Miles de personas se convirtieron en víctimas de un ataque con buscapersonas en el Líbano en septiembre. Independientemente de quién esté detrás del incidente, se pone de relieve la necesidad de que todos tengamos seguridad en la cadena de suministro, especialmente para las empresas críticas que pueden ser blanco de espionaje o sabotaje.
Ya se han producido fallos en la cadena de suministro antes
El incidente del Líbano es brutal, pero no es la primera vez que un fallo en la cadena de suministro tiene consecuencias. Cuando el informático estadounidense Edward Snowden filtró documentos clasificados de las agencias de inteligencia de Estados Unidos a través de WikiLeaks en 2013-2014, el libro «Sin lugar donde esconderse», de Glenn Greenwald, reveló que la agencia de seguridad pública estadounidense NSA (National Security Agency) había instalado balizas en el firmware de los equipos de red de Cisco.
Estos implantes tenían como objetivo servir de puerta trasera o enviar a la NSA copias del tráfico que pasaba por el equipo de red. En este caso, la filtración detallaba que los envíos se interceptaban, se llevaban a las instalaciones de la NSA para modificarlos y, a continuación, se volvían a empaquetar y se enviaban al destinatario como si nada hubiera pasado.
¿Tenemos suficiente control sobre la seguridad?
La cadena de suministro es generalmente vulnerable y difícil de asegurar y, por desgracia, debemos aceptar que cierto grado de riesgo es inevitable. Si diriges una empresa, es muy probable que tengas secretos comerciales, información financiera sensible o datos personales que alguien pueda estar interesado en espiar. O puede que la empresa tenga una función que alguien quiera sabotear.
Durante mucho tiempo se instalaron equipos del gigante industrial chino Huawei en las estaciones base que proporcionaban de redes 4G a la población en Noruega. Por eso, en 2019, una nueva ley de seguridad del gobierno noruego impidió que Huawei se convirtiera en el único proveedor de redes celulares en el país.
La mayoría de las comunicaciones civiles dependen de la red móvil y se trata de una infraestructura crítica. Y, aunque no hay razón para creer que las empresas de telecomunicaciones, como proveedores de servicios serios y críticos, no tomaran precauciones contra los riesgos asociados a su cadena de suministro, no todas las empresas han mostrado el mismo nivel de precaución.
Entonces, ¿debemos confiar ciegamente en su cadena de suministro?
Nuevos requisitos para las empresas europeas
La directiva de seguridad NIS2, que entró en vigor en la UE el 16 de octubre de 2024, establece una serie de requisitos para que las empresas definidas como esenciales o críticas evalúen los riesgos y garanticen la seguridad en sus cadenas de suministro.
Aunque varios países europeos van un poco retrasados en la integración de esta directiva en su regulación, y sólo unos pocos como Bélgica, Hungría, Letonia y Croacia han transpuesto completamente la NIS2 a su legislación nacional, las empresas europeas deberían empezar a trabajar hoy mismo de acuerdo con la misma. El texto legal establece, entre otras cosas, que:
- Los Estados miembros deben garantizar que todas las empresas esenciales y críticas apliquen medidas técnicas, operativas y organizativas de reducción de riesgos, incluida la seguridad de la cadena de suministro.
- Esto se aplica también a la relación entre la empresa y cada proveedor, las vulnerabilidades de cada proveedor, la calidad del producto y el régimen de ciberseguridad del proveedor y sus contratos con terceros.
- Los países también deben tener en cuenta las evaluaciones de riesgo de los proveedores coordinadas por la UE.
La ley no especifica qué medidas son apropiadas para cada empresa, que debe evaluar el alcance de las medidas que debe adoptar de manera individual. Por lo tanto, es crucial contar con una evaluación de riesgos exhaustiva y completa que incluya la seguridad de la cadena de suministro.
Qué deben hacer ahora las empresas europeas
He aquí cinco consejos que las empresas deben tener en cuenta:
- Elegir a los proveedores basándose en una exhaustiva comprobación de antecedentes y una evaluación de riesgos.
- Entablar un diálogo con los proveedores para obtener información y asegurarse de que cuentan con prácticas de seguridad sólidas.
- Identificar los puntos vulnerables en los que la seguridad de la cadena de suministro es crítica.
- Inspeccionar las entregas y probar los equipos críticos.
- Disponer de un sistema de acceso remoto seguro para los proveedores, así como de servicios de escolta para el acceso físico.
Algunos países pueden crear normativas al amparo de la directiva que sean más detalladas en cuanto a requisitos y planteamientos, por lo que las empresas europeas también deben examinar si se han creado normativas de este tipo en su país.
Si la directiva se aplica correctamente, contribuirá a minimizar los riesgos de la cadena de suministro para las empresas europeas.