El DHS ordena a los operadores de oleoductos que informen …



Inmediatamente después del ataque Colonial Pipeline, el Departamento de Seguridad Nacional de EE. UU. Tiene como objetivo obligar a una industria reticente a mejorar su capacidad para detectar y responder a ataques de ciberseguridad.

El gobierno de EE. UU. Ha emitido una directiva de seguridad que requiere que los propietarios y operadores de oleoductos críticos tomen medidas significativas para mejorar la seguridad cibernética luego de los ataques de ransomware en Colonial Pipeline a principios de mes.

La directiva de seguridad de hoy, emitida por la Administración de Seguridad del Transporte (TSA) del Departamento de Seguridad Nacional de los EE. UU. (DHS), requiere que los operadores de oleoductos críticos, como Colonial Pipeline, informen todos los ciberataques confirmados y potenciales, mejoren su respuesta a incidentes mediante la asignación de un coordinador de ciberseguridad, y crear un strategy de ciberseguridad basado en los resultados de una evaluación integral de amenazas realizada dentro de los próximos 30 días. La infraestructura de oleoductos de EE. UU. Consta de más de 2,7 millones de millas de infraestructura para transportar combustible, productos químicos y otros materiales para su uso en empresas y hogares.

La última directiva de seguridad permitirá al DHS identificar y responder mejor a las amenazas contra la infraestructura del oleoducto, dijo el secretario de Seguridad Nacional, Alejandro N. Mayorkas, en un comunicado anunciando la directiva.

«El panorama de la ciberseguridad está en constante evolución y debemos adaptarnos para abordar las amenazas nuevas y emergentes», dijo. «El reciente ataque de ransomware en un importante oleoducto demuestra que la ciberseguridad de los sistemas de oleoductos es essential para nuestra seguridad nacional».

La directiva llega menos de tres semanas después de que Colonial Pipeline cerró su pink en respuesta a un ataque de ransomware en sus sistemas de TI. El ataque, llevado a cabo por DarkSide, un grupo de ciberdelincuentes vinculado a Rusia, provocó que el oleoducto detuviera las operaciones durante casi dos semanas, mientras que los consumidores entraron en pánico en las estaciones de servicio, lo que provocó escasez de combustible y picos de precios.

Los nuevos requisitos siguen a la publicación de la orden ejecutiva del presidente Joe Biden sobre ciberseguridad hace dos semanas, que abordó el intercambio de información sobre incidentes cibernéticos y la seguridad de la cadena de suministro de software program. La directiva de seguridad anunciada indica que el gobierno de los EE. UU. Está adoptando una postura más contundente sobre la infraestructura crítica, pero el esfuerzo está retrasado y solo representa un primer paso, dice Chris Hallenbeck, ex funcionario de DHS y US-CERT que ahora es CISO de América en la empresa de seguridad de terminales Tanium.

«Tenemos que alejarnos de lo que ha sido un sistema completamente voluntario de ciberseguridad para el sector de los oleoductos», dice. «Básicamente han podido decir: &#39No queremos que venga a inspeccionarnos&#39, y el DHS no tenía los recursos para argumentar».

La directiva de seguridad aumentará la genuine Iniciativa de ciberseguridad de tuberías del DHS, creada en octubre de 2018, que enumera las evaluaciones de amenazas como voluntarias. La directiva requerirá que los operadores «revisen sus prácticas actuales, así como que identifiquen las brechas y las medidas de remediación relacionadas para abordar los riesgos cibernéticos», afirma Anuncio de la directiva del DHS.

Sin embargo, hasta la fecha, no se ha adoptado las recomendaciones de ciberseguridad, dijo John Dickson, director de la consultora de seguridad de application Denim Team, en una entrevista reciente con Dark Reading through. De hecho, fuera de las principales compañías de petróleo y gasoline, como Exxon Mobil y Shell, lograr que la industria se tome en serio la ciberseguridad ha sido una marcha lenta, dice.

«A los muchachos de las fases posteriores, como se les llama a estas empresas de oleoductos, les importa un comino la ciberseguridad», dijo Dickson. «¿Cómo conseguimos que estos tipos hagan lo correcto sin una brecha? Para ellos, el riesgo en el ámbito físico es la explosión de una tubería. No ven los ciberataques como un riesgo, o no lo vieron».

La mayoría de los ejecutivos de ciberseguridad ven la directiva de seguridad como un comienzo para lograr que el sector de oleoductos considere la ciberseguridad con más cuidado, no como un paso definitivo para resolver el problema de las empresas que enfrentan interrupciones operativas debido a ciberataques.

Saber que los datos sobre los ataques y los detalles de los incidentes podrían hacerse públicos en el futuro puede ser suficiente para que la industria se comprometa más con la ciberseguridad, dice Duncan Greatwood, CEO de la firma de seguridad de confianza cero Xage.

«La creación de un informe de piratería no es en sí misma un cambio importante, ya que las empresas ya lo están haciendo internamente», dice. «Lo que marcará la diferencia para las empresas es el conocimiento de que la información del ataque se compartirá en el futuro e incluso se hará pública en muchos casos».

Colonial Pipeline pagó alrededor de 75 Bitcoin, o $ 4,4 millones, el 8 de mayo, el día después de que descubrió que había sido atacado por ransomware. según informes. Eso es a pesar de haber afirmado el 12 de mayo que no pagaría el rescate.

El gobierno de EE. UU., A través de la Oficina de Command de Activos Extranjeros (OFAC) del Departamento del Tesoro de EE. UU., Ha comenzado a advertir a las empresas que pagar rescates a grupos sancionados podría ponerlas en peligro authorized. Algunos expertos en ciberseguridad recomiendan que se amplíen estas moratorias.

«Necesitamos decidir si el pago de rescates debería ser ilegal», dice Hallenbeck de Tanium. «Al seguir pagando, garantizamos que los ataques futuros serán rentables para los atacantes».

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Dark Looking through, MIT&#39s Technology Evaluate, Popular Science y Wired News. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial