Evaluación de factores de riesgo en ciberseguridad OT:una guía para ingenieros de automatización

A menudo se dice:"Internet es un mal barrio". Y por más cierto que parezca, existen muchos otros riesgos y amenazas que los ingenieros de automatización deben tener en cuenta y que pueden afectar los sistemas informáticos utilizados en automatización y control.

La tecnología operativa, u OT, se refiere al hardware y software físico utilizado para monitorear y controlar equipos, procesos e infraestructura industriales. Estos son los elementos con los que nosotros, como ingenieros de automatización, trabajamos todos los días.

Este artículo analizará detenidamente los factores de riesgo de la ciberseguridad OT y cómo se pueden reducir estos riesgos.

Las infraestructuras críticas, como las plantas de energía, las represas y los parques eólicos, así como las plantas de fabricación críticas, deben ser conscientes de las numerosas amenazas a las que se enfrentan sus sistemas. Por ejemplo, las amenazas pueden provenir de un empleado descontento que, a sabiendas, infecta la red con un virus.

Las amenazas pueden provenir de una fuente externa, como Internet. Cada uno de estos tipos de amenazas podría causar un daño significativo a la infraestructura OT de la planta.

¿Contra qué riesgos deben protegerse sus sistemas? Simplemente hacer lo que hacen otros o emplear hardware y software de ciberseguridad al azar no es suficiente para garantizar la seguridad.

Un enfoque sistemático de la ciberseguridad es un paso vital necesario para eliminar los riesgos y hacer de sus sistemas un vecindario más amigable.

Fundamentos de la evaluación de riesgos de ciberseguridad de OT

La evaluación de riesgos de OT se define como el proceso sistemático para identificar, evaluar y priorizar amenazas y vulnerabilidades. Hay varias características exclusivas de los entornos OT que se diferencian de los entornos de TI.

Entre ellos se encuentran la prevalencia de sistemas heredados, requisitos de disponibilidad 24 horas al día, 7 días a la semana e integraciones físicas a máquinas, actuadores y sensores que conforman el proceso de fabricación.

Las evaluaciones de riesgos deben involucrar a todas las partes interesadas afectadas, incluido el personal de operaciones, ingeniería, TI y administración. Como mencioné anteriormente, esta evaluación de riesgo debe seguir un enfoque sistemático para que tenga éxito.

Entonces, echemos un vistazo a los cinco pasos involucrados en esta evaluación.

Identificación e inventario de activos

Cuando se le pide a una compañía de seguros que asegure su casa, quiere saber qué hay en la casa para saber qué se puede perder o, en otras palabras, qué está en riesgo de pérdida o daño. Lo mismo ocurre con las evaluaciones de riesgos en ciberseguridad.

El primer paso fundamental es realizar un inventario y mapear todos sus activos de OT. Todo debe estar incluido en el inventario, incluido el hardware como PLC, sistemas SCADA y estaciones HMI. Este inventario debe incluir todo el software y firmware instalado en sus sistemas OT.

Puede que estos activos no parezcan de naturaleza física, pero están en riesgo y son los activos más fáciles de infectar para los piratas informáticos.

También debemos incluir equipos de red como conmutadores y cableado. Y no olvide las conexiones externas, como los puertos de datos proporcionados para el acceso de proveedores o conexiones para mantenimiento remoto.

Un inventario completo es crucial para permitir que el equipo de evaluación de riesgos comprenda completamente lo que se llama el "panorama de amenazas".

Los elementos perdidos, como los puertos de datos proporcionados para el acceso del proveedor, pueden ser rutas fáciles para la infección del sistema, incluso si no se realizan de forma maliciosa.

Identificación de amenazas y vulnerabilidades

Una vez que tengamos todos nuestros activos enumerados, conoceremos todos los elementos que podrían ser atacados. A continuación, debemos identificar los tipos de amenazas que nuestros sistemas pueden provocar.

Estas amenazas pueden ser amenazas internas provenientes de personas internas, como robo de fondos de cuentas o configuraciones erróneas involuntarias de conmutadores de red que permiten eludir los requisitos de autenticación del usuario.

Las amenazas también pueden ser externas, desde fuentes de Internet, malware, piratas informáticos o actores de estados-nación que buscan activos valiosos, como formulaciones y recetas.

A menudo se olvidan las vulnerabilidades comunes que pueden ocurrir con el hardware y software OT heredado, como la falta de parches, autenticación débil y protocolos inseguros.

Análisis de impacto

Ahora que conocemos nuestro panorama de amenazas, debemos evaluar las consecuencias de tener un sistema comprometido debido a un ataque.

Estas consecuencias pueden adoptar muchas formas, como riesgos de seguridad para el personal o el medio ambiente, interrupciones en la producción, interrupciones operativas, pérdidas financieras, daños a la reputación e infracciones regulatorias y de cumplimiento.

Las consecuencias que su instalación puede enfrentar dependen de su situación particular y pueden incluir muchos otros riesgos.

Evaluación de probabilidad

El siguiente paso es el más difícil:determinar la probabilidad de que estas consecuencias realmente se hagan realidad.

Determinar la probabilidad de explotación de las vulnerabilidades de su sistema implica predecir su exposición a amenazas de Internet, identificar exploits conocidos y capacidades del adversario y, lo que es más importante, el historial de incidentes que han afectado a sistemas como el suyo.

Por ejemplo, Stuxnet era un virus omnipresente y debilitante que atacaba el hardware de un proveedor específico. El ataque Colonial Pipeline fue un ciberataque de ransomware que provocó el cierre de operaciones y una importante escasez de combustible en toda la costa este. ¿Qué puede pasar con su operación y qué probabilidades hay de que suceda?

La matriz de riesgos

El último paso es construir una Matriz de Riesgos para cada factor de riesgo. La Matriz de Riesgos normalmente enumera el impacto de una violación de la ciberseguridad frente a la probabilidad de que ocurra. A continuación se muestra una matriz de ejemplo que utiliza umbrales de impacto y probabilidad como bajo, medio y alto.

El equipo de evaluación de riesgos es responsable de determinar la mejor asignación de riesgo para cada cuadrado de la matriz. Su equipo puede determinar que una probabilidad alta de ocurrencia con un impacto medio también calificaría como un riesgo alto. Las clasificaciones dependen únicamente de su situación particular.

¿Por qué generar esta matriz? Le permite identificar fácilmente los riesgos que requieren mitigación inmediata, como todos los elementos de alto riesgo, así como aquellos que pueden diferirse, como los de bajo riesgo.

Las empresas tienen presupuestos limitados para la ciberseguridad, por lo que los problemas de mayor riesgo deben abordarse primero.

Desafíos y consideraciones en la evaluación de riesgos de OT

Este proceso no suele ser fácil. Elementos como comprender todas las limitaciones para aplicar parches a sistemas heredados pueden resultar difíciles. Puede haber visibilidad limitada en cuanto a la naturaleza de algunas amenazas.

Puede haber barreras organizacionales para obtener todos los datos necesarios para evaluar la amplitud de algunas amenazas. Puede haber riesgos para la cadena de suministro y para terceros que se desconocen.

Prácticas recomendadas para una evaluación eficaz de los riesgos de OT

Existen mejores prácticas para superar algunas de estas limitaciones y desarrollar un perfil de riesgo eficaz. Lo más importante es que todas las partes interesadas participen y colaboren en la evaluación.

Para ayudar en este proceso, existen muchos estándares y marcos disponibles que guían a los equipos en el proceso de evaluación de riesgos, como NIST CSF e IEC 62443.

Una clave para programas eficaces de evaluación de riesgos de ciberseguridad es actualizar periódicamente la evaluación utilizando datos actuales.

Conclusión

Las evaluaciones de riesgos de ciberseguridad de OT son la base para crear una defensa eficaz contra amenazas internas y externas. Al involucrar a todas las partes interesadas en el proceso, se puede determinar y trazar en una matriz de riesgos la imagen más completa de las amenazas y la probabilidad de que ocurran.

A partir de la matriz de riesgos se pueden tomar las decisiones adecuadas para emplear defensas de ciberseguridad. A medida que evolucionan los riesgos de OT, es importante que las instalaciones sean proactivas y realicen evaluaciones de riesgos continuas como base de su programa de ciberseguridad de OT.

‍