¿Qué tan ciberseguro es su suministro de agua potable? – Krebs sobre seguridad


En medio de múltiples informes recientes de piratas informáticos que han entrado y manipulado sistemas de tratamiento de agua potable, llega una nueva encuesta de la industria con algunos hallazgos aleccionadores: la mayoría de los 52,000 sistemas separados de agua potable en los Estados Unidos aún no han inventariado parte o ninguna de sus tecnologías de la información. sistemas: un primer paso básico para proteger las redes de los ciberataques.

La Consejo Coordinador del Sector del Agua encuestó a aproximadamente 600 empleados de instalaciones de tratamiento de agua y aguas residuales en todo el país, y encontró que el 37.9 por ciento de las empresas de servicios públicos han identificado todos los activos de la red de TI, con un 21.7 por ciento adicional trabajando para lograr ese objetivo.

El Consejo descubrió que en lo que respecta a los sistemas de TI vinculados a la «tecnología operativa» (OT), los sistemas responsables de monitorear y controlar la operación industrial de estos servicios públicos y sus características de seguridad, solo el 30.5 por ciento había identificado todos los activos en pink de OT, con un adicional 22,5 por ciento trabajando para hacerlo.

«La identificación de los activos de TI y OT es un primer paso elementary para mejorar la ciberseguridad», concluyó el informe. «Una organización no puede proteger lo que no puede ver».

También es difícil ver las amenazas que no está buscando: el 67,9 por ciento de los sistemas de agua no informaron incidentes de seguridad de TI en los últimos 12 meses, un escenario algo poco possible.

Michael Arceneaux, director gerente de la AguaISAC – un grupo de la industria que trata de facilitar el intercambio de información y la adopción de mejores prácticas entre las empresas de servicios públicos en el sector del agua – dijo que la encuesta muestra mucho margen de mejora y la necesidad de apoyo y recursos.

«Las amenazas están aumentando, y el sector, la EPA, CISA y USDA deben colaborar para ayudar a las empresas de servicios públicos a prevenir y recuperarse de los compromisos», Arceneaux dijo en Twitter.

Si bien documentar cada dispositivo que necesita protección es un primer paso necesario, una serie de ataques cibernéticos recientes a los sistemas de tratamiento de agua se han atribuido a la falta de protección adecuada de las cuentas de los empleados de tratamiento de agua que se pueden utilizar para el acceso remoto.

En abril, los fiscales federales revelaron una acusación official contra un joven de 22 años de Kansas que está acusado de piratear un sistema público de agua en 2019. El acusado en ese caso es un ex empleado del distrito de agua que supuestamente hackeó.

En febrero, nos enteramos de que alguien pirateó el strategy de tratamiento de agua en Oldsmar, Florida, y aumentó brevemente la cantidad de hidróxido de sodio (también conocido como lejía utilizada para controlar la acidez en el agua) a 100 veces el nivel typical. Ese incidente se debió a las credenciales de empleados robadas o filtradas para TeamViewer, un programa common que permite a los usuarios controlar sus computadoras de forma remota.

En enero, un hacker intentó envenenar una planta de tratamiento de agua que servía a partes del área de la bahía de San Francisco. informes Kevin Collier para NBCNews. En ese caso, el pirata informático también tenía el nombre de usuario y la contraseña de la cuenta de TeamViewer de un antiguo empleado.

Imagen: WaterISAC.

Andrew Hildick-Smith es un consultor que sirvió más de 15 años administrando sistemas de acceso remoto para la Autoridad de Recursos Hídricos de Massachusetts. Dijo que el porcentaje de empresas que informaron haber inventariado todos sus sistemas de TI es aproximadamente igual al número de empresas de servicios de agua más grandes (más de 50.000 habitantes) que recientemente tuvieron que certificar ante el Agencia de Protección Ambiental (EPA) que cumplen con la Ley de Infraestructura de Agua de 2018.

La ley del agua otorga a las empresas de servicios públicos que atienden a entre 3.300 y 50.000 residentes hasta finales de este mes para completar una evaluación de resistencia y riesgo de ciberseguridad.

Pero Hildick-Smith dijo que la gran mayoría de los servicios de agua de la nación, decenas de miles de ellos, atienden a menos de 3300 residentes, y esos servicios actualmente no tienen que informar a la EPA sobre sus prácticas de ciberseguridad (o la falta de ellas).

«Una gran cantidad de servicios públicos, probablemente cerca de 40.000 de ellos, son lo suficientemente pequeños como para que no se les haya pedido que hagan nada», dijo. «Pero algunas de esas empresas de servicios públicos están haciendo una especie de ciberseguridad basada en la automotivación más que en cualquier requisito».

Según el informe del sector del agua, una gran parte de los servicios de agua del país están sujetos a las desventajas económicas típicas de las comunidades rurales y urbanas.

“Otros no tienen acceso a una fuerza laboral de ciberseguridad”, explica el informe. «Operar en segundo plano es que estas empresas de servicios públicos están luchando por mantener y reemplazar la infraestructura, mantener los ingresos mientras abordan los problemas de asequibilidad y cumplir con las regulaciones de agua potable y segura».

El informe defiende la financiación federal de los sistemas estatales y locales para proporcionar capacitación, herramientas y servicios de ciberseguridad para los encargados del mantenimiento de los sistemas de TI, y señala que el 38 por ciento de los sistemas de agua asignan menos del 1 por ciento de sus presupuestos anuales a la ciberseguridad.

Como pueden atestiguar los recientes incidentes de piratería anteriores, habilitar alguna forma de autenticación multifactor para el acceso remoto puede mitigar muchos de estos ataques.

Sin embargo, compartir las credenciales de acceso remoto entre los empleados del sector del agua puede ser un element que contribuya a estos incidentes recientes, ya que las organizaciones que permiten que varios empleados usen la misma cuenta también tienen menos probabilidades de tener habilitado algún tipo de multifactor.

Una copia del informe está disponible. aquí (PDF).

Actualización, 6:25 p.m. ET: Aclaró que el informe fue emitido por el Consejo Coordinador del Sector del Agua (no el WaterISAC).





Enlace a la noticia unique