El sector energético de EE.UU. corre un riesgo especialmente alto de sufrir ataques a la cadena de suministro: el 45 % de las infracciones de seguridad que afectaron a esta industria en el último año estuvieron relacionadas con terceros, según un nuevo estudio de SecurityScorecard y KPMG.
Esto se compara con un promedio global del 29 % de infracciones de la cadena de suministro en todas las demás industrias.
Además, el estudio descubrió que el 90 % de los ataques a empresas energéticas que se produjeron más de una vez involucraron a terceros.
Dos tercios (67 %) de las infracciones relacionadas con terceros involucraron a proveedores externos de software y TI. Alrededor de una quinta parte (22 %) involucraron a otras empresas energéticas.
La causa más común de las infracciones de terceros en el sector energético fue la explotación a gran escala de la vulnerabilidad del software de transferencia de archivos MOVEit por parte de la banda Clop en 2023, lo que representa el 39 % de las infracciones de terceros registradas.
Tres de las siete infracciones de MOVEit analizadas por la investigación involucraron a empresas de energía que usaban directamente el software MOVEit. Las otras cuatro fueron el resultado de proveedores que fueron atacados a través de sus propias instalaciones de MOVEit, esencialmente infracciones de terceros.
Prasanna Govindankutty, director y líder del sector de ciberseguridad de EE.UU. en KPMG, advirtió que la industria energética está atravesando una transición “generacional” en la cadena de suministro, que ha aumentado los riesgos de ciberseguridad a los que se enfrenta.
“Con el aumento de las amenazas geopolíticas y basadas en la tecnología, este complejo sistema se enfrenta a una exposición al riesgo igualmente generacional que podría dañar a los ciudadanos y a las empresas por igual”, comentó.
La investigación analizó 250 de las principales empresas energéticas de EE. UU., compuestas por una variedad de subsectores que incluyen energía y servicios públicos, petróleo y gas, recursos naturales y productos químicos.
Según el informe, pueden encontrarse diferentes niveles de desempeño de la ciberseguridad en el sector energético.
En general, la industria energética de EE.UU. obtuvo una calificación de “B” según la metodología de calificación de Scorecard, que se considera buena o respetable. Estas calificaciones tienen en cuenta una variedad de áreas de ciberseguridad.
Más de cuatro quintas partes (81 %) de las empresas analizadas obtuvieron calificaciones de A y B, lo que dejó al 19 % calificado como débil, deficiente o malo.
El petróleo y el gas natural obtuvieron la puntuación más alta de todos los subsectores de energía, probablemente debido a su mayor tamaño y mayor capacidad financiera para invertir en programas de seguridad.
El subsector con la calificación de seguridad más baja fue el de las energías renovables, y las empresas de esta área suelen ser más nuevas y más pequeñas.
Entre los factores de seguridad evaluados, el 92 % de las puntuaciones más bajas se concentraron en seguridad de aplicaciones, estado del DNS y seguridad de la red.