Cómo debe protegerse una "utility" de ciberataques como el sufrido por Colonial Pipeline

Este incidente es solo otro ejemplo de una tendencia que los expertos han estado prediciendo durante años: la infraestructura crítica como objetivo de la ciberdelincuencia.

El jueves 6 de mayo de 2021, la Colonial Pipeline Company, responsable de la infraestructura de oleoductos más larga de Estados Unidos para el transporte de combustible, detuvo sus operaciones como resultado de un ciberataque. Cientos de gasolineras en diferentes estados se quedaron sin producto, los clientes se vieron bloqueados en atascos kilométricos, grandes empresas vieron sus operaciones gravemente afectadas, los precios del combustible se dispararon y el presidente Biden tuvo que declarar el estado de emergencia para asegurar el suministro en todo el país.

El sector de los servicios públicos, con su infraestructura geográficamente muy distribuida y sus activos digitales con tecnología antigua o incluso obsoleta, es uno de los más vulnerables.

Además, en el sector del petróleo y el gas, los ataques a las infraestructuras de electricidad y agua han sido muy relevantes, como el sufrido por la red eléctrica de Kiev, que sumió al 20% de la población en la oscuridad, o el ocurrido recientemente en la planta de tratamiento de agua de Odsmar (Florida), donde los ciberdelincuentes pusieron en riesgo a toda la población al intentar alterar la mezcla de hidróxido de sodio.

Los esfuerzos gubernamentales e industriales para prevenir tales incidentes son relevantes. El Parlamento Europeo lanzó la directiva NIS («Network and Information Security») en 2015, que ha sido revisada en noviembre de 2020 y busca establecer un marco para ayudar a las empresas a mejorar la resiliencia y la capacidad de respuesta a este tipo de ataques. Sin embargo, hasta que se aplique la regulación, las empresas que gestionan infraestructuras críticas, y especialmente las Utilities, deben hacer un esfuerzo individual para elevar el nivel de su ciberseguridad frente al creciente riesgo.

Basándonos en nuestra experiencia trabajando con empresas industriales, hay 4 puntos de mejora que ayudarán a las empresas de servicios públicos a elevar su nivel de ciberseguridad:

1. Aumentar su inteligencia sobre amenazas a través de los CERT

Las empresas de servicios públicos deben adoptar un enfoque preventivo y proactivo para identificar posibles amenazas. No es sorprendente que los problemas de ciberseguridad que sufre una empresa de servicios públicos se repitan en otras similares. Por lo tanto, es primordial contar con los servicios de uno o más CERT (Equipo de Respuesta ante Emergencias Informáticas), para acceder a información sobre alertas tempranas de amenazas que afecten a las operaciones. En España, existe una asociación de CSIRTs que agrupa los principales servicios CERTS, públicos o privados, regionales o sectoriales, donde las empresas pueden contactar para obtener estos servicios.

2. Trabajando con proveedores de «Internet Industrial»

Antes de 2010, las redes industriales (OT) de las empresas de servicios públicos estaban tradicionalmente aisladas de las redes Intranet e Internet (IT). Con el aumento de productos de tecnología digital dirigidos a mejorar la monitorización, el mantenimiento y el control de las redes OT, así como la presión del mercado por ofrecer un servicio mejor y más rápido a los usuarios, se ha forzado al mundo industrial a «abrir» vías de información entre las redes IT y OT.

En este sentido, es esencial para las empresas de servicios públicos cuando trabajan con proveedores que entiendan los entornos de TI y OT de forma convergente. Por un lado, las empresas no entienden los modelos de negocio, el funcionamiento y la velocidad que exige la nueva era digital y, por otro, el mundo de la informática a menudo no entiende los requisitos de robustez y resistencia del mundo industrial. Las empresas jóvenes son las que están aplicando el concepto de «IoT Industrial», que consiste en ayudar o tender un puente para que estos dos mundos (IT/OT) converjan de forma adecuada y sin riesgos.

3. Certificar productos, implementaciones y proveedores según estándares como IEC 62443

Como hemos mencionado anteriormente, «no se pueden poner puertas en el campo». Incluso si una empresa de servicios públicos es resistente a las nuevas tendencias, sus redes y equipos industriales no pueden aislarse durante mucho tiempo, o no serán competitivos en absoluto. Asumiendo que esta interconexión va a suceder, la forma de hacerla más cibersegura, es diseñar y certificar sus arquitecturas de red contra los nuevos estándares que se han desarrollado realmente en este nuevo escenario. De todos los estándares posibles, el estándar IEC 62443 parece estar convirtiéndose en el estándar «de facto» que deben utilizar las empresas industriales para conectar sus sistemas fuera de un entorno totalmente fiable.

Las empresas de servicios públicos pueden realizar auditorías que certifiquen sus equipos y redes según este estándar, garantizando así que tengan un nivel de seguridad adecuado. El estándar establece 4 niveles de ciberseguridad, que pueden cubrir diferentes escenarios dependiendo del nivel de criticidad de los activos conectados.

4. Aumente su capacidad de procesamiento en el «Edge»

Existe una falsa sensación en muchos casos de que el IoT industrial requiere la interconexión de todas las plantas a la nube para enviar grandes cantidades de datos para ser procesados por complejos algoritmos de Inteligencia Artificial o Machine Learning. Para las empresas de servicios públicos, con su infraestructura dispersa en miles de kilómetros, este es un importante desafío operativo y de seguridad.

Por lo tanto, tienen sentido los diseños en los que parte de la inteligencia y el procesamiento se realizan en la propia planta, y solo se suben a la nube los resultados del procesamiento, o aquellos datos que requieren un análisis centralizado. Estas son las llamadas arquitecturas híbridas, habilitadas por la tecnología llamada Edge Computing, que Gartner predice como una tendencia confirmada. Esta tecnología, aunque todavía está en sus inicios, está creciendo rápidamente. Según Gartner, a partir de 2018, alrededor del 10 por ciento de los datos empresariales se generaban y procesaban “en el Edge”. Para 2025, se prevé que esta cifra alcance un asombroso 75 %.

Si está interesado en este artículo y quiere saber más sobre cómo desplegar de forma segura su proyecto de IoT, póngase en contacto con nosotros.

‍