Las iniciativas de transformación digital se basan fuertemente en la integración de Tecnología de Operaciones (“TO”, incluyendo sistemas de control industrial ICS, sistemas de supervisión, control y adquisición de datos -SCADA- y sistemas de control distribuidos -DCS-) con Tecnologías de la Información (“TI”, incluyendo Internet, estaciones de trabajo, servidores y equipos de comunicaciones), la automatización de tareas y toma de decisiones y el procesamiento de grandes volúmenes de datos para lograr mejoras en la productividad, reducción de costos, eficiencia operativa, practicidad y simplificación de la operación, entre otras.
Históricamente, en las organizaciones industriales siempre fue difícil entender y asegurar los entornos digitales en los que operan, incluyendo las interacciones con otros actores (proveedores, clientes, empleados). En este contexto, la transformación digital incrementó significativamente la superficie tecnológica a proteger, lo que sumó presión sobre las capacidades de ciberseguridad que aún se encuentran en estado de desarrollo en un gran número de organizaciones industriales.
Las deficiencias en la “ciberhigiene” fueron causadas porque los ambientes de dispositivos OT siempre se basaron en componentes y protocolos propietarios, los cuales usualmente no contaban con un nivel adecuado de soporte por parte de los fabricantes y, al estar desconectados de ambientes TI más riesgosos, no requerían mayores niveles de protección. Esta situación permitió que existieran, por ejemplo, componentes sin contraseña de acceso, falta de aplicación de parches y actualizaciones de software e inexistencia de registros de auditoría. Todo esto tuvo un impacto muy negativo cuando se interconectaron los ambientes TI y TO, puesto que las amenazas típicas del entorno TI se convirtieron en amenazas críticas en entornos TO.
Todo esto se ve incrementado significativamente con la llegada de IoT (Internet de las Cosas, por sus siglas en inglés) a las organizaciones, lo que elevará:
• La cantidad de componentes tecnológicos que formarán parte de los ambientes (tanto TI como TO, incluyendo medidores hogareños inteligentes; sensores en cables, tuberías, autopistas, plantaciones; vehículos autónomos interconectados, etc.).
• La cantidad de información que será generada por cada uno de estos componentes y que deberá ser protegida adecuadamente.
• La cantidad de interconexiones entre estos dispositivos y los ambientes TI y TO de las organizaciones que deberán ser adecuadamente controladas.
Esto requerirá un esfuerzo coordinado entre las áreas de tecnología, control y ciberseguridad. Sin embargo, este nivel de coordinación y madurez en la gestión de ciberseguridad aún es un objetivo difícil de alcanzar para la mayoría de las organizaciones. Esto le da una ventaja a los atacantes, quienes incrementan el volumen, la sofisticación y osadía en los ataques, llegando a comprometer infraestructuras críticas, como fueron los casos de:
• El ataque al gasoducto Colonial en mayo de 2021 que afectó el suministro de combustible en gran parte de Estados Unidos durante semanas.
• El ataque a la planta de tratamiento de agua potable en Florida en febrero de 2021, que pudo haber tenido un impacto significativo en la población si no se hubiera detectado a tiempo.
• Durante 2020 se identificaron múltiples ataques significativos en plantas de procesamiento de agua, empresas de generación de energía eléctrica y petroleras.
• Durante 2018 los principales atacados incluyeron plantas de procesamiento de agua en Ucrania, empresas de energía eléctrica en Australia, operadores ferroviarios en Dinamarca, empresas productoras de dispositivos ICS.
• En agosto de 2017 debieron detener plantas de la química Aramco, luego de ataques a su infraestructura.
• En 2015 y 2016 Ucrania recibió dos ataques significativos que obligaron a detener el suministro eléctrico al sistema nacional.
Recomendaciones
Pese a que el impacto de estos ataques es significativo y a que la cantidad de ataques crece mes a mes, los vectores de entrada utilizados normalmente por los atacantes son simples: contraseñas triviales, servicios inseguros publicados en Internet y falta de aplicación de parches siguen siendo la falla de seguridad que abre las puertas a un ataque más complejo. En este contexto, resultará clave la identificación sistemática de riesgos a la ciberseguridad dentro de cada proceso de la organización, lo que aportará visibilidad y permitirá el compromiso y la toma de decisiones por parte de los líderes de la organización. Con base a estos riesgos es posible dise- ñar un plan de ciberseguridad integral adaptado a la organización que abarque no solo los entornos TI, sino también los entornos TO. Este plan no puede ser una iniciativa ni un esfuerzo aislado del equipo de seguridad, sino que debe incluir la participación de los principales responsables de las áreas de operación, control y automatización industrial, asegurando su compromiso por la protección de los activos de la organización. Este plan deberá contemplar el desarrollo de capacidades de seguridad adecuadas al tamaño y complejidad de la organización, considerando:
• Capacidades de respuesta ante ciberincidentes que consideren eventos tales como: ataques con ransomware, robo de información crítica o indisponibilidad de elementos clave de la infraestructura.
• Programas de concientización en ciberseguridad a todo el personal de la organización.
• Mejoras en los procesos de autenticación de usuarios privilegiados, sistemas críticos o provenientes de redes inseguras, utilizando mecanismos de doble factor de autenticación.
• Procesos de aplicación de parches y actualización de software.
• Procesos de desarrollo seguro de software, que incluya pruebas de seguridad previo a la puesta en producción de cada nuevo software a implementar.
• Procesos de evaluación periódica de vulnerabilidades que incluya todos los ambientes TI y TO.
• Mejora de controles de ciberseguridad en las estaciones de trabajo, tanto en las redes TI como los puestos de trabajo utilizados por operadores y administradores de redes TO.
• Mejora en las capacidades de copias de respaldo de toda la información crítica almacenada en servidores, estaciones de trabajo y en la nube.
• Mejoras en los controles de red, que permitan aplicar políticas de acceso al tráfico de red que circula entre las redes TI y TO.
• Mejoras en las capacidades de detección de ataques, con sensores que permitan identificar tráfico anómalo en todos los segmentos de red importantes y en todas las estaciones de trabajo y servidores.
• Mejoras en los controles de conexiones con terceros y con servicios en la nube.
• Mejoras en las capacidades de monitoreo que permitan identificar eventos y correlacionar y enriquecer los datos, utilizando fuentes de inteligencia externa para acortar los tiempos de detección de ataques.
Todas estas capacidades requieren madurez en los procesos, coordinación entre múltiples áreas, decisión y liderazgo por parte de la organización para lograr implementar el plan de ciberseguridad de manera exitosa. Nuestra experiencia nos muestra que este proceso requiere tiempo y esfuerzo, sin embargo, con un enfoque adecuado puede ser una fuente que aporte valor al negocio, potenciando nuevas soluciones, aportando mejoras a los procesos productivos y generando confianza con los clientes y usuarios de la organización.
Por último, es importante destacar que, a medida que la organización va cambiando y se adapta a nuevos negocios y contextos de operación, los riesgos cambian y deben ser reevaluados periódicamente para asegurar que los planes de ciberseguridad están vigentes y que los procesos y capacidades de ciberseguridad se ajustan a las nuevas necesidades.