Cannabis más seguro y protegido
Los ciberataques, que se apropian de datos e información confidencial en forma electrónica y acaparan titulares, están aumentando a nivel mundial. En mayo de 2021, los ciberataques paralizaron los sistemas de salud de Irlanda y Nueva Zelanda, cortaron el acceso a los registros, retrasaron cirugías y citas y comprometieron la privacidad de los pacientes. El Informe sobre delitos en Internet de 2020 de la Oficina Federal de Investigaciones (FBI) de los EE. UU. muestra un incremento de 69 % con respecto a 2019 en los delitos cibernéticos reportados en los
EE. UU., con pérdidas que exceden $ 4100 millones. Con frecuencia, los ataques incluyen contraseñas comprometidas y malware, software malicioso que incluye virus, spyware y ransomware. El ransomware fue el culpable del corte en mayo de 2021 de la red de ductos de combustibles Colonial Pipeline de los EE. UU., que provocó escasez de gasolina, descontento de los consumidores y, en última instancia, el pago de cerca de $ 5 millones en Bitcoin al grupo ciberdelincuente DarkSide. El ciberataque de la cadena de suministro de 2020, conocido como el hack de SolarWinds, afectó al menos a 200 organizaciones en todo el mundo, incluidas Microsoft, Credit Suisse, la Reserva Federal de los EE. UU. y el Parlamento Europeo. Las grandes corporaciones y entidades gubernamentales no son las únicas víctimas. Las escuelas, las pequeñas empresas y personas individuales también son objetivos de estos delincuentes.
Ya que se considera un mercado emergente formado principalmente por pequeñas empresas, la industria del cannabis es particularmente vulnerable a los ciberataques. "Pasamos de un producto que alguna vez se consideró ilegal a un producto valioso que, en ocasiones, se cotiza en la bolsa de valores. Aunque nuestros riesgos pueden no ser diferentes de los de otros negocios, como somos cannabis y estamos en las noticias y muy presentes en muchas conversaciones, hay una mirada más nueva y un mayor interés en nosotros. Y eso nos hace más vulnerables. Somos objetivos del crimen organizado y de actividades delictivas y, como resultado, se necesitan estándares y protecciones relevantes", dice Mike Soberal, director senior de seguridad corporativa en Aurora Cannabis y Profesional de protección certificado (CPP). También es el nuevo presidente del Subcomité sobre Seguridad y transporte del cannabis (D37.05).
Para ayudar a proteger a los recolectores, fabricantes, extractores, distribuidores y vendedores de cannabis, el subcomité de 230 miembros está trabajando en la nueva Guía para la implementación de ciberseguridad en una operación de cannabis (WK69969). Con el objetivo de reducir el riesgo de ciberataques, el estándar propuesto establecerá el nivel para la protección de datos confidenciales de clientes, información propietaria e infraestructura crítica, proporcionando a las empresas de cannabis pautas claras sobre cómo aplicar las medidas de seguridad.
Una industria madura para el ciberataque
Al redactar la nueva guía, el subcomité tuvo en cuenta qué hacía que las pequeñas empresas fueran objetivos tan fáciles y deseables para los ciberdelincuentes. Hay una serie de motivos. Es posible que las pequeñas empresas no sean tan conscientes de las amenazas a la seguridad. Es posible que no tengan la capacitación, el personal de TI y la infraestructura informática que se requiere para combatir estos delitos digitales. Pueden ser parte de cadenas de suministro de grandes corporaciones, que sirven como trampolín hacia estas entidades más grandes y permiten a los delincuentes aplicar esquemas de extorsión más lucrativos, lo que hace muy tentadora a la infiltración. Estos motivos contribuyen a hacer que la industria del cannabis sea susceptible a ciberataques.
A medida que aumentan los delitos digitales, también aumenta la toma de conciencia sobre ellos. Sin embargo, este conocimiento no siempre da como resultado una mayor seguridad. Un estudio de enero de 2020 de la empresa internacional de ciberseguridad BullGuard reveló que cerca del 60 % de los propietarios de pequeñas empresas del Reino Unido y los Estados Unidos no creían que sus empresas serían objetivo de ciberdelincuentes. Sin embargo, el 18.5 % había sufrido ciberataques durante el año anterior. Estos eventos provocaron una disminución de la productividad, pérdida de datos y, en algunos casos, reducción de ingresos. De las pequeñas empresas que experimentaron violaciones de datos, el 25 % gastó al menos $ 10 000 para recuperar sus datos. E incluso después de pagar un rescate, algunos no pudieron recuperar sus datos robados. Según sea la estabilidad financiera de la empresa, un ciberataque costoso podría forzarla a cerrar.
A pesar de estas aleccionadoras estadísticas, el estudio de BullGuard mostró que el 43 % de las pequeñas empresas del Reino Unido y los EE. UU. aún no tienen ningún tipo de ciberseguridad. Más aún, un tercio de las empresas con 50 empleados o menos confían en las soluciones de seguridad gratuitas de nivel de consumidor. Los propietarios suponen que, al confiar en software gratuito, ahorran dinero y al mismo tiempo protegen sus datos valiosos. Lo que tal vez no sepan es que la ciberseguridad de uso doméstico únicamente ofrece las funciones más básicas que, por lo general, no evitarán intrusiones complejas y específicas de las aplicaciones.
La nueva Guía para la implementación de ciberseguridad en una operación de cannabis (WK69969), cuando se complete, debería ayudar a aliviar las debilidades de ciberseguridad y también a educar a quienes trabajan en la industria sobre sus riesgos.
"Estamos creando un estándar para explicar a la gente algunas de las filtraciones de datos que serán muy comunes y que podemos mitigar con las mejores prácticas de software para que los trabajadores (“budtenders”) de los dispensarios o los vendedores de cannabis no cometan errores", dice Mike Coner, fundador y presidente de ezGreen Compliance y líder técnico del comité D37 para la guía WK69969.
Según Coner, algo tan simple como un empleado que se retira y copia la base de datos de la empresa en una memoria USB para usarla después en una empresa de la competencia puede causar una filtración de datos en la industria del cannabis. O bien, las filtraciones pueden ser tan flagrantes como que un dispensario de marihuana medicinal exhiba las licencias de conducir de sus clientes en la pantalla de una computadora, dispuestas en el orden en que llegaron, o que un “budtender” deje el historial de un paciente abierto en una tablet para que cualquier persona del dispensario pueda verlo. Las filtraciones también pueden ser el resultado de algo tan negligente como que un dispensario almacene localmente los datos de los clientes, pero sin instalar un cortafuegos ni realizar las actualizaciones de software. Esto proporciona un fácil acceso para cualquiera que desee piratear la base de datos de pacientes.
En todos estos escenarios, la privacidad del paciente se ve comprometida. En algunos casos, solo un puñado de personas está en peligro. En otras ocasiones, las repercusiones son mucho mayores.
En diciembre de 2019, se filtraron los datos personales de más de 30 000 pacientes de marihuana medicinal de varios dispensarios de cannabis de los Estados Unidos. Había en la información expuesta nombres, identificaciones con foto, fechas de nacimiento, números de teléfono, direcciones de correo electrónico, números de identificación médica y límites de gramos. Según vpnMentor, que descubrió la filtración de datos, el sistema de punto de venta utilizado por los dispensarios afectados no se había encriptado ni protegido. Los piratas informáticos podían, y lo hicieron, entrar fácilmente en el sistema y obtener datos personales.
"Todo lo que vaya a su red se puede piratear. A todo lo que tenga una contraseña o un nombre de usuario se le deben cambiar los valores predeterminados", dice Tim Sutton. Sutton es consultor senior de seguridad en Guidepost Solutions y miembro de ASIS International (anteriormente Sociedad Estadounidense para la Seguridad Industrial) y del Comité sobre Seguridad del cannabis. "En el caso de las alarmas antirrobo, usualmente hay un solo código para todos, pero cada persona debería tener una contraseña única y diferente. Esto hace que el sistema sea más seguro y permite establecer responsabilidades. Los integradores de seguridad crean a menudo este tipo de vulnerabilidades de seguridad operativa. Trabaje con un profesional de seguridad experimentado, alguien capacitado en seguridad, no en el ámbito policial y de las fuerzas del orden. Hay notorias puertas traseras, en los sistemas de cámaras, que pueden dejar a las empresas completamente abiertas a la piratería. Los profesionales de seguridad las conocen y saben cómo solucionar estos problemas".
Privacidad, suministro y requisitos incoherentes
Las violaciones de la privacidad son un grave problema para la industria del cannabis. La divulgación de los registros médicos y el historial de compras de una persona puede provocar el robo de identidad, chantaje, estigma personal y contratiempos profesionales. Para aquellos consumidores cuyos empleadores prohíben el consumo de cannabis, la divulgación de esta información podría ocasionar la pérdida del empleo y la ruina de su carrera profesional. Para los proveedores que son pirateados, la confianza del consumidor y, en última instancia, sus ingresos, podrían verse afectados negativamente.
Cuando los piratas informáticos inhabilitan una base de datos, los pacientes de cannabis medicinal se enfrentan a algo más que preocupaciones de privacidad. El suministro también se convierte en un problema. Si residen en estados que monitorean y controlan de cerca las prácticas de compra de los pacientes, es posible que no puedan comprar cannabis hasta que se haya restaurado la base de datos. Para quienes toman cannabis a fin de controlar el dolor o la ansiedad, la espera para recibir la siguiente dosis puede tener un costo físico o psicológico.
La incoherencia de la reglamentación dentro del sector del cannabis complica aún más los aspectos de seguridad.
"En los Estados Unidos, cada estado también podría ser un país diferente, porque cada uno tiene diferentes reglas legislativas, reglamentos y enfoques para la industria del cannabis", dice Coner.
Como señala, esta falta de coherencia de un estado a otro crea riesgos de seguridad física y digital.
"Aunque las agencias reguladoras en cada estado son diferentes, existen algunos tipos de software desde-la-semilla-hasta-la-venta exigidos por los estados. Es importante no solo usar el software, sino también vincular y compartir la información con el estado o el organismo regulador estatal. Es igualmente importante que los organismos reguladores mantengan sus sistemas seguros. Lo que uno pone en juego aquí es su volumen de ventas, horarios de transporte, rutas y niveles de inventario", dice Sutton.
Indica, por ejemplo, que las empresas de datos con licencia estatal en el estado de Washington publican información sobre los inventarios, manifiestos de carga y ubicaciones de los productores y procesadores de cannabis. Esta práctica, llevada a cabo en un intento por mantener la transparencia y la trazabilidad, permite al público ver las direcciones y los datos de venta de productores y vendedores. En Estados Unidos se puede acceder a información más sensible, como los números de identificación de los vehículos, presentando una solicitud de la Ley de Libertad de Información (FOIA). Con esta información, un delincuente podría determinar fácilmente cuándo se realizará un envío de cannabis, cuándo un dispensario tendrá una gran cantidad de cannabis o dinero en efectivo disponible, y cuál podría ser el momento ideal para robar un dispensario determinado.
Trabajar juntos para mejorar la seguridad
El Estándar de ciberseguridad del cannabis (WK69969) permitirá a los gobiernos y las empresas seguir un procedimiento operativo permanente en materia de ciberseguridad. Esto, a su vez, debería hacer que el enfoque de la ciberseguridad sea más uniforme y seguro.
"ASTM proporciona suficiente contenido sobre cada problema recurrente, desafío u objetivo de implementación en la industria para que los reguladores tengan una referencia, algo así como abogados que usan la jurisprudencia existente, y una forma de decir: 'Redacté esta ley así gracias a ASTM'", dice Coner.
Además de la WK69969, el Subcomité sobre Seguridad y transporte (D37.05) tiene tres estándares activos relacionados con la seguridad. La Guía para el sistema de videovigilancia (D8205) describe el sistema de videovigilancia recomendado para resina de cannabis, productos de resina de cannabis, residuos de resina de cannabis, moneda, personas, propiedades y activos. El estándar enfatiza que, cuando se utilizan sistemas de videovigilancia digital, las cámaras deben estar encriptadas para que no puedan piratearse.
La Guía para el sistema de control de acceso (D8217) trata sobre los sistemas de control de acceso instalados en ubicaciones estratégicas dentro de las operaciones de cannabis. Estas áreas incluyen entradas exteriores, muelles de carga, salas de cultivo y procesamiento, oficinas y áreas de transacciones. Los sistemas rastrean el movimiento de los empleados y aumentan la seguridad general in situ. El estándar también detalla el uso de la autenticación de factores múltiples para puertas, bóvedas y cajas fuertes, así como las salas de cultivo, procesamiento, fabricación, transacciones, productos y moneda. La autenticación consiste en una combinación de factores como datos biométricos, dispositivos inalámbricos y números de identificación personal.
La Guía para el sistema de detección de intrusiones (D8218) se centra en los dispositivos de detección de invasiones, como detectores de movimiento, alarmas de contacto de puertas y ventanas y alarmas de rotura de vidrio. Si se activa algún aparato mientras el sistema de detección está en funcionamiento, se notificará a un servicio de monitoreo durante las 24 horas.
"Si puede entrelazar los estándares ASTM nuevos y existentes, tendrá una solución de 360 grados para su negocio de cannabis", dice Coner. "Sabrá cómo configurar sus instalaciones, cómo conectarlas a diferentes sistemas de software, cómo protegerlas, cómo estar en conformidad y cómo obtener ganancias. Podrá mostrar la forma en que informa y hace negocios, y demostrarle a su estado que es una empresa segura con la que trabajar".
Soberal coincide con Coner en conectar los estándares del subcomité. "Esperamos que las pautas de ciberseguridad complementen los estándares vigentes y sean conscientes de los actuales protocolos de ciberseguridad", dice.
Soberal señala que, además de la seguridad digital, el subcomité D37.05 está trabajando en la Práctica para la implementación de un programa de transporte de cannabis en una operación de cannabis (WK76013), a fin de garantizar que los conductores de reparto de cannabis tengan dispositivos de comunicación de emergencia, GPS, requisitos de firma y vehículos cerrados. Estos son protocolos de seguridad de sentido común, que se relacionan con los estándares nuevos y existentes para la industria del cannabis.
"La esperanza es proporcionar a la industria del cannabis una referencia de seguridad uniforme que cubra la mayoría de los aspectos de seguridad. Será un documento universal que ofrecerá estándares de seguridad coherentes para la industria", dice Soberal. Anticipa que el documento estará completo en el verano de 2022.
Para obtener más información relativa a la nueva Guía para la implementación de ciberseguridad en una operación de cannabis o al Subcomité sobre Seguridad y transporte del cannabis, comuníquese con el gerente de personal del comité D37 de ASTM, Robert Morgan. (tel.: +1.610.832.9732).
Kathy Hunt es una periodista y escritora que reside en la costa este de los EE. UU.
ASTM International es una organización no gubernamental sin fines de lucro que desarrolla estándares de consenso voluntario y se remite a las autoridades gubernamentales apropiadas para determinar el marco legal y reglamentario relativo al control y el uso del cannabis.