Una llave inglesa y un destornillador: basic …


Los problemas de ciberseguridad de la infraestructura crítica son complejos, arraigados y abrumadores. Abordarlos no será fácil … pero no es imposible.

Durante décadas, los expertos en seguridad han advertido que la infraestructura crítica de Estados Unidos está en riesgo de sufrir ataques cibernéticos. Sin embargo, a pesar de las conversaciones aparentemente interminables, el discussion en curso y las preocupaciones en aumento, la modernización es lenta y las protecciones siguen rezagadas.

(imagen de niroworld, a través de Adobe Stock)

(imagen de niroworld, a través de Adobe Stock)

Cuando el Violación del oleoducto colonial tuvo lugar, fue tan predecible como aterrador. El ataque de ransomware cerró el oleoducto durante seis días a partir del 7 de mayo y provocó un aumento en los precios del petróleo junto con escasez en algunas áreas. Pero el próximo ataque podría ser aún más devastador: grandes franjas del país podrían quedarse sin electricidad o acceso a Online, los sistemas de filtración de agua podrían desconectarse o las entregas de gas organic podrían interrumpirse durante el invierno. Cualquiera de estos podría poner en riesgo vidas.

En el centro del problema está la infraestructura operativa envejecida y los controles industriales que carecen de la seguridad necesaria para la era electronic. Como las organizaciones han superpuesto sistemas de TI conectados y dispositivos de Internet de las cosas (IoT), la situación se ha convertido en una pesadilla. En muchos casos, estas tuberías e instalaciones tienen cientos o incluso miles de puntos de entrada potenciales para los atacantes.

Acumulación de dolor adicional: aproximadamente El 85% de la infraestructura de EE. UU. Es operada por empresas privadas., prácticamente sin regulaciones de ciberseguridad.

«Muchos de los sistemas en uso no fueron diseñados para una era en la que la tecnología operativa y de TI estarían vinculadas», afirma Joe Nocera, líder del Cyber ​​and Privacy Innovation Institute de PwC.

Los riesgos se vuelven reales
La amenaza a la infraestructura crítica es sustancial y el problema está empeorando. Según IBM Safety X-Force, los ataques al sector energético se han duplicado durante el último año. Parte del problema es que muchos sistemas operativos y controles industriales tienen más de un cuarto de siglo. Irónicamente, en realidad son bastante seguros, siempre que no estén conectados a sistemas de TI.

Estos sistemas se diseñaron para ofrecer una disponibilidad ultraalta, y son extremadamente caros y complicados de actualizar o cambiar.

«Puede costarle a una empresa miles de millones de dólares reemplazar completamente la infraestructura operativa envejecida con equipos modernos», dice Mark Carrigan, director de operaciones de la División PPM de Hexagon, una empresa que se especializa en desarrollar proyectos industriales e incorporar controles de seguridad.

Poner estos controles industriales y operativos fuera de línea, incluso por un corto tiempo, puede crear enormes dolores de cabeza. Como resultado, muchas empresas basadas en infraestructura no tienen prisa por avanzar con sistemas más modernos.

«No se puede pasar fácilmente de un sistema a otro. Debe examinar cuidadosamente la configuración del sistema de handle y rediseñar el dispositivo por completo», agrega Carrigan.

Esto incluye todo, desde válvulas y controles de flujo hasta sensores y sistemas comerciales conectados. En el caso de la violación del Oleoducto Colonial, por ejemplo, los atacantes supuestamente ingresó a la empresa a través de un sistema de facturación. La empresa cerró sus operaciones porque no tenía forma de facturar a los clientes.

De hecho, «las conexiones comerciales y operativas están ahora muy interconectadas», dice Tim Erlin, vicepresidente de producto de Tripwire, una empresa que ofrece sistemas de detección de amenazas y visibilidad de activos.

Como resultado, dice, pueden existir numerosas brechas y vulnerabilidades, incluso muchos de los componentes no están conectados directamente a World wide web. Una tubería, por ejemplo, puede tener varios cientos de dispositivos y sensores instalados a lo largo de cada milla. Los ciberatacantes solo necesitan encontrar un único dispositivo que sea vulnerable a la entrada de gusanos en la crimson. Al mismo tiempo, pueden encontrar un punto de entrada a través del phishing o el uso de credenciales de empleados comprometidas.

«Es más complicado que los sistemas industriales simplemente son viejos», dice Erlin. «El problema genuine es que estos entornos combinados de sistemas nuevos y antiguos aumentan los riesgos».

La solución está en
A pesar de la complejidad de estos entornos, la plan de que la infraestructura crítica no puede protegerse se sitúa en algún lugar entre equivocada y falsa. Nocera señala que otras industrias, como la banca, han descubierto formas de conectar la tecnología operativa heredada, como los cajeros automáticos, para que funcionen con dispositivos de TI y sigan siendo altamente resistentes.

«En normal, los bancos están unos 15 años por delante de estas empresas de infraestructura en términos de integración y protección de tecnología», argumenta.

Un punto de partida para mejorar la seguridad dentro de la infraestructura crítica es reconocer que construir una fortaleza más fuerte no necesariamente mantendrá alejados a los ciberatacantes, dice Carrigan. La inteligencia sobre amenazas, los firewalls de próxima generación y las herramientas de gestión, configuración y descubrimiento de activos más avanzadas son útiles, pero no pueden evitar que una persona haga clic en un enlace incorrecto o que un fabricante de IoT introduzca un punto de entrada.

Del mismo modo, algunos software de detección de malware pueden evitar que las bandas de ransomware cifren tipos conocidos de malware, pero no pueden garantizar que un cuentagotas de ransomware nuevo y previamente no detectado no logre cifrar archivos. Incluso los sistemas con espacio de aire no son garantía, ya que ocasionalmente es necesario mover datos de un sistema a otro, y el malware podría colarse.

Es elementary contar con una sólida defensa multicapa de confianza cero, incluida la autenticación multifactor (MFA) en todas partes. Sin embargo, también es necesario esperar que los atacantes entren en un sistema, dice Carrigan.

Como resultado, las empresas también deben hacer un mejor trabajo al segmentar las redes y establecer puntos de restauración de la configuración, particularmente en los sistemas operativos. Además, es esencial contar con copias de seguridad confiables que residan en sistemas múltiples y desconectados, junto con un prepare de contingencia sobre cómo lidiar con un ataque.

Ayuda de legisladores
Los expertos en seguridad dicen que también es necesario actuar en el frente político. El Congreso tiene un papel que desempeñar en el establecimiento de regulaciones básicas de ciberseguridad y posiblemente en ofrecer incentivos fiscales para que las empresas de infraestructura crítica actualicen sus sistemas y se adhieran a un nivel de seguridad deseable. El 12 de mayo del presidente Biden orden ejecutiva exigir a las agencias gubernamentales que utilicen la autenticación multifactorial y adopten un modelo de confianza cero es un comienzo, dicen.

Probablemente marcará la pauta para el sector privado. Sin embargo, los $ 2 billones de Biden propuesta de infraestructura y planes contrarios de los republicanos no tienen un lenguaje centrado específicamente en los ciberataques.

Al last, no hay respuestas simples ni soluciones fáciles. Los controles industriales más modernos, que llevan la confiabilidad operativa y la eficiencia a niveles cercanos al 100 por ciento, aún presentan riesgos de seguridad. La ironía, dice Carrigan, es que, en última instancia, puede ser necesario repensar los sistemas y, en los sistemas más críticos, utilizar controles eléctricos y neumáticos.

«Hemos visto a algunas empresas implementar sistemas eléctricos no conectados como la última línea de defensa», dice Carrigan. «Si algo sale mal, se puede controlar con una llave y un destornillador».

Samuel Greengard escribe sobre negocios, tecnología y ciberseguridad para numerosas revistas y sitios internet. Es autor de los libros «Web de las cosas» y «Realidad digital» (MIT Push). Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first