Cómo debe protegerse una "utility" de ciberataques como el sufrido por Colonial Pipeline

Este incidente es un ejemplo más de una tendencia que los expertos llevan años prediciendo: las infraestructuras críticas como objetivo de la ciberdelincuencia.

El jueves 6 de mayo de 2021, la compañía Colonial Pipeline, responsable de la infraestructura de oleoductos más larga de Estados Unidos para el transporte de combustible, detuvo sus operaciones como consecuencia de un ciberataque. Cientos de gasolineras en diferentes estados se quedaron sin producto, los clientes se vieron bloqueados en atascos kilométricos, las grandes empresas vieron afectadas gravemente sus operaciones, los precios del combustible se dispararon y el presidente Biden tuvo que declarar el Estado de Emergencia para asegurar el suministro en todo el país.

El sector de los servicios públicos, con su infraestructura ampliamente distribuida geográficamente y sus activos digitales con tecnología antigua o incluso obsoleta, es uno de los más vulnerables.

Además del sector del petróleo y el gas, han sido muy relevantes los ataques a infraestructuras eléctricas y de agua , como el que sufrió la red eléctrica de Kiev, que dejó a oscuras al 20% de la población, o el ocurrido recientemente en la planta de tratamiento de agua de Odsmar (Florida), donde los ciberdelincuentes pusieron en riesgo a toda la población al intentar alterar la mezcla de hidróxido de sodio.

Los esfuerzos gubernamentales y de la industria para prevenir este tipo de incidentes son relevantes. El Parlamento Europeo lanzó en 2015 la directiva NIS ("Network and Information Security"), que ha sido revisada en noviembre de 2020 y que busca establecer un marco que ayude a las empresas a mejorar la resiliencia y la capacidad de respuesta ante este tipo de ataques. Sin embargo, hasta que se aplique la normativa, las empresas que gestionan infraestructuras críticas, y especialmente las de Servicios Públicos, deben hacer un esfuerzo individual para elevar el nivel de su ciberseguridad ante el creciente riesgo.ç

Basándonos en nuestra experiencia trabajando con empresas industriales, hay 4 puntos de mejora que ayudarán a las empresas de servicios públicos a elevar su nivel de ciberseguridad:

1. Aumentar su información sobre amenazas a través de los CERTs 2.

Las empresas de servicios públicos deben adoptar un enfoque preventivo y proactivo para identificar posibles amenazas. No es de extrañar que los problemas de ciberseguridad que sufre una Utilidad se repitan en otras similares. Por ello, es primordial contar con los servicios de uno o varios CERT (Computer Emergency Response Team), para acceder a la información sobre alertas tempranas de amenazas que afecten a las operaciones. En España, existe una asociación de CSIRTs que agrupa a los principales servicios CERTS, públicos o privados, regionales o sectoriales, a los que las empresas pueden dirigirse para obtener estos servicios.

2. Trabajar con proveedores de "Internet Industrial"

Antes de 2010, las redes industriales (OT) de las empresas de servicios públicos estaban tradicionalmente aisladas de las redes de Intranet e Internet (IT). Con el aumento de los productos de tecnología digital dirigidos a mejorar la supervisión, el mantenimiento y el control de las redes OT, así como la presión del mercado por ofrecer un servicio mejor y más rápido a los usuarios, ha obligado al mundo industrial a "abrir" vías de información entre las redes IT y OT.

En este sentido, es fundamental para las empresas de servicios públicos trabajar con proveedores que entiendan los entornos de TI y OT de forma convergente. Por un lado, las empresas no entienden los modelos de negocio, el funcionamiento y la velocidad que requiere la nueva era digital y, por otro lado, el mundo de las TI no suele entender los requisitos de robustez y resiliencia del mundo industrial. Las empresas jóvenes son las que están aplicando el concepto de "IoT industrial" que es ayudar o tender un puente entre estos dos mundos (IT/OT) para que converjan de forma adecuada y sin riesgos.

3. Certificar los productos, las implantaciones y los proveedores según normas como la IEC 62443

Como hemos mencionado anteriormente, "no se pueden poner puertas al campo". Incluso si una empresa de servicios públicos es resistente a las nuevas tendencias, sus redes y equipos industriales no pueden estar aislados durante mucho tiempo, o no serán competitivos en absoluto. Suponiendo que esta interconexión vaya a producirse, la forma de hacerla más cibersegura, es diseñar y certificar sus arquitecturas de red según los nuevos estándares que se han desarrollado en este nuevo escenario. De todos los estándares posibles, el IEC 62443 parece estar convirtiéndose en el estándar "de facto" que utilizarán las empresas industriales para conectar sus sistemas fuera de un entorno de plena confianza.

Las empresas de servicios públicos pueden llevar a cabo auditorías que certifiquen sus equipos y redes con respecto a esta norma, garantizando así que tienen un nivel de seguridad adecuado. La norma establece 4 niveles de ciberseguridad, que pueden cubrir diferentes escenarios en función del nivel de criticidad de los activos conectados.

4. Aumente su capacidad de procesamiento en el "Borde"

En muchos casos existe la falsa sensación de que el IoT industrial requiere la interconexión de todas las plantas a la nube para enviar grandes cantidades de datos que serán procesados por complejos algoritmos de Inteligencia Artificial o Machine Learning. Para las empresas de servicios públicos, con sus infraestructuras dispersas a lo largo de miles de kilómetros, esto supone un gran reto operativo y de seguridad.

Por ello, tienen sentido los diseños en los que parte de la inteligencia y el procesamiento se realizan en la propia planta, y sólo se suben a la nube los resultados del procesamiento, o aquellos datos que requieren un análisis centralizado. Son las llamadas arquitecturas híbridas, habilitadas por la tecnología denominada Edge Computing, que Gartner predice como una tendencia confirmada. Esta tecnología, aunque todavía está en pañales, está creciendo rápidamente. Según Gartner, en 2018, alrededor del 10% de los datos empresariales se generaban y procesaban "en el borde". Para 2025, se prevé que esta cifra alcance un asombroso 75 %.

Si te interesa este artículo y quieres saber más sobre cómo desplegar de forma segura tu proyecto de IoT, ponte en contacto con nosotros.

‍