Ha pasado un año desde que un spam a una sola cuenta de usuario llevó a un ataque de ransomware que paralizó el mayor oleoducto de combustible de Estados Unidos: Colonial Pipeline. Este oleoducto, que transporta 2,5 millones de barriles de combustible al día, interrumpió sus operaciones durante seis días como consecuencia del ataque.
Relación del ataque con la India
El oleoducto Colonial demuestra la importancia de las infraestructuras privadas y el impacto que puede tener un ataque contra ellas en la economía de un país. Hasta el 45% de la demanda de combustible líquido de la Costa Este de Estados Unidos fluye a través de ese oleoducto, y la interrupción provocó escasez de combustible y subidas de precios. Además, destacó la importancia de la colaboración entre los sectores público y privado para combatir los ciberataques a las infraestructuras críticas.
A pesar de los ataques de alto perfil como este, la India sigue experimentando un aumento de los casos de ciberataques a las infraestructuras críticas. Un estudio realizado por la Fundación CyberPeace reveló que entre octubre de 2021 y abril de 2022 se registraron casi 360,000 ciberataques a infraestructuras de información importantes de la India. Entonces, ¿Dónde nos hemos quedado cortos? ¿Son los sistemas de TI y de tecnología operativa (OT) que controlan las infraestructuras seguros en comparación con hace un año? ¿Qué lecciones deberíamos haber aprendido?
Interconectividad
Desde el incidente, hay más conciencia de los ataques a las infraestructuras como resultado del aumento de la interconectividad entre los sistemas de TI, OT e IoT y el aumento del riesgo en el proceso. Aunque algunas organizaciones en la India han dado un gran paso en cuanto a cambios de política, la inercia institucional hace que la aplicación de estos cambios sea lenta. Pero el mundo ha visto algunos progresos en el último año. Las organizaciones han aumentado las inversiones reales en políticas, procedimientos y tecnologías necesarias para ayudar a contrarrestar el ransomware y otras amenazas. La investigación de Gartner mostró que el gasto en seguridad y gestión de riesgos para proteger la infraestructura crítica entre las organizaciones indias se fijó en 344 millones de dólares en 2022, un aumento del 14% desde 2021.
Sin embargo, los cambios de tal envergadura sólo cobran impulso con la regulación gubernamental. En este sentido, el gobierno indio está elaborando la Política Nacional de Ciberseguridad, ampliando su alcance para incluir la ciberdefensa de las infraestructuras críticas. El gobierno también ha aumentado su presupuesto cibernético de manera significativa. Durante el año fiscal 2022-23, el gobierno indio asignó 5.150 millones de rupias a la ciberseguridad, lo que supone un aumento de 10 veces, en comparación con el presupuesto de 2014-15 que asignó 850 millones de rupias.
Colaboración entre los sectores público y privado
Hay varias lecciones adicionales que aprender del ataque de ransomware a Colonial Pipeline. El impacto de un evento disruptivo en una infraestructura crítica de propiedad privada nunca se ha analizado adecuadamente. El ataque a Colonial Pipeline fue una dura demostración de lo interrelacionadas que están la estabilidad y la viabilidad económica de un país a medida que la tecnología sigue evolucionando.
Los ciberataques a infraestructuras críticas pueden tener un impacto material en las operaciones que va más allá de la fuga de información, hasta el daño de los equipos, los problemas de seguridad de los empleados o un incidente medioambiental importante. Por estas mismas razones, la colaboración entre los sectores público y privado es fundamental; y los esfuerzos para mejorar la ciberseguridad deben basarse en la gestión eficaz del riesgo de un conjunto de amenazas dinámico y en constante evolución. Además, debido a la naturaleza global de las ciberamenazas, es importante que la aplicación de la estrategia se ajuste a las normas internacionales consensuadas.
El gobierno debe desempeñar un papel más fuerte en la disuasión, incluyendo la consideración reflexiva de las capacidades ofensivas, la atribución de los ataques y el establecimiento de réplicas y contramedidas, según corresponda; sin embargo, estos esfuerzos no deben reemplazar las fuertes prácticas básicas de higiene cibernética tanto en el gobierno como en el sector privado.
Importancia de la cyber hygiene
El incidente de Colonial Pipeline también pone de manifiesto la importancia de mantener una higiene cibernética básica. El vector de ataque fue el uso de la contraseña de una cuenta de un antiguo empleado de Colonial. Esta cuenta tenía acceso VPN a la red corporativa. El simple paso de activar la autenticación multifactor y desactivar las cuentas inactivas habría frustrado este ataque desde el principio. Estos ejemplos eficaces de cyber hygiene deben codificarse y realizarse de forma metódica y rigurosa para reducir la exposición. Los sectores de infraestructuras críticas todavía no han dado prioridad a la cibernética y son en gran medida ciegos al riesgo estratégico. Muchos sectores de las infraestructuras críticas apenas están empezando a comprender los riesgos del acceso remoto, la interconectividad con otras entidades y la creciente digitalización, y mucho menos a tener la capacidad de gestionar eficazmente este riesgo.
Colaboración para acercar los mundos de TI y OT
Los riesgos entre estos dos mundos aumentan a medida que las TI se cruzan cada vez más con las OT y, para mitigarlos, la única opción es que ambos trabajen juntos. Lo más importante para que los equipos de TI y OT trabajen juntos de forma eficaz es la educación y el entendimiento mutuo. El personal de TI debe comprender algunos fundamentos básicos de la tecnología operativa y, del mismo modo, el personal de OT debe aprender los aspectos esenciales de la seguridad de TI. Estos ejercicios de capacitación, junto con unas políticas de seguridad cohesionadas y exhaustivas orientadas a la empresa, contribuirán en gran medida a facilitar el nivel necesario de protección de los activos orientados a la producción críticos para la empresa.
El camino a seguir
Hay pasos fundamentales que todos los operadores de infraestructuras críticas deben dar: saber qué hay en su red, cómo interactúan sus sistemas, qué vulnerabilidades existen, implementar controles compensatorios y controlar el acceso y los privilegios de los usuarios. Igualmente, importante es gestionar y supervisar la conectividad externa para ayudar a mitigar los ciberataques directos e indirectos contra los activos de misión crítica.
Muchos entornos operativos críticos carecen de un enfoque sistémico formal para las evaluaciones de riesgo y los procesos, por no hablar de la visibilidad continua que se espera para los servicios críticos y los objetivos de alto valor. Estos procesos formales se necesitan desesperadamente, ya que el rápido aumento del acceso y la interconectividad incrementan drásticamente el riesgo. En estos casos, la regulación de la transparencia y las normas de atención pueden ayudar a impulsar la mejora de las prácticas de gestión de riesgos y, al mismo tiempo, fomentar la innovación.
En BG2 Services contarás con especialistas que te ayudarán a mitigar los riesgos en tus redes IT, IoT y OT ¡Contáctanos!
Correo: mktadmin@bg2.com.mx
Teléfono: (81) 8123 3730
Agenda hoy mismo una sesión gratuita: https://calendly.com/lilianagarcia/45min?month=2022-05
FUENTE
Bussiere, D. (2022). A year after the Colonial Pipeline attack – have we learnt anything?. The Times Of India. https://timesofindia.indiatimes.com/blogs/voices/a-year-after-the-colonial-pipeline-attack-have-we-learnt-anything/
