Seguridad ICS, dispositivos médicos y el fantasma accidental

Marcapasos pirateados, bombas de insulina, automóviles, instalaciones industriales, satélites y redes eléctricas violadas ... Desde hace años, los investigadores de ciberseguridad han estado advirtiendo sobre la posibilidad de que los piratas de sombrero negro hieran o maten a personas a través de sus hazañas, a menudo con demostraciones sobre cómo podrían hacerlo.

Pero el grado de sensacionalismo que a menudo acompaña al tema puede oscurecer el verdadero nivel de riesgo, mientras que hace poco para subrayar el nivel de riesgo de vectores de ataque comunes y vulnerabilidades como sistemas operativos obsoletos, software sin parches o con errores, redes mal configuradas y similares.

En general, el nivel de riesgo cibernético es alto con los sistemas de control industrial, que se utilizan para una variedad de aplicaciones, desde el control de satélites hasta equipos de petróleo y gas y equipos de automatización en las fábricas. Hay informes de sabotajes informáticos que han provocado un caos que se remonta a décadas. Es cierto que es difícil verificar, digamos, si Estados Unidos desplegó malware troyano en equipos informáticos utilizados para controlar el flujo de gas en un oleoducto transiberiano, lo que provocó una explosión masiva. Thomas C. Reed, exsecretario de la Fuerza Aérea en la administración Reagan, afirmó lo mismo en el libro "At the Abyss".

[ Mundo de Internet de las cosas es la intersección de industrias e innovación de IoT. Reserve su pase de conferencia y ahorre $ 350, obtenga un pase de exposición gratuito o vea el Altavoces de seguridad de IoT en el evento.]

Pero los ataques a los sistemas industriales conectados son comunes ahora. Varios proveedores de ciberseguridad, desde IBM Managed Security Services hasta Kaspersky Lab, han registrado un repunte en los ataques de seguridad ICS en los últimos años. Solo en marzo, Norsk Hydro, uno de los mayores productores de aluminio a nivel mundial, luchó con la producción inducida por cibernética en operaciones tanto en Europa como en Estados Unidos.

Para hacer frente al problema, el gigante industrial Siemens y TÜV SÜD, la firma internacional de pruebas, inspección y certificación, unieron fuerzas en lo que denominan "un nuevo enfoque de la seguridad digital". "Los ataques contra los entornos industriales están aumentando a un ritmo exponencial", dijo Leo Simonovich, vicepresidente y director global de ciberseguridad industrial y seguridad digital de Siemens. "Sin embargo, a diferencia de TI, donde la principal preocupación es la pérdida de datos, los ciberataques dirigidos a la tecnología operativa pueden provocar un cierre potencial o algo peor". De este modo, las dos empresas colaborarán para ofrecer lo que denominan “evaluaciones de seguridad y protección digital” para ayudar a los clientes de energía, en particular, a evaluar y gestionar el riesgo cibernético.

Simonovich señaló el malware Triton potencialmente catastrófico, que la empresa de ciberseguridad Dragos descubrió en Arabia Saudita en 2017. Los investigadores encontraron recientemente el código en una segunda instalación.

“Lo que fue notable sobre el ataque [Triton] fue la facilidad con la que los atacantes pasaron de la TI a la TO y los sistemas de seguridad”, dijo Simonovich.

De hecho, este es un tema recurrente en todos los sectores en los que las brechas de seguridad cibernética representan un riesgo potencial para la seguridad. A pesar de toda la investigación que demuestra tipos de ataques esotéricos y, a menudo, casi inverosímiles en eventos de ciberseguridad, es fácil pasar por alto el riesgo que representa, por ejemplo, una computadora con Windows XP "con espacio de aire" o malware anticuado como Kwampirs, descubrió un troyano. en 2015, o Conficker, descubierto por primera vez en 2008. Si bien los piratas informáticos podrían, por ejemplo, modificar las tomografías computarizadas para crear células cancerosas falsas, como demostraron los investigadores, es más probable que un hospital reciba un ataque de tipo básico o un paciente con marcapasos terminará siendo el objetivo de un ciber-sicario. “La gente siempre se ríe cuando digo:'Aunque me considero un experto en ciberseguridad, hay formas más fáciles de lastimar a las personas', dijo Stephanie Preston Domas, vicepresidenta de investigación y desarrollo de MedSec. “Todos estos sofisticados exploits personalizados diseñados contra dispositivos médicos no apuntan al problema real. El verdadero problema es que cosas como Kwampirs todavía funcionan. Cosas como Conficker todavía funcionan ".

Y luego está WannaCry, el ataque de ransomware de 2017 que, según Europol, no tiene precedentes en su alcance. Afectando a unas 200.000 computadoras, WannaCry afectó instalaciones industriales y médicas. Nissan tuvo que detener la producción en una instalación en el Reino Unido. Renault se vio obligado a detener la producción en varios sitios. La empresa de trenes alemana Deutsche Bahn fue una víctima. Una pieza similar de malware, Notpetya, causó daños por valor de millones de dólares al gigante naviero Maersk.

Pero a pesar de lo grande que fue el impacto en la seguridad de ICS, WannaCry también tuvo un impacto descomunal en el Servicio Nacional de Salud del Reino Unido, lo que provocó daños por casi £ 100 millones y provocó la cancelación de 19.000 citas médicas.

Es posible que WannaCry, o un ataque similar a un producto básico, pueda provocar la muerte o lesiones al, por ejemplo, retrasar una cirugía cardíaca, aunque generalmente es difícil probar una conexión directa, dijo Leon Lerman, director ejecutivo de Cynerio.

Ataques como WannaCry también ilustran el riesgo de que las hazañas desarrolladas por estados nacionales se filtren y empoderen involuntariamente a los adversarios para atacar a los EE. UU. Y sus aliados. WannaCry y NotPetya utilizaron un exploit conocido como EternalBlue, que probablemente desarrolló la Agencia de Seguridad Nacional de EE. UU. El New York Times informó recientemente que los agentes de inteligencia chinos utilizaron "partes clave del arsenal de ciberseguridad [de Estados Unidos]" para llevar a cabo ataques. Por cierto, el artículo también informa que el sofisticado malware Stuxnet desarrollado por la NSA que se utiliza para atacar las centrífugas nucleares iraníes causó daños a las empresas estadounidenses, incluida Chevron.

Domas está más preocupado por el malware genérico o el simple descuido que juega un papel en los ciberataques con consecuencias para la seguridad. "Todavía veo demasiado sensacionalismo centrado en los malos que causan daño a los pacientes", dijo. “Me encantaría ver un cambio mayor hacia la comprensión de que si ha ocurrido un daño al paciente [como resultado de un ciberataque], probablemente sea accidental. Probablemente sea un efecto secundario de otra cosa que estaban tratando de hacer en el sistema ".

Los investigadores que examinan los ciberataques a los sistemas de control industrial ven un patrón similar, dijo Simonovich. "La mayoría tiene algún nivel de error humano asociado con la infracción".

En una nota relacionada, el código de software defectuoso en sistemas industriales y dispositivos médicos es un tema estrechamente relacionado tanto con la seguridad como con la ciberseguridad. La reciente saga sobre el Boeing 737 MAX subraya este punto. Al escribir sobre el problema, el experto en seguridad Bruce Schneier escribió:“Técnicamente, esto es seguridad y no seguridad; no hubo ningún atacante. Pero los campos están estrechamente relacionados ".

Domas está de acuerdo con ese sentimiento, citando, por ejemplo, el caso de un trabajador de un hospital que hizo que una máquina de anestesia se paralizara anormalmente después de conectarle un teléfono celular. Es fácil pasar por alto el riesgo de estos sucesos cotidianos, que no involucran a un ciberatacante.

De manera similar, los tipos de noticias sobre dispositivos médicos y seguridad de ICS que tienden a obtener la mayor cobertura de los medios hacen que sea fácil pasar por alto el riesgo de amenazas internas. Pero "las amenazas internas constituyen la inmensa mayoría de [los ataques en el sector industrial]", dijo Simonovich.

En última instancia, para ayudar a abordar el riesgo en entornos industriales y médicos cada vez más conectados, las personas que trabajan en ellos deben comprender claramente el riesgo que pueden representar dichos sistemas conectados, ya sea que se exploten a propósito o sin darse cuenta. "Creo que las personas que son conocedoras de la tecnología se están volviendo más conscientes, pero realmente no veo un gran aumento en la comprensión o el aprecio por las personas que no lo son".

Y luego, el tema de la evaluación de la gestión de riesgos puede resultar tremendamente difícil. Uno de los modelos de amenazas, que es un subconjunto de la gestión de riesgos. "Pero debido a que hay tantos riesgos cibernéticos en cualquier sistema, y ​​no se pueden solucionar todos", dijo Domas. “Por eso es que hay que combinarlo con cosas como el modelado de amenazas y averiguar cuáles son las que más deben preocuparle”, agregó. “Honestamente, muchas veces, encuentras cosas que surgen que se filtran a través de tu sistema de clasificación y dijiste:'¿Sabes qué? Estoy de acuerdo con ese riesgo ', y no haces nada para solucionarlo, aunque sabes que hay un problema de ciberseguridad allí ", dijo Domas. “Tienes que crear una estrategia. No puedes arreglarlo todo ".