasCesión: Los datos pueden cederse a otras empresas del grupo por motivos de gestión interna.Derechos: Acceso, rectificación, oposición, supresión, portabilidad, limitación del tratatamiento y decisiones automatizadas: contacte con nuestro DPD. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar reclamación ante la AEPD. Más información: Política de Protección de Datos