Un reciente estudio de PwC concluye que la empresa de servicios públicos promedio tiene datos de valor superior a 50 millones de libras esterlinas para un ciberdelincuente que busca explotar esa información. Los clientes también son mucho más conscientes de su seguridad de la información personal de lo que eran incluso hace diez años.
Como resultado, los instigadores de las amenazas de seguridad cibernética han evolucionado a un ritmo alarmante durante los últimos 10-15 años, según Barry Searle, director de formación de intqual-pro. Aunque una vez se consideró que era una actividad patrocinada por el estado, o restringido a hackers criminales altamente capaces, los conjuntos de habilidades primarias necesarias para conducir el crimen cibernético, el espionaje o incluso el terrorismo ahora puede ser "utilizando plataformas autodidactas como YouTube", dijo el.
Mientras que el criminal cibernético tradicional, financieramente motivado es discutiblemente todavía el más común, ahora hay también una ocasión mucho mayor de un empleado descontento, cliente o incluso competidor, que tenga la capacidad de interrumpir operaciones con un ataque cibernético. Además, el "hacktivismo" cibernético continúa creciendo, particularmente en áreas tales como fugas de datos y ataques de denegación de servicio.
"Por primera vez también nos enfrentamos a organizaciones terroristas con una capacidad cibernética ofensiva legítima, para las cuales, la infraestructura nacional crítica como el agua y las instalaciones de aguas residuales serían los objetivos primarios", dice Searle.
A su juicio, el sector del agua se enfrenta a dos amenazas distintas en relación con la seguridad cibernética. La primera es una amenaza contra los activos críticos para la infraestructura nacional, como las obras de tratamiento y las represas, que representan "un objetivo atractivo para los actores criminales que intentan causar destrucciones masivas o peores".
Para Searle, el hecho de que muchas compañías hayan vinculado sistemas SCADA críticos y sensibles a redes externas más amplias es "probablemente la mayor vulnerabilidad" y el hecho de que los sistemas SCADA no suelen estar en redes aisladas, significa que muchas de ellas "podrían en teoría ser accesadas como resultado de un malware introducido en las redes primarias a través de una técnica conocida como spear phishing".
Más del 90% de los ataques se atribuyeron a alguna forma de error humano en el último trimestre de 2015 y tácticas como el spear phishing a través de la ingeniería social aumentan año tras año, debido al éxito y la facilidad con que el ser humano puede ser manipulado.
"Ciertamente creo que si bien la infraestructura técnica puede ser adecuada dentro de la industria del agua y de las aguas residuales, la cultura de la ciberseguridad está años por detrás de la del sector financiero, que tiene más experiencia en el tratamiento de la cibercriminalidad", añade el.
Reputación
Además de la amenaza a la infraestructura, una amenaza tal vez mayor radica en el riesgo a la reputación.
En países como el Reino Unido, el sector del agua tiene suerte porque los clientes no tienen la posibilidad de elegir qué proveedor pueden utilizar y no pueden cambiar.
En otras partes, Michael Arceneaux, director gerente de WaterISAC - un centro sin ánimo de lucro, líder en el sector de la industria del agua, para compartir información sobre amenazas físicas y cibernéticas con empresas del sector público y privado, revela que las amenazas cibernéticas a las empresas de agua fluctúan desde comunes a sofisticadas y en general no son diferentes de las amenazas a otros sectores". En común con todos los individuos y organizaciones que tienen computadoras y están conectados a Internet, también señala que el malware, en particular el ransomware, es una amenaza para los servicios de agua y de aguas residuales.
"Las intrusiones en la red son también una amenaza para todas las organizaciones. Estas intrusiones pueden conducir al robo oa la pérdida de datos y al daño a los sistemas empresariales internos y a las plataformas orientadas al cliente, lo que impide que una empresa realice negocios. Otra amenaza es la estafa de correo electrónico de negocios, en la que un criminal pretende ser un ejecutivo de la empresa que dirige al personal para transferir los fondos electrónicamente a alguien aparentemente legítimo, pero es en realidad a la cuenta del criminal ", dice.
"Históricamente, los sistemas de control de servicios de agua no han sido diseñados con seguridad como requisito central. Fueron diseñados principalmente para sus misiones específicas, como el control de bombas. Eso no los hace necesariamente vulnerables, pero si esos sistemas no están protegidos del "Oeste Salvaje" de Internet, los hackers podrían accesar y manipular el movimiento y el tratamiento del agua ", añade.
Acciones iniciadas
La escala total de la amenaza que enfrenta el sector se puso de manifiesto a principios de este año, cuando los piratas informáticos vinculados a Siria rompieron la seguridad de una empresa de agua en América del Norte y manipularon los sistemas críticos utilizados para tratar y controlar el flujo de agua. En otras partes, existe evidencia de que un grupo apoyado por Irán ingreso al sistema de una presa en el estado de Nueva York - y los sistemas de una serie de empresas de energía en Ucrania, así como la Autoridad de Electricidad de Israel, se han visto comprometidas en los últimos meses.
Como explica Kevin Morley, gerente de relaciones federales de la American Water Works Association, algunos de los incidentes más públicos también han sido acciones relacionadas con información privilegiada, como fue el caso en Maroochy Shire Council en Queensland, Australia, donde un empleado descontento ingresó el sistema SCADA y liberó 800.000 litros de aguas negras sin tratar, causando daños ambientales y económicos.
.jpg.scale.LARGE.jpg) |
| Suplantando identidad: Utilidades que conectan sistemas SCADA críticos a redes externas más amplias es una de las mayores vulnerabilidades del sector del agua, según el experto en seguridad Searle [Crédito de la imagen: Southern Water] |
Según Arceneaux, los incidentes más comunes que se reportan actualmente en WaterISAC incluyen el llamado "ransomware", en el que un empleado hace clic en un correo electrónico malicioso o en un sitio web y descarga malware que encripta sus datos o inserta un USB o dispositivo personal infectado.
"Los datos encriptados son retenidos como rehenes hasta que se haga el pago. Sin embargo, los informes al WaterISAC indican que las organizaciones afectadas han evitado con éxito pagar el rescate mediante la restauración de sus datos desde copias de seguridad y la eliminación del malware de sus redes. Esto, por supuesto, puede ser costoso ", añade.
Cambio Cultural
Comentando sobre las estrategias adoptadas por las instalaciones para hacer frente a estos riesgos, Searle sostiene que en la actualidad hay demasiado énfasis en las soluciones tecnológicas. Aunque admite que hay que hacer más para aislar los sistemas SCADA críticos de las redes principales, el enfatiza que el principal riesgo para los servicios públicos es la "introducción de malware en un sistema o red, con la intención de obtener el control de los sistemas o el simple robo de datos" .
"En casi todos los casos, ese malware requerirá una acción humana para llegar a la red de destino. Por lo tanto, una mejor conciencia cibernética y un cambio de cultura son los pasos más críticos que la industria necesita tomar", dice.
"Los ingenieros de campo, el personal del centro de llamadas y los equipos de operaciones, todos se involucran diariamente con redes externas, sin embargo, he conocido a muy pocos que podrían identificar la seguridad cibernética como su responsabilidad o tener alguna idea de cómo manejar ese riesgo" Añade
Pasos prácticos
Al menos en Europa, Searle es pesimista acerca de las perspectivas inmediatas de las empresas de servicios públicos que tratan el riesgo seriamente y cree que tomará un incidente grave dentro de una empresa de agua británica o europea antes de que se apliquen estrategias eficaces. Esto se debe en gran medida a que afirma que la amenaza "no ha recibido una asignación de recursos suficientemente alta a nivel del directorio".
"El dinero se ha gastado en aumentar la eficiencia y digitalizar tanto los activos operativos como los servicios de atención al cliente, como los sistemas de pago y comunicaciones, todo lo cual trae una mayor vulnerabilidad que, en cualquier caso, no se ha mitigado efectivamente".
De cara al futuro, insta a las empresas a llevar a cabo auditorías externas completas de las redes y sistemas de TI para identificar riesgos específicos, seguidos por la separación de redes operativas críticas tales como los sistemas SCADA de las redes empresariales para mitigar el riesgo de interrupción operacional a través de un punto de acceso 'mas blando' en una red de negocios.
"Las compañías de agua también necesitan sistemas en sitio que permitan a los empleados de todos los niveles comprender la vulnerabilidad del sector y comenzar a transformar la cultura y el interés. A menudo uso una película Stuxnet como parte de mis materiales de información. A pesar de que Stuxnet tiene cinco años de antigüedad, los miembros de personal de alto nivel en el sector del agua, me preguntan cada vez , "¿es eso real?". Eso, para mí, es el principal indicador de que el nivel de riesgo dentro del sector no se entiende, simplemente porque aún no ha ocurrido ", añade.
En términos de pasos prácticos, Morley también señala que la AWWA ha desarrollado una guía y usa una herramienta de caso que proporciona una línea de base para los administradores de los servicios que permite a la empresa considerar "cómo utilizan varias tecnologías ... y proporciona una lista de controles priorizados que sería aplicable ".
 |
| Protección: Se ha recomendado a los servicios de agua que realicen auditorías externas completas de las redes y sistemas de TI para identificar riesgos |
"Hay acciones muy simples que se pueden tomar para manejar el riesgo cibernético y reducir la exposición. Esto es tanto un pasivo para una empresa como una tuberia rota o una bomba que falla ... el valor de los sistemas de control de procesos para la misión de la empresa debe ser reconocido e integrado a los programas generales de capital y gestión de riesgos ", agrega Morley.
Mientras tanto, Arceneaux subraya que existen varias buenas prácticas que las empresas de servicios públicos pueden implementar, en particular las que se encuentran en una reciente guía gratuita WaterISAC denominada 10 Medidas Básicas de Ciberseguridad: Mejores Prácticas para Reducir las Debilidades y Ataques Explotables, desarrollado en colaboración con la división ICS-CERT del Departamento de Homeland Security. .
ICS-CERT ha asesorado a las empresas de servicios públicos para implementar las tres primeras recomendaciones, incluyendo el inventario de los dispositivos del sistema de control y la eliminación de la exposición de este equipo a redes externas, segmentación de redes y aplicación de firewalls, y usando métodos seguros de acceso remoto "tan pronto como sea práctico".
Otras recomendaciones incluyen el establecimiento de controles de acceso basados en roles, el uso de contraseñas sólidas y la capacitación en seguridad cibernética para los empleados, y alentando a las juntas directivas y directivos a comprender las amenazas y consecuencias potenciales para la empresa y proporcionar los recursos necesarios.
Arceneaux agrega: "Otro riesgo clave que sólo crecerá es el riesgo de Internet de las cosas (IoT) - los dispositivos que usamos cada día que están cada vez más conectados a Internet, desde teléfonos móviles hasta cámaras de seguridad. Varios recursos están disponibles para ayudar a los servicios públicos a entender y manejar los riesgos ".
Y agrega: "Por supuesto, la tecnología está en constante evolución y los hackers siempre parecen explotar las vulnerabilidades antes de que los buenos aparezcan para mitigarlas. La ciberseguridad es una batalla constante ".
Andrew Williams es un escritor independiente para la revista WWi, con base en el Reino Unido
Andrew Williams
Water & Wastewater International
08 Marzo 2017
Entradas
No hay comentarios.:
Publicar un comentario