El 26 de agosto de este año, la infraestructura estatal de Montenegro se vio afectada por un ciberataque “sin precedentes”, y los funcionarios del gobierno nacional expresaron su alarma.
“Algunos servicios se desconectaron temporalmente por razones de seguridad, pero la seguridad de las cuentas de ciudadanos y empresas y sus datos no se han visto comprometidas”. ministro de administración pública Maras Dukaj anunció en Twitter.
Este es solo el más reciente de una serie de ataques a gran escala contra redes, sistemas, subsistemas, equipos, software y servicios europeos. En un artículo para una revista líder de la industria eléctrica, Bernardo Montelestratega de seguridad de Europa, Medio Oriente y África (EMEA) y director técnico de Tenable Corp, describió la creciente amenaza de ataques cibernéticos a los servicios públicos por parte de actores estatales y delincuentes.
Montel expresó especial alarma porque la cantidad de digitalización que se está produciendo actualmente en toda la industria “reúne sistemas previamente separados y permite a los atacantes explotar los puntos débiles en uno antes de pasar a otro”. Tenable cuenta con muchas empresas de servicios públicos de la UE entre sus clientes clave.
Los piratas informáticos buscan constantemente formas de aprovechar al máximo las vulnerabilidades de un sistema. Este es un problema tanto para los consumidores como para las empresas comerciales. Las preocupaciones sobre los sistemas de control débiles ahora se suman a las tensiones creadas por los ataques de piratas informáticos a los sistemas, como la destrucción física, la interferencia electrónica o la creación de una denegación de servicio.
El hardware existente de control de supervisión y adquisición de datos (Scada) es primitivo. El director de PlugInAmerica.org, Ron Freund, dijo: “No maneja las fallas simples con gracia y no es confiable, y mucho menos escalable. Pero tampoco está todavía en Internet, por lo que es inaccesible, en su mayor parte. De hecho, da miedo lo primitivos que aún son algunos de estos sistemas”.
Durante los últimos años, los piratas informáticos han dirigido sus ataques a las vulnerabilidades de los sistemas eléctricos. En el caso de las estaciones de carga, algunos de estos puntos débiles están ubicados dentro de la propia estación, otros están ubicados dentro del equipo que controla las conexiones entre la red y la estación, y otros todavía están dentro de los activos que se encuentran en el lado de la red del sistema. , y estos son en su mayoría propiedad de empresas de servicios públicos.
Para comprender la amenaza, considere la variedad de ataques que se han dirigido a las empresas de energía eólica con sede en Europa Deutsche Windtechnik, Enercon y Nordex. En tres incidentes separados, el enfoque de los piratas informáticos fue diferente: los actores malintencionados detuvieron el flujo de electricidad; se perpetró el robo de identidad; y se robaron los pagos de la electricidad.
En la mayoría de los casos, tales ataques pueden provocar interrupciones en el servicio que afectan a los clientes y la pérdida de ingresos para los proveedores de electricidad y/o propietarios de activos.
En respuesta a las amenazas en evolución a la infraestructura crítica, la Unión Europea (UE) ha pedido al sector de servicios públicos que refuerce su higiene y postura de seguridad cibernética. La Comisión Europea respalda este llamado a la acción con 100 millones de euros de financiamiento, que las empresas de servicios públicos pueden utilizar para respaldar y mejorar su higiene de seguridad cibernética y fortalecer sus defensas. Los fondos también se pueden utilizar para ayudar a las empresas de servicios públicos a recuperarse de los ataques cibernéticos y desarrollar resiliencia en sus sistemas centrales.
Podría ser útil comparar este enfoque con lo que está haciendo Estados Unidos. El gobierno federal está proporcionando 335 millones de dólares para que las empresas de servicios públicos respalden, desarrollen e implementen planes de seguridad cibernética, capaciten al personal y compren equipos. Esta inversión está destinada a ayudar a modernizar la infraestructura crítica de la nación mientras la protege de las amenazas cibernéticas, lo que ayuda a reducir la probabilidad de interrupciones en los servicios esenciales.
Carey Smith, presidente y director ejecutivo de Parsons Corporation, una firma de ingeniería de infraestructura, seguridad, inteligencia y defensa centrada en la tecnología, dijo: “Las empresas de servicios públicos están tomando medidas para fortalecer sus sistemas contra las amenazas cibernéticas al invertir en medidas de seguridad y en operaciones. Estos cambios se producen cuando las empresas de servicios públicos se enfrentan a una amenaza en constante evolución en el panorama.
“En los últimos años, ha habido varios ataques cibernéticos de alto perfil contra infraestructura crítica, cada uno de los cuales nos recuerda que las empresas de servicios públicos deben prepararse para defenderse contra amenazas sofisticadas y con buenos recursos. Esta es una inversión vital en seguridad y ayudará a proteger la infraestructura crítica de la amenaza cada vez mayor de los estados nacionales, los terroristas y los actores criminales”.
Las empresas de servicios públicos confían en la tecnología operativa (OT) para administrar sus instalaciones y sistemas, brindar servicios a los clientes, recopilar información de facturación de los medidores, controlar los dispositivos de respuesta a la demanda y coordinar sus operaciones con otras empresas de servicios públicos. Las empresas que generan, transmiten o entregan electricidad se encuentran en un entorno que cambia rápidamente. Se enfrentan a las demandas cada vez mayores de una red que transmite cantidades crecientes de fuentes de energía intermitentes: solar, eólica y otros recursos renovables.
Las empresas de servicios públicos están tratando de optimizar sus operaciones y obtener un mayor rendimiento de los equipos existentes para hacer frente a las demandas de los recursos renovables.
Smith agregó: “Las empresas de servicios públicos están comenzando a repensar su enfoque de la seguridad cibernética. Tradicionalmente, se han centrado en proteger su OT de amenazas externas. Sin embargo, a medida que la red se vuelve más compleja e interconectada, las empresas de servicios públicos reconocen la necesidad de adoptar un enfoque más holístico de la ciberseguridad”.
Toda esta optimización adicional, mejora del rendimiento y coordinación requiere que las empresas de servicios públicos hagan un trabajo mucho mejor en la supervisión y el control de un número cada vez mayor de dispositivos conectados en sus crecientes sistemas OT.
Como parte de esto, deben modernizar y actualizar sus redes OT, lo que incluye integración de OT con redes de tecnología de la información (TI) para crear una operación más unificada y eficiente. Sin embargo, si bien los beneficios de la convergencia de las redes de TI y OT de una empresa de servicios públicos bajo un solo paraguas operativo brindan eficiencias, entran en juego las crecientes amenazas de seguridad y la evolución de los requisitos de seguridad y privacidad.
Como tal, una creciente red de expertos dice que es fundamental que las empresas de servicios públicos consideren la seguridad en cada etapa de un proyecto de integración de red de OT o TI, desde el diseño y la implementación hasta la administración y el monitoreo continuos.
El equipo cibernético de infraestructura crítica de Parsons Corporation aplica un enfoque convergente a la seguridad y resiliencia de las redes de tecnología de OT y TI. Su enfoque incluye estos elementos clave:
- Establezca una estrategia de seguridad clara y un marco de gobierno desde el principio: Defina roles y responsabilidades para la seguridad en toda la organización y asegúrese de considerar la seguridad en todos los pasos de toma de decisiones relacionados con el proyecto de integración de red de OT y TI.
- Realice una evaluación integral de riesgos: Identifique y evalúe los riesgos asociados con la integración de las redes de OT y TI y desarrolle planes de mitigación en consecuencia.
- Diseño de seguridad en la nueva arquitectura: Integre la seguridad en el diseño del sistema desde el principio, en lugar de intentar reforzarla más tarde.
- Implemente mecanismos sólidos de autenticación y autorización: Asegúrese de que solo los usuarios autorizados tengan acceso a partes específicas del sistema y que todas las actividades de los usuarios se registren y supervisen correctamente.
- Adopte un enfoque de defensa en profundidad: Implemente múltiples capas de controles de seguridad para protegerse contra diversas amenazas.
- Incorpore pruebas y validación de seguridad: Pruebe la seguridad del sistema con regularidad para asegurarse de que funciona correctamente y de que se abordan todas las vulnerabilidades.
- Proporcionar y exigir capacitación y concientización sobre seguridad cibernética para el personal: El personal que cuestiona artículos extraños o inusuales es la primera línea de ciberdefensa.
- Adoptar controles y protección de la cadena de suministro: Es una buena idea investigar al personal de los proveedores (incluidos los subcontratistas) y cualquier computadora u otro dispositivo que se use o se compre a través de los proveedores.
- Cree un sistema de TI y TO convergente redundante y resiliente: Para garantizar una alta disponibilidad, es importante construir sistemas OT con un estándar de tolerancia a fallas.
