Cómo debe protegerse una Utility de ciberataques como el sufrido por Colonial Pipeline

2 de junio de 2021, by David Purón

Este incidente es sólo una muestra más de una tendencia que los expertos vienen vaticinando desde hace años: las infraestructuras críticas como objetivo de la ciberdelincuencia.

El Jueves 6 de Mayo de 2021, la compañía Colonial Pipeline, responsable de la infraestructura de tuberías más larga de Estados Unidos para transporte de combustible, para sus operaciones como causa de un Ciberataque. Si bien el grupo de ciberdelincuentes declaró en un comunicado que nuestro objetivo es ganar dinero y no causar problemas a la sociedad”, lamentablemente los causaron. Cientos de gasolineras de diferentes Estados se quedaban sin producto, clientes bloqueados en kilométricos atascos, grandes empresas vieron sus operaciones afectadas en miles de dólares, el precio del combustible subió a niveles no vistos desde 2014, y todo ello obligando al presidente Biden a declarar el Estado de Emergencia para asegurar los suministros a lo largo del país.

Este incidente es sólo una muestra más de una tendencia que los expertos vienen vaticinando desde hace años: las infraestructuras críticas como objetivo de la ciberdelincuencia. El sector de las Utilities, con infraestructura geográficamente muy distribuida, activos digitales con tecnología antigua o incluso obsoleta, y estructuras organizativas complejas, sufre especialmente esta situación. 

Aparte del sector de “oil and gas”, han sido muy relevantes ataques a infraestructura eléctrica, como el sufrido por la red eléctrica de Kiev que sumió en la oscuridad al 20% de su población. También el sector del agua no se ha visto fuera del punto de mira de los ciberdelincuentes, con eventos como el ocurrido en Febrero de 2021 en la planta potabilizadora de Odsmar (Florida), donde los atacantes pusieron en riesgo a toda su población al tratar de alterar la mezcla de hidróxido de sodio .

Los esfuerzos gubernamentales y de la industria para evitar este tipo de incidentes son relevantes. El Parlamento Europeo lanzó en 2015 la directiva NIS (“Network and Information Security”), que ha sido revisada en Noviembre de 2020 y que trata de establecer un marco que ayude a las empresas a mejorar la resiliencia y capacidad de respuesta ante ataques de este tipo. Sin embargo, hasta que llegue la regulación, las empresas que gestionan infraestructura crítica, y especialmente las Utilities, deben hacer un esfuerzo individual para elevar el nivel de su ciberseguridad ante el creciente riesgo.

Nueva llamada a la acción

En nuestra experiencia trabajando con compañías industriales, hemos detectado cuatro puntos de mejora que podrían permitir a las Utilities a elevar su nivel de ciberseguridad:

1. Incrementar su inteligencia frente a amenazas a través de los CERTs

Las Utilities deben tomar una actitud preventiva y proactiva en la identificación de las posibles amenazas. No es de extrañar que los problemas de ciberseguridad sufridos por una Utility, se repitan en otras similares, y por tanto, es fundamental contar con servicios de uno o más CERT (Computer Emergency Response Team, Equipo de respuesta ante emergencias informáticas), que permiten acceder a información sobre alertas tempranas de amenazas o incidentes que puedan afectar a sus operaciones. En España, existe la asociación de CSIRT que agrupa los servicios principales CERTS, públicos o privados, regionales o sectoriales, donde las empresas pueden contactar para conseguir dichos servicios.

2. Trabajar con proveedores del ámbito “Internet Industrial”

Antes de 2010, las redes industriales de las Utilities (OT) estaban tradicionalmente aisladas de las redes de Intranet e Internet (IT). Sin embargo, la creciente oferta tecnológica de productos digitales para mejorar la monitorización, el mantenimiento y control de las redes OT, así como la presión del mercado por ofrecer mejor y más rápido servicio a los usuarios, han terminado “abriendo” avenidas de información entre las redes IT y OT. Estas consexiones entre redes IT y OT, son necesarias para poder competir en el mercado, pero también aprovechadas normalmente por los cibercriminales. 

En ese sentido, es fundamental que las Utilities trabajen con proveedores que entiendan los entornos IT y OT de manera convergente.

Las empresas tradicionalmente industriales no son capaces de entender los modelos de negocio, operación y velocidad que requiere la nueva era digital. En el otro lado, las empresas provenientes de un mundo de las Tecnologías de la Información, a menudo no entienden los requisitos de robustez y resiliencia que requiere el mundo industrial. Son las empresas, a menudo jóvenes, que entienden el concepto de “IoT Industrial”, las que pueden ayudar a que estos dos mundos (IT/OT) converjan de manera adecuada y exenta de riesgos. 

3.Certificar productos, despliegues y proveedores contra estándares como IEC 62443

Como comentábamos en el punto anterior, “no se puede poner puertas al campo”. A pesar de que una Utility sea resistente a las nuevas tendencias, sus redes y equipos industriales no podrán estar aisladas mucho tiempo, o no podrán competir en servicio. Asumiendo que esta interconexión va a ocurrir, la manera de realizarla de manera más cibersegura es diseñar y certificar sus arquitecturas de red contra nuevas normas que realmente se hayan desarrollado en este nuevo escenario. De todas las normas posibles, el estándar IEC 62443, parece estar convirtiéndose en el estándar “de facto” a utilizar por empresas industriales para conectar sus sistemas fuera de un entorno totalmente confiable.

Las Utilities pueden correr auditorías que certifiquen sus equipos y redes contra esta norma, asegurando así que disponen de un nivel de seguridad adecuado. La norma, establece 4 niveles de ciberseguridad, que pueden cubrir diferentes escenarios dependiendo del nivel de criticidad de los activos conectados.

4. Aumentar su capacidad de procesamiento en el “Edge”

Existe en muchos casos la falsa sensación de que el IoT industrial requiere la interconexión de todas las plantas a la nube para el envío de grandes cantidades de datos que serán procesados por complejos algoritmos de Inteligencia Artificial o Machine Learning. Esto para las Utilities, con su infraestructura dispersa en miles de kilómetros, es un reto operativo y de seguridad elevado.

Por tanto, tienen sentido aquellos diseños en los que parte de la inteligencia y procesamiento se realicen en la propia planta, y sólo se suban a la nube el resultado del procesamiento, o aquellos datos que requieran ser analizado de manera centralizada. Son las llamadas arquitecturas híbridas, habilitadas por la tecnología denominada Edge Computing, que los analistas Gartner sitúan ya como una tendencia confirmada en el mercado, y que no sólo permite elevar el nivel de seguridad, sino también del rendimiento eliminando latencias y consumo de ancho de banda innecesario.

Puede que te interese: Edge Computing en el IoT industrial 

Si te ha interesado este artículo y quieres saber más sobre el IoT ¡Contacta con nosotros!

Si buscas desarrollar un proyecto IoT, contáctanos