Profesionales de seguridad que trabajan juntos para defenderse de las crecientes amenazas cibernéticas en la energía

En el pasado, las organizaciones energéticas y otros operadores industriales solo tenían que preocuparse por la seguridad física. Ahora que la mayoría de los sistemas de control industrial (ICS) están conectados a Internet, la industria energética debe prestar atención a las nuevas ciberamenazas. Por lo general, escuchamos hablar de piratas informáticos que ingresan a los sistemas informáticos para robar datos, generalmente para obtener ganancias financieras. Sin embargo, con la infraestructura crítica, los ataques cibernéticos pueden interrumpir las operaciones críticas, dañar el equipo físico e incluso causar la muerte. Cada vez vemos más ejemplos de esto en la vida real.

En un momento histórico reciente, el FBI y Departamento de Seguridad Nacional emitió un informe conjunto que describe una campaña de piratería masiva rusa para infiltrarse en la infraestructura crítica de Estados Unidos. En una primera, el gobierno de Estados Unidos culpó públicamente al gobierno de Rusia por los ataques a la infraestructura energética.

También hemos visto descubrimientos como Triton (también conocido como Trisis), que cerró una planta petroquímica saudí el año pasado y se cree que fue diseñado para provocar una explosión. Seis meses antes apareció Industroyer, un malware modular que puede acabar con los sistemas ICS hablando con los protocolos de comunicación industrial y desplegando malware wiper.

Responder a la amenaza

En la encuesta de Tripwire a profesionales de la seguridad en la industria energética, el 59% dijo que sus empresas aumentaron las inversiones en seguridad debido a ataques dirigidos a ICS como Trisis / Triton, Industroyer / CrashOverride y Stuxnet. Sin embargo, muchos sienten que todavía no tienen el nivel adecuado de inversión para cumplir con los objetivos de seguridad de ICS.

Más de la mitad (56%) de los que respondieron a la encuesta de Tripwire consideraron que se necesitaría un ataque significativo para que sus empresas invirtieran en seguridad de manera adecuada. Esta puede ser la razón por la que solo el 35% de los participantes están adoptando un enfoque de múltiples niveles para la seguridad de ICS, ampliamente reconocido como una mejor práctica. El 34% dijo que se centraban principalmente en la seguridad de la red y el 14% en la seguridad de los dispositivos ICS.

El otro desafío en la ciberseguridad industrial es organizacional:la división de larga data entre los equipos de tecnología de la información (TI) y tecnología operativa (OT). Sin embargo, según la encuesta de Tripwire, el 73% de los participantes dijeron que sus equipos de TI y OT están trabajando mejor juntos ahora que en el pasado.

Las organizaciones se están dando cuenta de que no tienen más remedio que hacer que sus equipos trabajen juntos a medida que aumenta la amenaza de ataque. En la encuesta, los equipos de TI y OT se alinearon sobre lo que podría suceder si no obtienen la seguridad industrial adecuada, como el cierre operativo y la seguridad de sus empleados.

Si bien la colaboración ciertamente está mejorando, la mayoría de los encuestados sugirieron que TI todavía lidera la iniciativa. Cuando se les preguntó si los equipos de TI u OT estaban liderando las necesidades de seguridad de ICS, el 50% del total de participantes dijo que TI, el 35% dijo que se comparte de manera uniforme entre TI y OT y el 15% dijo que OT.

No es sorprendente ver que los equipos de TI toman la iniciativa, ya que generalmente tienen más historial en ciberseguridad. La amenaza digital es relativamente nueva para el lado OT de la casa. Dicho esto, los entornos operativos son muy diferentes de los entornos de TI, y los equipos convergentes exitosos permiten que sus homólogos de OT lideren cuando tienen la experiencia. La asociación del equipo de OT es absolutamente crucial para implementar un programa de seguridad de ICS que no interrumpa las operaciones.

Un enfoque de tres pasos para desarrollar una defensa en profundidad:

Si bien no es tan fácil como 1-2-3, las organizaciones pueden abordar la ciberseguridad industrial en tres pasos:

Primero, asegure la red. Las organizaciones deben segmentar las redes implementando el estándar ISA IEC 62443, proteger todas las aplicaciones inalámbricas e implementar soluciones seguras de acceso remoto para la resolución de problemas y problemas. Las empresas también deben monitorear sus redes, incluido el equipo de infraestructura de redes industriales.

En segundo lugar, asegure los puntos finales. Esto puede comenzar invirtiendo en el descubrimiento de activos y creando un inventario de puntos finales en la red. Luego, las organizaciones deben asegurarse de que los puntos finales estén configurados de manera segura y monitoreados para detectar cambios.

En tercer lugar, asegure los controladores. Las empresas pueden proteger mejor a ICS mejorando las capacidades de detección y la visibilidad de la red mediante la implementación de medidas de seguridad para controladores vulnerables, monitoreando el acceso sospechoso y el control de cambios, y detectando / conteniendo amenazas de manera oportuna.

Los mundos físico y digital continúan convergiendo, brindando nuevas oportunidades para una mejor productividad y operaciones optimizadas. Sin embargo, es importante integrar la seguridad en el viaje de la transformación digital para proteger la infraestructura crítica de las nuevas amenazas digitales.