Gracias a los ordenadores, podemos acceder a distancia a cualquier cosa, lo que brinda a los clientes visibilidad en tiempo real de los cortes de energía y les permite ver su consumo eléctrico. Los ordenadores, las redes y la automatización permiten a las empresas de servicios eléctricos hacer más con menos recursos. Pero esto también brinda la posibilidad a un actor malintencionado de penetrar esos sistemas y obtener el mismo acceso que un operador.
Comprendiendo el panorama de amenazas
Actualmente, hemos conectado nuestras redes de tecnología de la información (TI) con nuestras redes operativas (OT). Esta conectividad expone relés y otros controladores a Internet, lo que hace que los ciberataques sean plausibles. Dado que el tiempo de actividad ha sido la métrica clave para las empresas de servicios públicos, la red OT nunca ha sido objeto de escrutinio en términos de seguridad.
La ciberseguridad requiere que los defensores estén vigilantes, ya que cualquier vulnerabilidad en el sistema permite que un intruso acceda a sistemas críticos. Aunque los defensores protegen nuestras redes, los seres humanos también añaden debilidades adicionales. Necesitamos ayuda para mantener el ritmo con los rápidos avances tecnológicos. Los atacantes utilizan correos electrónicos, llamadas telefónicas o sitios web falsos para obtener un acceso válido a nuestras redes. Una vez dentro, los atacantes propagan malware por toda la red hasta lograr su objetivo.
Los días de la seguridad por oscuridad han quedado atrás. Los atacantes actuales han realizado investigaciones exhaustivas. Conocen los pormenores de los protocolos OT especializados. Las amenazas han estado explorando y mapeando redes OT a nivel mundial. Ahora, estos atacantes pueden desarrollar malware especializado dirigido al entorno OT.
Las ciberamenazas han evolucionado en la última década. La frecuencia de los incidentes ha aumentado constantemente desde 2013 a más de 500 ataques en el último año. Estos ataques incluyen tanto malware especializado como ransomware.
Consecuentemente, las empresas de servicios públicos deben protegerse ahora contra los ataques de ciberdelincuentes comunes, no solo contra los perpetrados por Estados-Nación. Esta situación subraya la necesidad de implementar medidas sólidas de ciberseguridad.
La Importancia de la Gestión de Configuración y Cambios
La gestión de configuración es un proceso importante que se enfoca en mantener la integridad de todos los sistemas. Es necesario contar con una línea de base o «baseline» que representa el estado conocido y seguro de los sistemas. Esta línea de base sirve como punto de comparación para cualquier modificación nueva. Al detectar un cambio, se pueden seguir los pasos necesarios para evaluar si es necesario o no. Estos pasos proporcionan una forma de evitar riesgos, ya que el proceso detecta cualquier cambio no autorizado o erróneo.
Existen tres elementos clave en este proceso: personas, procesos y tecnología. La gestión de cambios se centra en las personas y los procesos. Requiere solicitar, evaluar y aprobar los cambios. También debe existir un proceso para manejar solicitudes de emergencia o excepciones. Cada cambio debe estar documentado y ser rastreable, además de abordar posibles problemas de seguridad o cumplimiento normativo.
La combinación de personas, procesos y tecnología garantiza que los sistemas sean seguros y estén en cumplimiento. Las personas y los procesos abordan los riesgos potenciales de seguridad. La automatización tecnológica puede ayudar a auditar cualquier desviación de seguridad que se presente.
Comprensión de los Detalles de Configuración de los Puntos Finales
Mantener registros detallados de los cambios es fundamental con el aumento de dispositivos y componentes dentro de las redes OT. Cada cambio, por mínimo que sea, puede tener implicaciones de seguridad potenciales. Comprender quién realiza un cambio y cuál es el cambio específico es crucial para gestionar la seguridad e integridad de sus sistemas.
El seguimiento de los cambios va más allá de la seguridad; también se trata de responsabilidad y visibilidad. Cuando surge un problema, contar con un registro completo de los cambios ayuda a identificar la fuente del problema y reduce el tiempo medio de reparación (MTTR). Proporcionar una línea de tiempo clara de las modificaciones contribuye a garantizar la estabilidad del sistema, lo que respalda una respuesta rápida ante incidentes y minimiza su impacto potencial.
Es igualmente importante hacer un seguimiento de detalles de configuración vitales de los puntos finales, como el nombre del dispositivo, el tipo, la dirección IP, la dirección MAC, el inventario de firmware y software instalado, las vulnerabilidades del sistema operativo y los parches instalados, los puertos y servicios abiertos, entre otros aspectos. Estos detalles son fundamentales para comprender el estado actual de su red OT y sus vulnerabilidades potenciales.
El Papel de NERC CIP en la Ciberseguridad de las Empresas de Servicios Eléctricos
Los estándares de Protección de la Infraestructura Crítica (CIP) de la North American Electric Reliability Corporation (NERC) aseguran el sistema eléctrico de América del Norte. Estos estándares imponen protecciones de ciberseguridad en todo el sector de servicios públicos. Puede ser fácil decir que el cumplimiento de regulaciones va en contra o dificulta la ciberseguridad moderna, pero no estoy de acuerdo con esta afirmación. Las regulaciones son la última línea de defensa para su programa de ciberseguridad.
Los ingenieros de ciberseguridad son la primera línea de defensa. Operan herramientas como OTORIO para detectar amenazas en tiempo real. Luego tenemos la gobernabilidad y el riesgo. Esto se centra en prevenir amenazas mediante la identificación de posibles vulnerabilidades y fallos de seguridad. La última línea de defensa es el cumplimiento. El cumplimiento representa el mínimo que una empresa de servicios públicos debe hacer. Es el «nivel de seguridad» mínimo necesario para operar. El cumplimiento puede ayudar a iniciar conversaciones sobre ciberseguridad y aumentar la conciencia en este ámbito. Además, asegura que podamos proteger, detectar, responder y recuperarse ante incidentes de ciberseguridad.
Conclusiones
El volumen de datos generado por el sector de la energía y la complejidad de los sistemas hacen que sea un desafío rastrear y gestionar todos los riesgos de ciberseguridad. Los sistemas de energía amplifican esta complejidad, ya que a menudo están compuestos por tecnologías más antiguas y nuevas, incluidos sistemas heredados que nunca fueron diseñados teniendo en cuenta las amenazas modernas de ciberseguridad. Para gestionar esta complejidad, las empresas de energía pueden tomar varias medidas:
Implementar sólidas prácticas de Gestión de Cambios y Configuraciones
La gestión de cambios implica a las personas, los procesos y las decisiones involucradas en la implementación de cambios en activos configurables. Por otro lado, la gestión de configuraciones se centra en mantener la integridad de todos los elementos configurables de un hardware o software. Ambas prácticas aseguran que los cambios realizados en el sistema no introduzcan nuevas vulnerabilidades y que todos los sistemas se mantengan seguros.
Invertir en tecnologías que brinden una visibilidad profunda en las configuraciones del sistema
Dada la complejidad de los sistemas de energía, es fundamental contar con tecnologías que proporcionen una visión profunda de las configuraciones de sistemas, aplicaciones y dispositivos de red. Estas tecnologías deben establecer configuraciones baselines y estados conocidos para fortalecer el entorno. También deben identificar de manera continua los cambios o desviaciones de la línea de base que puedan indicar problemas de seguridad y cumplimiento. Además, deben mantener un registro preciso y detallado de los cambios.
Rastrear detalles vitales de configuración de los puntos finales
Los detalles de los puntos finales pueden incluir el nombre del dispositivo, tipo, dirección IP, dirección MAC, firmware instalado, inventario de software (incluyendo versiones), sistema operativo (incluyendo vulnerabilidades y parches instalados), puertos y servicios abiertos, políticas modificadas, medios extraíbles, código malicioso detectado, eventos de registro fallidos y números de serie. Esta información puede ayudar a identificar posibles vulnerabilidades y rastrear cambios que podrían introducir nuevas vulnerabilidades.
Fomentar una cultura que apoye y mantenga la ciberseguridad
Integrar la ciberseguridad en la cultura es una prioridad e implica convertirla en un imperativo empresarial, no solo técnico. Las empresas de servicios públicos deben utilizar mejor los recursos gubernamentales, compartir lecciones aprendidas, capacitar y orientar a más profesionales de ciberseguridad y hacer que toda la fuerza laboral participe en la gestión de los riesgos de ciberseguridad.
Mantenerse actualizado con las amenazas en evolución
La naturaleza de las amenazas cibernéticas ha cambiado considerablemente. Los posibles atacantes de hoy están familiarizados con los sistemas de control industrial (ICS), dispositivos de IoT y dispositivos de comunicación especializados que forman parte de muchos sistemas OT. Además, numerosos grupos de ciberdelincuentes están invirtiendo en el desarrollo de capacidades de su personal técnico. Como resultado, las empresas privadas deben protegerse contra ataques más sofisticados realizados por estos atacantes bien financiados.
Mantenerse al día con estas amenazas puede ayudar a gestionar los riesgos de ciberseguridad en el sector de la energía. Sin embargo, es importante recordar que la ciberseguridad es un proceso continuo, y las empresas de energía deben reevaluar y actualizar constantemente sus prácticas a medida que surgen nuevas amenazas. Es necesario adoptar un enfoque proactivo y estar preparados para adaptarse a los desafíos cambiantes que puedan surgir en el panorama de la ciberseguridad. Esto implica contar con personal capacitado, soluciones de seguridad actualizadas y una mentalidad de mejora continua para proteger adecuadamente los sistemas de energía contra las crecientes ciberamenazas.
Fuente: OTORIO
