CIBERAMENAZAS, INFRAESTRUCTURA CRITICA Y EMPLEADOS POCO CAPACITADOS: UNA MEZCLA DEMOLEDORA @Uliman73



Las ciberamenazas están a la orden del día y su impacto en la sociedad cada vez es más significativo y los Estados no quedan exentos de ser víctimas, prueba de ello se ve reflejados en los portales de noticias a lo largo del año. A principio de este año (2019) se veía en el documento Estrategia Nacional de Inteligencia de los Estados Unidos de Norteamérica (USA) una advertencia sobre que “las amenazas cibernéticas supondrán un riesgo creciente para la salud pública, la seguridad y la prosperidad, ya que las tecnologías de la información se integran en infraestructura crítica, redes nacionales vitales y dispositivos de consumo", siendo un poco más traumático el Director de Inteligencia Nacional de USA, Daniel Coats, lo expresó en forma aún más sucinta: "Las luces de advertencia parpadean en rojo".

Las instalaciones de Infraestructura Crítica ya sean centrales eléctricas, ferrocarriles nacionales y sistemas subterráneos locales u otras formas de transporte público, son cada vez más objeto de ataques. Los ataques cibernéticos podrían cortar el suministro de electricidad a hospitales, hogares, escuelas y fábricas. Dependemos tanto del suministro eficiente de electricidad que su pérdida también acarrearía importantes implicaciones para otros servicios vitales. Una serie de incidentes en los últimos años demuestran no solo que la amenaza es tangible, sino también que en más de una ocasión hemos escapado de sus consecuencias como dirían los chicos del barrio "raspando", es decir de pura suerte.

Los titulares diarios destacan los últimos ataques de ransomware, violaciones de datos y nuevas técnicas de phishing, sacando a la luz una epidemia que ha resultado en daños financieros, operativos y de reputación para empresas, gobiernos y el público en general. Sin irnos muy lejos en el tiempo, hace pocos días atrás se cnfirmó un ciberataque en la Planta de Energía Nuclear Kudankulam en Tamil Nadu, India.

Hoy en día, los ataques cibernéticos ponen en riesgo mucho más que solo nuestros datos personales: los actores de amenazas han aumentado la regularidad con la que se dirigen a la infraestructura que respalda los sistemas de misión crítica, como redes eléctricas, servicios de agua, sistemas de salud, instalaciones nucleares y servicios de emergencia.

Un informe del Instituto Ponemon reveló un aumento constante de los ataques cibernéticos contra la infraestructura crítica, afirmando que "los ataques destinados a Estados/Naciones son especialmente preocupantes en el sector porque generalmente son llevados a cabo por ciberdelincuentes altamente capacitados, bien financiados y son dirigido a infraestructura crítica".

Durante el mes de Septiembre del 2019, E&E News informó sobre el primer ataque cibernético a la red eléctrica de USA, según lo identificado por North American Electric Reliability Corp. En contraste, otros sectores de infraestructura críticos como los servicios de salud y financieros han sufrido las consecuencias de los ataques cibernéticos durante más de una década, ya que la información de identificación personal que se busca regularmente puede generar millones en la Deep Web, además de los muchos beneficios asociados con el robo de propiedad intelectual.

Cuando el mundo sostuvo la respiración 3 veces

Como vimos recientemente el ciberataque en la India, también los hubo en el resto del globo, ciertamente estos ciberataques no solo se dan en plantas eléctricas, pero vale la pena referirlos ya que tienden a ser los que mas percibe la sociedad, sin dejar de lado los ciberataques que se dan en Aeropuertos, Puertos , etc. Así que acá dejo los 3 ciberataques mas significativos en Plantas generadoras de Energía.

1.    El ataque de 2010 a la Planta Nuclear de Irán en Natanz ocupa un lugar especial en los libros de historia. El llamado Malware STUXNET que hizo su primera aparición pública en ese momento, logrando detener la planta nuclear. Stuxnet fue diseñado para dañar los motores comúnmente utilizados en las centrífugas de enriquecimiento de uranio al enviarlos a girar fuera de control, logrando dejar fuera de servicio temporalmente a unas 1000 centrifugadoras.
2.    Cinco años después, en diciembre de 2015, Ucrania experimentó un asalto sin precedentes en su red eléctrica. El ataque provocó cortes de energía generalizados. Los hackers se infiltraron en 3 compañías de energía y cerraron la generación de energía temporalmente en 3 regiones de Ucrania. Dejó a casi 1/4 de millón de personas sin electricidad durante hasta 6 horas en pleno invierno. Los atacantes utilizaron el Malware BlackEnergy3 para cerrar las 3 subestaciones. Se cree que el malware se entregó en correos electrónicos haciendo uso de Phishing,donde estaba oculto en archivos adjuntos falsos de Microsoft Office.
3.    El más relevante y cercano en el tiempo tuvo lugar en 2017. Los atacantes se hicieron con el control remoto de una estación de trabajo utilizando un nuevo tipo de malware, denominado Triton, para hacerse cargo del Sistema Instrumental de Seguridad (SIS) de la planta. Nuevamente, el malware se configuró específicamente para sistemas de control industrial, también conocidos como Tecnología Operativa (OT por sus siglas en inglés).
Los investigadores creen que fue un acto de sabotaje destinado a provocar una explosión al deshabilitar los sistemas de seguridad diseñados para prevenir accidentes industriales catastróficos. Los ataques anteriores se han centrado en destruir datos o cerrar plantas de energía. Según algunos informes, solo un error de codificación impidió que esto sucediera. La evidencia apunta a otro ataque de phishing o spear phishing.

Ciber Seguridad de Infraestructura Crítica hoy

Como podemos ver y hemos referido en varias oportunidades, la Ciber Seguridad no es desconocida para los sectores de la Infraestructura Crítica y ciertamente para las Naciones mucho menos. En respuesta a la integración de los sistemas de tecnología de la información con los sistemas de tecnología operativa y el surgimiento de la Internet Industrial de las Cosas, en USA surgió un mayor enfoque en la mitigación de riesgos y el cumplimiento regulatorio tanto en el sector de la industria como del Gobierno Federal. Al mismo tiempo, salió a la luz un nuevo desafío: simplemente no hay suficientes trabajadores de Ciber Seguridad para cubrir la cantidad de empleos disponibles.

Para limitar el riesgo, la mayoría de las Organizaciones de Infraestructura Crítica brindan cierto nivel de capacitación en concientización de seguridad en toda la empresa, pero a menudo se limita a información muy básica, como ser ¿cómo identificar e informar un correo electrónico de phishing?. Por lo general, no se brinda capacitación avanzada a los empelados comunes, y muchas áreas tangenciales pero afines de la Infraestructura Crítica nunca reciben información adecuada sobre cómo manejar las amenazas cibernéticas sospechosas.

En un mundo globalizado y de la inmediatez total, este es un problema grave, donde las vulnerabilidades y los ataques cibernéticos pueden provenir de cualquier lugar en cualquier momento, incluido un trabajador remoto, un contratista, un dispositivo o incluso la tecnología que emplea un termostato inteligente.

Esta no es la primera vez que en un artículo mío aparecen juntas las palabras ciberamenazas e Infraestructura Crítica, pero lo cierto es que nunca está demás dar un poco de perspectiva al tema, no hay que desaprovechar la oportunidad que algún decisor lo lea y pueda cambiar algo. La gran mayoría de empresas de Infraestructura Crítica (IC) monitorean remotamente el estado y la ubicación de trenes, autobuses y camiones; pueden ajustar el flujo de petróleo crudo y gas natural a través de tuberías de forma remota; el consumo de agua y electricidad se puede controlar y cambiar desde una ubicación centralizada y los dispositivos médicos se pueden controlar desde medio mundo de distancia. Estas comodidades reducen los costos, aumentan la eficiencia y en general hacen que nuestras vidas sean más fáciles (¿será así?), pero a medida que la cantidad de sistemas interconectados continúa aumentando, también lo hace la superficie de ataque. Como resultado, más empleados en un ecosistema de IC son una amenaza, lo sepan o no, o quieran saberlo o no, no hay más ciego que el que no quiere ver.

Capacitación: ¡¡al infinito y más allá!!

Las empresas de IC no deberían seguir basando su capacitación a los empleados basándose en las campañas de concientización de seguridad cibernética pensando que su tecnología y sus equipos de seguridad son suficientes para mantener el control, creer que dar unas cartillas sobre lo que es el Phishing, no genera un buen presagio. En cambio, todos los empleados deben comenzar a comprender que cualquier interacción con la tecnología puede desempeñar un papel en un ciberataque. Esto representa un cambio tanto en la cultura como en la estrategia, que nunca es fácil de implementar a pesar de su necesidad.

En última instancia, las empresas de IC deben comenzar a enseñar a cada empleado y partes interesadas, sin importar el rol que ejecuta dentro de la misma, que el papel que desempeña en cuanto a la protección de la IC es vital, es una construcción global. El imponer tácticas de miedo es asegurar un fracaso, solo a través de compartir el conocimiento y la comprensión de cómo funcionan los ciberataques y cómo manejarlos, nos garantiza estar marchando por un buen camino.


No solo los Chief Information Security Officer´s (CISO), sino las máximas autoridades como los Chief Executive Officer´s (CEO) de las empresas de IC deben considerar algunos de los siguientes aspectos o guías:

  • Capacitación Práctica: Vale más capacitar en casos prácticos y simulados a los empleados en Protección de Infraestructuras Críticas (CIP por sus siglas en inglés) que llenarlos con solo teorías y conceptos difíciles de visualizar y recordar.
  • Establecer los incentivos correctos: la gestión del desempeño, la capacitación, los procesos, los procedimientos y otros sistemas para arraigar la mentalidad y los cambios culturales necesarios en lugar del temor por no cumplir las normas. 
  • Capacitación orientada: capacitar en tecnologías y procesos que son valiosos para hacer que la IC sea más fuerte y resistente.  
  • Liderar con el ejemplo: hacer que todos los Gerentes y Líderes en IC tomen cursos de capacitación en CIP para profundizar en la ciberseguridad de la IC y comprender cómo comunicar esa información a todos los involucrados. 


La protección de la IC contra los ataques cibernéticos es un problema de dos partes. Debemos establecer mejores protecciones, protocolos de seguridad más avanzados y mejores planes de respuesta a incidentes, pero eso comienza con un mejor conocimiento de ciberseguridad en toda la fuerza laboral afectada a la IC. En última instancia, debemos cambiar la forma en que todos en el ecosistema de IC piensan sobre la ciberseguridad. El éxito de la protección de la Infraestructura Crítica depende de los pasos tomados por la fuerza laboral para mitigar los riesgos, y eso comienza con el conocimiento y la comprensión de los matices que conforman la Ciber Seguridad del CIP. En el mundo de hoy, no puede permitirse el lujo de no capacitar a todas las partes interesadas del CIP en Ciber Seguridad.

SDG


No dejen de visitar mi web y leer mas sobre estos temas: www.uliseskandiko.com

No hay comentarios.

Imágenes del tema de enot-poloskun. Con tecnología de Blogger.