Homeland Protection presenta nuevos requisitos de ciberseguridad para los operadores de oleoductos


Los propietarios y operadores deberán identificar cualquier brecha en su seguridad e informar nuevos incidentes a agencias federales clave debido al ataque de ransomware Colonial Pipeline.

Un tanque Colonial Pipeline al anochecer

Imagen: Bloomberg / Getty Images

A raíz del ataque de ransomware contra Colonial Pipeline, el Departamento de Seguridad Nacional (DHS) ha revelado nuevos requisitos dirigidos a todos los propietarios y operadores de oleoductos en los EE. UU. Anunciado por la Administración de Seguridad en el Transporte del DHS (TSA) el jueves, las directivas de seguridad están diseñadas para detectar y combatir mejor las amenazas cibernéticas contra las empresas de la industria de las tuberías.

VER: Ransomware: lo que los profesionales de TI deben saber (PDF gratuito) (TechRepublic)

En primer lugar, los propietarios y operadores de instalaciones críticas de oleoductos deberán informar los incidentes de ciberseguridad tanto confirmados como potenciales a la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del DHS. Además, los operadores de oleoductos deben seleccionar a alguien para que actúe como coordinador de ciberseguridad, disponible las 24 horas del día, los 7 días de la semana.

A continuación, los propietarios y operadores de oleoductos deberán revisar sus prácticas actuales de ciberseguridad, identificar brechas y detallar las medidas necesarias para mitigar cualquier riesgo. También tendrán que informar estos resultados tanto a la TSA como a la CISA dentro de los próximos 30 días.

La TSA dijo que está estudiando requisitos adicionales para ayudar a la industria de oleoductos a mejorar su ciberseguridad y mejorar la asociación público-privada que es clave para la seguridad del país.

Ambos TSA y CISA tienen un papel activo que desempeñar en estos nuevos requisitos de seguridad. Junto con el DHS, la TSA se estableció poco después de los ataques del 11 de septiembre de 2001. Desde entonces, la agencia ha trabajado con operadores de oleoductos y socios en la seguridad física de los sistemas de oleoductos de fuel pure y líquido peligrosos.

Responsable de defender la infraestructura crítica del país contra ataques a la seguridad, CISA alberga un Centro de recursos cibernéticos con detalles sobre amenazas potenciales y recomendaciones para organizaciones sobre cómo defenderse de los ataques de ransomware. En diciembre pasado, el Congreso aprobó la Ley de Autorización de Defensa Nacional de 2021 que le dio a CISA más poder para proteger las redes del gobierno civil federal y la infraestructura crítica de las amenazas físicas y cibernéticas.

«El panorama de la seguridad cibernética está en constante evolución y debemos adaptarnos para abordar las amenazas nuevas y emergentes», dijo el secretario de Seguridad Nacional, Alejandro Mayorkas, en un comunicado de prensa. «El reciente ataque de ransomware en un importante oleoducto demuestra que la ciberseguridad de los sistemas de oleoductos es fundamental para nuestra seguridad nacional. El DHS continuará trabajando en estrecha colaboración con nuestros socios del sector privado para respaldar sus operaciones y aumentar la resistencia de la infraestructura crítica de nuestra nación».

Aunque el reciente ataque de ransomware contra Colonial Pipeline no fue el primero en afectar la infraestructura crítica, el incidente hizo sonar las alarmas en todo el mundo, especialmente en el gobierno de EE. UU. La aparente facilidad con la que Colonial Pipeline se vio comprometida mostró cómo los recursos clave son vulnerables. El sector de la energía, en particular, ha sido inclined durante mucho tiempo a los ciberataques.

«La gestión de riesgos de ciberseguridad puede ser particularmente desafiante para las empresas de energía», dijo Anthony Pillitiere, cofundador y director de tecnología de Horizon3.AI. «Con el objetivo principal de reducir las interrupciones, a menudo tienen que adoptar una mentalidad de &#39si no está roto, no lo arregles&#39 donde los parches de componentes de software program / hardware no están instalados para evitar la posibilidad de interrupciones en el servicio. Cualquier nueva regulación asegurar la infraestructura crítica va a requerir financiamiento para tener alguna esperanza de implementación por parte de una industria que ya está bajo presión «.

Los grupos de ciberdelincuentes que se dirigen a la infraestructura crítica también tienen amplias habilidades y recursos para llevar a cabo sus ataques.

«Los ataques dirigidos a la infraestructura nacional crítica (CNI) tienden a ser el trabajo de grupos de amenazas persistentes avanzadas (APT) que trabajan en nombre de los estados nacionales con objetivos específicos», dijo Joseph Carson, científico jefe de seguridad de ThycoticCentrify. «Es difícil defenderse de adversarios de alto nivel, ya que tienen el tiempo y los recursos necesarios para probar repetidamente las medidas de seguridad y encontrar brechas, mientras que los delincuentes más oportunistas en busca de ganancias optarán por objetivos blandos».

Los nuevos requisitos de ciberseguridad parecen pasos en la dirección correcta, pero algunos analistas creen que las empresas de energía tendrán dificultades para seguirlos.

«Esto es un comienzo, pero hay mucha ambigüedad en lo que constituirán incidentes de ciberseguridad potenciales y confirmados», dijo John Hellickson, asesor de CXO de estrategia cibernética en Coalfire. «Dependiendo de la interpretación, ¿un intento de phish en sí mismo sería un incidente potencial?»

Además, el plazo de 30 días impuesto para identificar y remediar posibles brechas de seguridad es demasiado corto, según Hellickson. Como tal, es probable que las organizaciones cuenten con own interno que realice las revisiones, lo que podría conducir a la pérdida de datos.

«Idealmente, las organizaciones deberían tener un tercero para realizar una evaluación basada en un estándar de ciberseguridad definido, y los resultados se proporcionarían en, digamos, 90 días para dar tiempo para realizar la evaluación e integrarla en su estrategia general de ciberseguridad», Hellickson. «Una vez que se defina una estrategia de remediación y una hoja de ruta, los controles por parte de TSA / CISA que demuestren mejoras mensurables serán clave».

Ver también



Enlace a la noticia original