Gobernanza y gestión de riesgos, gobierno, agencia de industria específica busca comentarios sobre la guía de referencia de seguridad de OT para los sectores de agua y aguas residualesChris Riotta (@chrisriotta) •12 de junio de 2024 NIST publicó un borrador de la guía de referencia de seguridad de OT para el sector del agua. (Imagen: Shutterstock) Los sistemas de control en red en los sistemas de agua municipales son ineludibles incluso para las localidades que preferirían lo contrario. Los nuevos equipos con acceso remoto predeterminado y una fuerza laboral de reparación sobrecargada significan que cortar los sistemas de agua municipales de Internet no es una opción real. El desafío es cómo autorizar de forma segura el acceso remoto a los sistemas locales sin correr el riesgo de convertirse en el próximo objetivo de un ataque de un estado-nación, como el que alardeó de la Autoridad Municipal del Agua de Aliquippa, Pensilvania, el otoño pasado desde el punto de vista estándar. convertir la utilidad local en titular de noticias global (ver: Grupo de hackers iraníes ataca a la Autoridad del Agua de Pensilvania). El Instituto Nacional de Estándares y Tecnología de EE. UU. tiene algunas ideas. Está buscando comentarios del público sobre la primera fase de un proyecto destinado a proteger los servicios de agua y aguas residuales de las ciberamenazas emergentes. El NIST emitió el miércoles borradores de guías de referencia para que las empresas de agua aseguren la tecnología operativa a pesar de los puertos de conexión remotos. Vea también: Seminario web OnDemand | Fabricación de atención médica: Lista de verificación de seguridad ambiental OT e IIoT La primera publicación del borrador del proyecto está diseñada para ofrecer soluciones para una variedad de sistemas de agua y aguas residuales, así como soluciones de acceso remoto basadas en la nube que se pueden aplicar a sistemas de agua de todos los tamaños. El proyecto tiene como objetivo explorar la aplicación de productos existentes comercialmente disponibles para mitigar los riesgos de ciberseguridad. NIST dijo que el proyecto incorporará productos proporcionados por proveedores que ayudarán a mejorar la gestión de activos, mejorar la integridad de los datos, ampliar las capacidades de segmentación de la red y aún permitir el acceso remoto a los activos de OT desde fuera del entorno de OT. El NIST reconoció que las empresas de agua generalmente cubren amplias áreas geográficas y dependen del soporte de OT, como el control de supervisión y los sistemas de adquisición de datos que controlan los procesos automatizados, realizan monitoreo y proporcionan transmisión de datos en toda la empresa. «La creciente adopción de tecnologías habilitadas para redes por parte del sector merece el desarrollo de mejores prácticas, orientación y soluciones para garantizar que se salvaguarde la postura de ciberseguridad de las instalaciones», dice la guía. El Centro Nacional de Excelencia en Ciberseguridad del NIST incluyó cuatro escenarios que abordan preocupaciones críticas de ciberseguridad para el sector del agua y las aguas residuales. Los escenarios cubren problemas de gestión de activos, como inventarios incompletos de equipos y software OT que excluyen dispositivos externos o remotos, lo que genera lagunas en la gestión de las configuraciones de seguridad. Otras preocupaciones incluyen la integridad de los datos, asegurar el acceso remoto a los activos de OT y garantizar una segmentación de red adecuada para evitar que los actores de amenazas accedan a sistemas sensibles y comprometan la integridad operativa. La guía de referencia recomienda establecer métodos, como la autenticación multifactor y la eliminación de cuentas y contraseñas predeterminadas, para garantizar que las medidas de seguridad estén configuradas en todos los dispositivos. El período de comentarios sobre el borrador de la publicación está abierto hasta el 15 de julio y se produce cuando la Agencia de Protección Ambiental advierte sobre un aumento de los ataques dirigidos a los sectores del agua y las aguas residuales. Los inspectores de la agencia también identificaron recientemente una serie de «vulnerabilidades alarmantes de ciberseguridad» en los sistemas de agua potable de todo el país, advirtiendo que la gran mayoría de los sistemas inspeccionados tienen una higiene cibernética deficiente (ver: La EPA toma medidas enérgicas contra las violaciones de ciberseguridad del sistema de agua de EE. UU.). Los expertos dijeron anteriormente a Information Security Media Group que ambos sectores carecen de financiamiento y recursos técnicos para cumplir con los nuevos mandatos y recomendaciones de seguridad federales, incluso cuando la EPA y la Agencia de Seguridad de Infraestructura y Ciberseguridad han liberado un flujo constante de recursos gratuitos y de bajo costo en los últimos años. . URL de la publicación original: https://www.databreachtoday.com/nist-publishes-draft-ot-cybersecurity-guide-for-water-sector-a-25505