Esta página se ha traducido con ayuda de inteligencia artificial. Puede contener errores.

Iniciar sesión o registrarse UITP Summit
Volver a las noticias
27 febrero 2024

Gestión de riesgos y resiliencia: Entrevista con Paul Gwynn, presidente del Comité de Ciberseguridad (Cybersecurity Committee).

Mundial Ciberseguridad Datos Resiliencia Entrevista

La Ciberseguridad es vital para la resiliencia del transporte público .

A medida que las empresas de transporte público modernizan sus operaciones para hacerlas más eficientes, también deben hacerlas más seguras.

De hecho, cualquier sistema automatizado o infraestructura digital, desde la venta de billetes hasta la señalización de las vías, es susceptible de sufrir un ciberataque.

Por ello, las medidas eficaces de ciberseguridad son la base de unas operaciones de transporte público seguras.

Con bastante frecuencia, las redes de transporte público son atacadas no porque sean el objetivo principal, sino porque son vulnerables.
Pablo Gwynn
Presidente del Comité de Ciberseguridad (Cybersecurity Committee) de la UITP

¿Qué hace UITP ?

El Comité de Ciberseguridad (Cybersecurity Committee) de la UITP reúne a expertos y profesionales de todo el sector.

El comité está trabajando para sensibilizar y ofrecer orientación sobre las mejores prácticas en materia de gobernanza de la ciberseguridad, diseño para la seguridad y desarrollo de la capacidad cibernética tan necesaria para el sector del transporte público.

La publicación más reciente es «Ciberseguridad para organizaciones de enseñanza de derecho de pequeña y mediana escala» , que se lanzó exclusivamente para los miembros de la UITP en febrero de 2024.

Esta publicación introduce el tema a operadores con experiencia y recursos limitados.

En él se describen los cuatro objetivos clave esenciales para una estrategia de ciberseguridad exitosa, así como los diferentes enfoques necesarios para las Tecnologías de la Información (TI) y las Tecnologías Operativas (TO), proporcionando ejemplos de casos de uso desde el punto de vista de un Gerente de Seguridad de TI y un Gerente de Seguridad de TO.

Ver publicación en MyLibrary

Para hablar sobre la importancia de la ciberseguridad en el transporte público y el impacto de la UITP, conversamos con Paul Gwynn, presidente del Comité de Ciberseguridad (Cybersecurity Committee) de la UITP .

Una charla con Paul Gwynn, presidente del Comité de Ciberseguridad (Cybersecurity Committee).

P: ¿Cómo se creó el Comité de Ciberseguridad (Cybersecurity Committee) ?

Paul Gwynn: En 2016, el Policy Board solicitó al Comité ITSI asesoramiento sobre cómo abordar la ciberseguridad. Trabajamos en un primer informe que se convirtió en los Puntos de Acción: Ciberseguridad en el transporte público, que se centró en cómo empezar, qué hacer, adónde ir y los estándares clave del sector. Pero el mundo ha cambiado en seis años, así que estamos pensando en actualizarlo este año.

Como resultado de los Puntos de Acción, la ciberseguridad se identificó como un tema importante y se nos pidió que creáramos un grupo de trabajo como parte del Comité de Seguridad (Security Committee). Muy pronto, la ciberseguridad se convirtió en un tema candente y recibimos muchas solicitudes con problemas complejos, desde seguridad física y técnica hasta vulnerabilidades en sistemas de videovigilancia y comunicaciones por radio. Y descubrimos que la gente estaba muy desinformada en lo que respecta a la ciberseguridad.

Casi nadie contaba con estructuras formales para abordar la ciberseguridad. Lo peor de todo es que gran parte de la tecnología era muy antigua y, en muchos casos, los fabricantes de los equipos originales ya no estaban en activo. Así que la gente tenía sistemas antiguos que no recibían soporte y no sabían qué hacer. Por eso elaboramos una guía sobre la vulnerabilidad a la obsolescencia en los sistemas de tecnología operativa (OT), los sistemas de videovigilancia (CCTV) y las radiotelecomunicaciones.
Pablo Gwynn
Presidente del Comité de Ciberseguridad (Cybersecurity Committee) de la UITP

Desarrollar la resiliencia

P: ¿Qué impacto está teniendo el comité?

Paul Gwynn: Pues bien, al publicar artículos con directrices y ejemplos de buenas prácticas, conseguimos un gran impacto. Por ejemplo, nuestro informe sobre los requisitos de ciberseguridad en las licitaciones ya se ha utilizado en licitaciones públicas de todo el mundo. Un próximo documento que creo que será muy popular entre los operadores explora las herramientas de gestión de riesgos tanto para operadores pequeños como grandes. En este artículo, nuestro objetivo es responder de forma práctica a cómo los operadores pueden realizar evaluaciones de riesgos en sus sistemas.

Lea los requisitos

Además, participamos activamente en labores de promoción y divulgación, como nuestra relación de enlace con APTA en Norteamérica y una relación en desarrollo con ENISA, la Agencia Europea de Ciberseguridad . Intercambiamos información y los invitamos a las reuniones de nuestro Comité para que tengan una visión más amplia del mundo de la ciberseguridad.

También se trata de crear conciencia y responder preguntas en otros comités de la UITP . Porque si eres nuevo en la ciberseguridad, existen muchos estándares que se pueden utilizar, pero a menudo es difícil entender cómo se aplican a los diferentes modos de transporte público. Muchos de nuestros informes explican cómo se pueden utilizar los principios rectores.

En definitiva, nuestro trabajo de divulgación consiste en dar voz a todo el sector del transporte público y garantizar que nuestros sectores estén debidamente representados en el entorno regulatorio de la ciberseguridad.
Pablo Gwynn
Presidente del Comité de Ciberseguridad (Cybersecurity Committee) de la UITP

Amenazas y riesgos

P: ¿Cuáles son los riesgos de una ciberseguridad deficiente en el transporte público?

Paul Gwynn: En pocas palabras, podrías sufrir una interrupción del servicio. Por ejemplo, los datos que alimentan su sistema de emisión de billetes podrían ser bloqueados por un ataque de denegación de servicio distribuido (DDoS). Y entonces nadie puede recargar sus tarjetas y no tienes ingresos. O si el sistema de planificación de turnos de la tripulación deja de funcionar, los conductores no conocen sus funciones y, por lo tanto, los trenes no circulan y los autobuses no salen de la estación. Son problemas sencillos con consecuencias enormes.

En ocasiones, puede resultar simplemente molesto y vergonzoso, por ejemplo, cuando los piratas informáticos cambian los mensajes de los carteles. Pero, lo que es más importante, puede suponer una amenaza real para la vida. Por ejemplo, los ataques a los sistemas OT pueden afectar a sistemas críticos para la seguridad, como la señalización ferroviaria. Esto no es imposible.

Un estudio de caso a partir de los puntos de acción

Un pirata informático descarrila tranvías en Lodz, Polonia.

En 2008, en la ciudad de Lodz, Polonia, alguien modificó un mando a distancia de televisión para piratear el sistema de tranvías, tomando el control de un tranvía y de los sistemas de cambio de vías.

Durante el incidente, cuatro tranvías descarrilaron y varios otros tuvieron que frenar de emergencia, lo que provocó que doce personas resultaran heridas.

Para llevar a cabo la hazaña, el hacker utilizó información de código abierto y se coló en depósitos de tranvías para recopilar la información y el equipo necesarios.

Ataques, violaciones y accidentes

P: ¿Por qué alguien atacaría a una organización de transporte público ?

Paul Gwynn: Existen diversas motivaciones. Oímos hablar de piratas informáticos criminales y de quienes utilizan el ransomware para extorsionar dinero, o de grupos políticos que podrían usurpar nuestros sistemas de información. Pero también hay empleados descontentos. Cada vez con mayor frecuencia, observamos ciberataques por parte de actores estatales.

Con bastante frecuencia, las redes de transporte público son atacadas no porque sean el objetivo principal, sino porque son vulnerables. Cada día se producen cientos de ciberataques contra sistemas; hay personas que buscan la manera de acceder a ellos. Hasta ahora, hemos tenido mucha suerte de que el transporte público no haya sido un sector de gran relevancia para los ataques deliberados.

Pero la ciberseguridad protege contra algo más que simples ataques externos. El factor humano es el elemento más importante en las filtraciones de datos. Lo cierto es que la gente comete errores. El 85% de todas las filtraciones de datos tienen un factor humano. Son accidentales. En realidad, gran parte de lo que estamos abordando tiene que ver con la formación, la concienciación y las pruebas.

  • El 85% de todas las filtraciones tienen un factor humano.
  • Según las estadísticas de ENISA, los ataques DDoS representan el 53% de los ataques en Portugal.
  • Si bien el ransomware representa el 19% de los ataques en Portugal, según ENISA

Recomendaciones de Ciberseguridad

P: ¿Qué consejos les daría a los operadores y autoridades que desean digitalizar sus operaciones, manteniendo al mismo tiempo la seguridad?

Paul Gwynn: En definitiva, las organizaciones deben comprender y gestionar los riesgos a los que se enfrentan. Eso se consigue, en primer lugar, realizando una auditoría de todo el sistema y, a continuación, llevando a cabo análisis de riesgos. Debes priorizar el mayor riesgo para tu sistema e introducir medidas de mitigación para controlar y gestionar dicho riesgo. Por ejemplo, mediante la introducción de procedimientos internos, la capacitación del personal, la segmentación de las redes y la actualización de la tecnología. En realidad, de lo que estamos hablando aquí es de ciberseguridad desde el diseño.

Para que su sistema sea seguro, debe ser monitoreado continuamente. A lo largo de la vida útil del sistema, se producirán muchos cambios. Y cada vez que se produce un cambio, debe realizarse una evaluación del impacto que supone dicho cambio. La Ciberseguridad no es algo que se haga una sola vez. Es un proceso que dura toda la vida.

La Ciberseguridad no puede ser una cuestión secundaria. El diseño de los sistemas no solo debe ser seguro, sino que también deben operarse de forma segura. Para garantizarlo se requiere una defensa en profundidad.
Pablo Gwynn
Presidente del Comité de Ciberseguridad (Cybersecurity Committee) de la UITP

El futuro del Comité

P: ¿Cuál es el futuro del Comité de Ciberseguridad (Cybersecurity Committee)?

Paul Gwynn: Con la Academia de Formación , ya hemos realizado cinco o seis cursos de formación diferentes. La Ciberseguridad es un campo relativamente nuevo para la mayoría de los operadores y autoridades, lo que dificulta la contratación del personal adecuado. Para ello, queremos crear un diploma de la UITP para capacitar al personal en ciberseguridad.

Sabemos que muchos operadores reclutan internamente. A menudo, no se trata de personas con experiencia en ciberseguridad, sino simplemente de personas con interés o capacidad para investigar. Creemos que un diploma UITP en ciberseguridad puede ayudar a nuestros miembros, además de brindarles a las personas una buena oportunidad laboral.

Lea el Grupo de trabajo sobre la fuerza laboral de la UITP

La nueva publicación

Ciberseguridad para operadores de transporte público pequeños y medianos

P: Por último, ¿qué nos puede contar sobre la nueva publicación de su comité, Ciberseguridad para operadores de transporte público pequeños y medianos?

Paul Gwynn: Este nuevo artículo trata sobre el desarrollo de sistemas de tecnología operativa para hacer frente a amenazas nuevas y emergentes. En estos momentos están ocurriendo muchas cosas en lo que respecta a la transformación digital, por lo que queremos asegurarnos de que la gente comprenda su vulnerabilidad. En resumen, es fantástico contar con este nuevo entorno digital y querer intercambiar datos libremente, pero hay que ser consciente de las posibles amenazas cibernéticas a las que uno se expone al hacerlo.

El informe explica estas amenazas a los operadores con experiencia o recursos limitados y las medidas que pueden tomar para empezar a abordarlas. Se remite a las normas pertinentes y a las mejores prácticas con un enfoque claro y práctico.

¡Descubre información valiosa! (Solo para Socios )