Cómo la transformación digital ha dejado a las centrales eléctricas vulnerables al ataque

La transformación digital de la tecnología operativa (OT) para monitorear y controlar los procesos físicos ha introducido nuevos puntos ciegos y magnificado otros, haciendo que los sistemas de control industrial (ICS) sean susceptibles a los ataques de los estados-nación.

Ya hemos visto ataques terroristas que dan prioridad a violar una central eléctrica sobre apuntar a un área densamente poblada con armamento militar. Considere el ataque a la red eléctrica en diciembre de 2015 que mantuvo a más de 230.000 personas en la oscuridad en el oeste de Ucrania durante más de seis horas. El país culpó a Rusia por el ataque. Doce meses después, el sistema eléctrico fue atacado una vez más, esta vez afectando a una gran parte de la capital, Kiev. Una distribuidora de energía en Puerto Rico sufrió un ciberataque de denegación de servicio en junio, provocando apagones para cientos de miles de residentes, antes de que un incendio devastara la subestación.

No es descabellado pensar que un ataque de un estado-nación podría tener como objetivo causar un apagón de una semana en una gran ciudad como Nueva York. De hecho, los expertos creen que es probable que ocurra algo en ese ámbito.

Un informe del Ponemon Institute patrocinado por Siemens encontró que el 56% de los profesionales de seguridad de OT encuestados informaron al menos un ataque que involucró una pérdida de información privada o una interrupción en su entorno de OT en los últimos 12 meses.

¿Cómo se han vuelto tan populares este tipo de ataques? ¿Y qué se debe hacer para fomentar un entorno de TO más seguro?

La cuarta revolución industrial

Las empresas de servicios públicos se están modernizando, buscando ganancias en eficiencia y productividad. Alcanzar esos objetivos significa digitalizar y automatizar muchos procesos que anteriormente se realizaban de forma interna y manual. Esa transición está ocurriendo tan rápidamente que la seguridad es una ocurrencia tardía.

La rápida revisión digital de los procesos industriales, comúnmente conocida como la Cuarta Revolución Industrial, está poniendo en línea más sistemas y procesos. Esto crea inherentemente más puntos de entrada potenciales para los actores de amenazas, y con tantas industrias haciendo esto a la vez, existe una mayor oportunidad para un ataque más consecuente.

En décadas anteriores, los centros de datos y mainframes que ejecutan componentes de ICS tenían "espacio libre", lo que significa que los sistemas de TI estaban en una red local, pero no conectados a Internet. Muchas instalaciones pensaron erróneamente que eso hacía que sus sistemas estuvieran a salvo de ataques, pero aún eran vulnerables a ataques locales como un ataque "bash bunny" que podría comprometer un sistema con un virus a través de un dispositivo USB.

Este fue el caso en Irán cuando la central nuclear de Bushehr fue atacada con el gusano Stuxnet. Introducido a la red a través de una unidad flash, Stuxnet luego se propagó para infectar otros activos en la red, como las centrifugadoras utilizadas para enriquecer el gas de uranio.

A medida que más servicios públicos e instalaciones de TO se apresuran a poner sus sistemas en línea, no han asignado los recursos adecuados para la seguridad como uno de los pasos del proceso. Cuantos más equipos heredados estén conectados y más dispositivos de Internet de las cosas (IoT) agregados, mayor será la superficie de ataque para los posibles actores de amenazas.

Los actores de amenazas están evolucionando

Magnificando el tema de la seguridad laxa son las formas cada vez más creativas y sofisticadas en las que los actores de amenazas explotan a las organizaciones. De hecho, no siempre son ellos los que se infiltran en la red.

Según el estudio del Ponemon Institute, las amenazas internas representan la mayoría de los ataques OT. Uno de los más notables fue allá por 1999 en lo que entonces era la Comarca de Maroochy en Australia. Un trabajador descontento que manejaba las tuberías de alcantarillado renunció y poco después explotó el sistema a través de una copia pirateada del software del sistema de control.

Las amenazas internas no siempre son empleados malintencionados; Los usuarios negligentes a menudo son víctimas de ataques de phishing, utilizan contraseñas débiles y hacen clic en enlaces que dan acceso a los piratas informáticos. Otro vector común es un tercero o contratista que abre una puerta a la red y conduce a la explotación. En el ataque a la cadena de suministro de Kaseya, la banda de ransomware REvil obtuvo acceso a cientos de empresas a través de una actualización de software. Los terceros generalmente no son seguros y las empresas no deben asumir que lo son.

Gartner ha sido optimista sobre la seguridad de OT y ha hecho sonar la alarma de que las organizaciones industriales están luchando por definir marcos de control adecuados. Gartner también dice que para el 2025, los atacantes "habrán armado entornos OT para dañar o matar humanos con éxito".

Demasiadas empresas están tan profundamente arraigadas en sus procesos durante las últimas décadas que no ven estos hacks, infracciones y ataques de los titulares como amenazas para ellos mismos. No quieren arreglar lo que, en sus mentes, no está roto. De hecho, ni siquiera ven la posibilidad de que se rompa hasta que se rompa.

Un nuevo enfoque para asegurar la TO

Las empresas necesitan una visibilidad adecuada de sus redes y una comprensión integral hasta el nivel de activos individuales, incluida la forma en que esos recursos y usuarios se conectan entre sí y con las redes en su conjunto. A menudo, aquellos que finalmente profundizan en los detalles de sus redes encontrarán activos fantasmas que desconocían. Esos son problemas de seguridad que debe detectar antes de que se aprovechen.

El primer paso que las empresas pueden tomar para protegerse mejor es simplemente educar a los empleados sobre la higiene de seguridad adecuada con una capacitación integral en seguridad. Con demasiada frecuencia, las empresas que arrojan luz sobre la seguridad lo hacen al azar, con una presentación rápida de diapositivas y sin dar seguimiento a los empleados sobre la importancia de lo que acaban de aprender.

La máxima prioridad siempre será la eficacia y la funcionalidad de las máquinas OT, pero si están bajo ataque, ¿de qué sirven? Educar a los empleados sobre qué buscar y cuán comunes se han vuelto los ataques podría ser de gran ayuda.

Un empleado atento evitó el desastre en marzo de 2021, cuando el sistema de agua en Oldsmar, Florida fue pirateado y el nivel de hidróxido de sodio aumentó por un actor de amenazas a un nivel peligroso. Afortunadamente, un ingeniero estaba al tanto de la situación, notó el cambio y rápidamente reconoció que se trataba de un ataque y no simplemente de un mal funcionamiento.

En octubre, las estaciones de todo Irán se vieron obligadas a cerrar. El país dijo que la culpa era de un ciberataque y apuntó a las tarjetas electrónicas emitidas por el gobierno que subsidian los precios del combustible para los iraníes.

Para protegerse contra ataques como estos, las empresas necesitan una visibilidad total de sus redes, lo que les permite ver todos los activos que están conectados y son vulnerables. Pero ese es solo el primer paso. Hay herramientas de seguridad OT integrales disponibles que brindan alertas en la maquinaria ICS no solo para acciones de seguridad, sino también señales de alerta de productividad. Los controles de seguridad adecuados ofrecerán capacidades de visibilidad y respuesta para la red OT sin afectar las operaciones diarias ni realizar cambios sustanciales en la red.

Las tecnologías pasivas pueden monitorear la actividad sin afectar las redes de OT sensibles de ninguna manera, a diferencia de las plataformas disruptivas "en línea". La plataforma pasiva adecuada podrá atender a altos rendimientos y garantizar tasas mínimas de falsos positivos.

El uso de nuevas herramientas puede resultar abrumador para los ejecutivos de TO que se muestran reacios a cambiar los procesos probados, pero es mejor estar preparados que vivir con el temor de un posible ataque que cause un daño generalizado tanto a la empresa como a sus consumidores.

Elad Ben-Meir es director ejecutivo de SCADAfence.