Australia tiene la misión de convertirse en una nación más eficiente en el uso de la energía. La Agencia Australiana de Energías Renovables anunció recientemente una iniciativa de 100 millones de dólares para explorar y ampliar las capacidades de energía solar. Otras inversiones en almacenamiento de energía, energía hidroeléctrica de bombeo y redes de bajo carbono pueden resultar igualmente significativas. Sin embargo, la nación también debe abordar un desafío subyacente: la integración de bases sólidas de TI y software dentro de los entornos de OT que hacen funcionar las redes. Sin ellas, Australia podría tener dificultades para hacer realidad plenamente sus ambiciones en materia de energía renovable. La convergencia de OT y TI OT se refiere al hardware y software que detecta o provoca cambios a través del monitoreo y control directo de dispositivos físicos, procesos y eventos en la empresa. TI implica el uso de sistemas, especialmente computadoras y telecomunicaciones, para almacenar, recuperar y enviar información. Tradicionalmente, estas dos formas de tecnología se han mantenido bastante separadas y se han administrado de forma independiente. Sin embargo, la integración de OT y TI es esencial para la modernización de las redes de energía. Como señala IBM, hay cuatro áreas en las que esta integración debe ser efectiva: Medidores inteligentes: los medidores inteligentes miden el consumo de energía en tiempo real en el extremo del consumidor, brindando información detallada sobre los patrones de consumo tanto al consumidor como al proveedor de energía. Sensores y dispositivos de automatización: se instalan en toda la red para monitorear el voltaje, la corriente y la capacidad de carga, entre otras métricas. Pueden ajustar automáticamente los parámetros para evitar sobrecargas y apagones prolongados a gran escala. Redes de comunicación: la columna vertebral de cualquier red inteligente, las redes de comunicación facilitan la transmisión de datos entre varios componentes, incluidos sensores, dispositivos automatizados y centros de control. Los sistemas de transmisión pueden ser cableados o inalámbricos y utilizan una variedad de protocolos y tecnologías de comunicación, como Wi-Fi, Z-Wave, Zigbee y 4G/5G. Software y análisis: las redes inteligentes generan cantidades masivas de datos. Para administrar, analizar e interpretar estos datos, las empresas de servicios públicos dependen de software avanzado y herramientas de análisis. Este software, y la información que proporciona, puede ayudar a los proveedores a predecir patrones de demanda, identificar problemas potenciales y optimizar la red de distribución. Más cobertura de Australia El papel de la IA en la gestión energética La IA también está desempeñando un papel cada vez más importante en los esfuerzos de sostenibilidad, con algunos gigantes tecnológicos como Microsoft, Google e IBM aprovechando la IA para reducir los daños climáticos. Estas tecnologías, como el aprendizaje automático y el análisis de datos, permiten que la red inteligente prediga la demanda de energía, optimice la distribución de energía e incluso prevea posibles fallas antes de que ocurran. Los sistemas de gestión de energía impulsados por IA también pueden analizar grandes cantidades de datos de varias fuentes, incluidos los pronósticos meteorológicos, los patrones de consumo de energía y las métricas de rendimiento de la red. Este análisis puede ayudar a construir sistemas que automaticen la producción y distribución de energía, asegurando que el suministro satisfaga la demanda de manera eficiente. Ciberseguridad: una amenaza creciente para los esfuerzos de energía renovable Australia corre un alto riesgo de sufrir amenazas cibernéticas a través de la tecnología OT, lo que afecta las ambiciones renovables del país. Con el 82% de las organizaciones experimentando ataques cibernéticos a través de sistemas OT, existe un riesgo creciente de que se introduzcan en la red energética de Australia a medida que se digitaliza. La nación también depende cada vez más de un enfoque altamente descentralizado de la energía, lo que significa que la superficie de ataque es mucho mayor. Por ejemplo, la energía solar en los tejados (paneles solares en viviendas y empresas individuales que luego se conectan a la red mediante dispositivos IoT, software y tecnologías digitales) es un factor que contribuye a que el 40% de la energía de Australia sea suministrada ahora por fuentes renovables. La creciente integración de fuentes de energía renovables, como la solar y la eólica, en la red energética de Australia la ha convertido en un objetivo principal para los ciberdelincuentes. La adopción de dispositivos inteligentes y tecnologías IoT en el sector energético ha ampliado la superficie de ataque, lo que facilita que los piratas informáticos se infiltran e interrumpen las operaciones. La necesidad de escalar la inversión en ciberseguridad Para que Australia aproveche con éxito la energía renovable, debe establecer bases sólidas de TI. El Marco de Ciberseguridad del Sector Energético Australiano es un buen paso regulatorio, que aprovecha marcos exitosos, como el Modelo de Madurez de Capacidad de Ciberseguridad del Subsector Eléctrico del Departamento de Energía de los EE. UU., y lo armoniza con referencias de control específicas de Australia, como ACSC Essential 8. Sin embargo, también es importante que el canal de TI (incluidos los profesionales de TI y los proveedores de servicios) y los profesionales de TI aporten las habilidades y el conocimiento para administrar y proteger los sistemas de energía integrados. Esto incluye comprender los desafíos únicos de los entornos de OT y cómo aplicar soluciones de TI de manera eficaz. Esta estrategia puede permitir a Australia apuntar a una transición a la energía renovable que no solo sea exitosa sino también segura contra un número creciente de ataques cibernéticos.
Etiqueta: Antiguo Testamento
La ciberseguridad industrial en APAC todavía está por detrás de las empresas, pero tener una higiene básica y un plan en marcha es «años luz» mejor que nada, según el director de respuesta a incidentes en la empresa de ciberseguridad de tecnología operativa Dragos Lesley Carhart. Carhart recomienda que los operadores de tecnología industrial, grandes o pequeños en APAC, se den cuenta de que todos podrían ser objetivos, incluidos los de actores estatales que buscan robar información o posicionarse para un futuro evento geopolítico, y que implementen y prueben planes de respuesta a incidentes. La madurez de la ciberseguridad industrial todavía está por detrás de las empresas Los operadores de tecnología industrial tienen un nivel medio de madurez de seguridad en un país como Australia. Los operadores a menudo son conscientes de lo que se debe hacer desde un punto de vista estratégico y han comenzado a desarrollar más madurez, pero aún tienen una serie de brechas que llenar, dijo Carhart. «Puede que hayan comenzado a desarrollar un plan, pero aún no lo hayan probado para asegurarse de que cada parte funcione. Existe la tentación de desarrollar un plan y asumir capacidades en ciberseguridad, en infraestructura crítica, en entornos industriales de OT, sin haberlos probado realmente por completo usted mismo». Dragos ha visto organizaciones que implementan planes de respuesta a incidentes y monitoreo de seguridad; esto los coloca «años luz por delante» de aquellos que no tienen un plan ni personal ni equipo para la seguridad cibernética, pero Carhart dijo que necesitan probar suposiciones para hacer cosas tácticas detrás de la estrategia. TechRepublic Premium: Descargue una política de respuesta a incidentes ahora «A menudo hay bloques de parada donde pueden decir, ‘Asumimos que teníamos un inventario de activos y no está actualizado’, o ‘Asumimos que teníamos registros y no son completos’, o ‘Asumimos que teníamos copias de seguridad que podíamos restaurar en nuestro entorno industrial’, explicó. «Es bastante maduro en el entorno empresarial: tienen un gran personal, programas maduros, planes para la seguridad cibernética, pero cuando se pasa a OT, es un panorama diferente en un nivel diferente de madurez, y esas cosas simplemente no existen con el mismo nivel de uso práctico». Tres desafíos principales que impactan en la seguridad de la tecnología industrial Hay una serie de desafíos que impiden que los operadores de entornos tecnológicos industriales se pongan al día con las empresas en lo que respecta a la seguridad cibernética. Comunicación entre la ingeniería de procesos industriales y la ciberseguridad Carhart dijo que ha habido «décadas de malentendidos» entre los equipos de ingeniería de procesos y los responsables de la ciberseguridad en el espacio de la tecnología industrial. Gran parte de este «problema humano» se debe a malentendidos «de prioridades y terminología». VEA: Cómo el agotamiento por la ciberseguridad está creando riesgos para las organizaciones de APAC «Hemos intentado imponer controles de ciberseguridad empresarial en entornos de procesos, y simplemente no se puede hacer debido a cosas como la presencia del proveedor y la antigüedad y sensibilidad del equipo. Puede ser difícil lograr avances en la implementación de controles de seguridad modernos». Desafíos técnicos debido al equipo de tecnología operativa Gran parte del mercado de tecnología industrial utiliza equipos heredados controlados por proveedores. Carhart dijo que, debido a la gran presencia de fabricantes de equipos originales en entornos de tecnología industrial, esto puede restringir lo que las organizaciones pueden hacer en materia de ciberseguridad. Sensibilidad de los procesos y equipos de tecnología operativa Las organizaciones que operan tecnología industrial «pueden tener solo una interrupción de mantenimiento al año en la que pueden trabajar en el equipo», según Carhart, y están lidiando con equipos que a menudo permanecen en uso durante largos períodos de tiempo, a menudo con vidas útiles de hasta 20 años. “Ciertamente no se pueden implementar controles de seguridad modernos basados en agentes. Ninguna de las herramientas de seguridad que se ven en las conferencias de seguridad para entornos empresariales, como las herramientas XDR o EDR, funciona bien en entornos de procesos debido a todas esas cosas”, dijo Carhart. Más cobertura de Australia Tres amenazas cibernéticas principales que enfrenta la tecnología industrial en 2024 Hay tres amenazas principales que enfrentan los operadores de tecnología operativa. Cada categoría representa aproximadamente un tercio de cada una de las amenazas que Dragos ve que enfrentan las industrias en las naciones desarrolladas. Malware y ransomware de productos básicos Las organizaciones industriales son los principales objetivos del malware y el ransomware de productos básicos. Son «objetivos jugosos para los delincuentes», dijo Carhart, porque es más probable que sean vulnerables a un ataque y, como están haciendo cosas críticas, existe la posibilidad de que la gente pague un rescate. Carhart dijo que el malware y el ransomware afectan a los entornos industriales debido a la falta de herramientas de seguridad y madurez. Si bien es posible que no afecten necesariamente de forma directa al equipo de proceso, pueden alterar cosas como las pantallas que usan los operadores para ver si las cosas funcionan de manera segura. Datos recientes de OT 2023 Cybersecurity Year in Review de Dragos encontraron que 13 incidentes de ransomware afectaron a las organizaciones industriales del país. Un ataque de LockBit 3.0 a DP World, aunque no se implementó ransomware, provocó el cierre de las operaciones del puerto terrestre durante tres días y «puso de relieve la posibilidad de efectos en cascada e impactos del ransomware en las operaciones industriales, las cadenas de suministro y los consumidores», según una declaración de Dragos. Amenazas internas Las amenazas internas a menudo no son maliciosas ni intencionales, pero aún así pueden tener «enormes impactos», dijo Carhart. En algunos casos, los trabajadores pueden implementar medidas de seguridad incorrectamente, verse obstaculizados debido a malas relaciones humanas internas o no entender cómo hacer su trabajo correctamente. Los ejemplos incluyen la elusión de los controles de seguridad de TI, como un sistema que se conecta directamente a una conexión celular o de Internet dual o alguien que trae una unidad USB. Estas amenazas pueden afectar a equipos de procesamiento sensibles y pueden pasar desapercibidas durante meses o años. Grupos de amenazas criminales avanzadas o actores estatales La tercera categoría de amenaza es la de los grupos adversarios avanzados de estilo estatal. Participan en: Espionaje industrial: Esta actividad se observa especialmente en industrias como la fabricación y la producción de alimentos, donde los actores entran para aprender cómo se realizan los procesos y luego los roban. Construcción de reconocimiento y acceso: Los actores estatales se afianzan en industrias e infraestructura para poder hacer algo cuando sea «geopolíticamente apropiado en el futuro». «Los grupos adversarios del Estado, y algunos grupos criminales, han comenzado a construir grandes bases de datos de información sobre cómo se configuran los entornos, por lo que si hay una razón para hacer algo malicioso en el futuro, saben cómo hacerlo y tienen acceso para hacerlo», dijo Carhart. Todas las organizaciones industriales son objetivos, independientemente de su tamaño Los operadores industriales a menudo se sorprenden cuando se enfrentan a un incidente cibernético del mundo real; Carhart dijo que a menudo marcan casillas de verificación para el bien de las auditorías o para el bien de la regulación. En casos como estos, nunca habrán practicado ni realizado ejercicios ni tenido un plan sobre qué hacer cuando se produce un ataque. Carhart advirtió que cualquiera puede verse atrapado por un ataque. “No puedo contar la cantidad de casos en los que la gente decía: ‘No pensamos que nos iba a pasar a nosotros, no se suponía que fuéramos objetivos, así que nunca pusimos en práctica nuestro plan’”, dijo. Las organizaciones industriales pueden ser objetivos atractivos por diferentes razones. La experiencia de Dragos en el campo indica que las pequeñas organizaciones a menudo son el objetivo porque son blancos fáciles para los actores criminales, que pueden ganar un poco de dinero fácilmente con muchas organizaciones. “También son el objetivo de los estados porque son una buena prueba contra empresas más grandes, o pueden ser una vía de entrada a una empresa más grande”, agregó Carhart. Las empresas más grandes pueden pensar que están protegidas por grandes equipos y presupuestos de seguridad cibernética. “Pero tener una gran arquitectura que cubrir puede hacer que sea muy difícil realizar una cirugía cibernética integral, porque es posible que no sepas que existen partes de tu red. Y la planificación en muchas instalaciones industriales diferentes puede ser muy difícil, así como el monitoreo”, concluyó Carhart. El consejo de Dragos para hacer frente a un incidente de ciberseguridad industrial Lo más importante que pueden hacer los operadores de tecnología industrial e infraestructuras críticas para prepararse para un incidente cibernético y la respuesta asociada al incidente es tener «algún tipo de plan escrito», dice Carhart. Esto se debe a que los incidentes de seguridad «nunca ocurren en un momento oportuno». «Siempre son las 5 p. m. de un viernes o las 2 a. m. en Navidad», dijo. «En primer lugar, eso se debe a que todo suele estar cerrado en el entorno de procesos, o es un grupo esqueleto, y la gente tiene tiempo para mirar las cosas y darse cuenta de que están sucediendo cosas», explicó. «Y en segundo lugar, es porque las personas malas saben cuándo nadie está mirando. Por lo tanto, debe tener un plan escrito; se convierte en una crisis muy rápido, todos entran en pánico y tiene a los altos ejecutivos respirándole en la nuca, lo que es tremendamente difícil en una organización pequeña». Las organizaciones deben saber qué hacer o a quién llamar Dragos recomienda que las organizaciones documenten claramente cómo manejarán la respuesta a un incidente; Esto puede incluir pedir ayuda a una organización de apoyo gubernamental, socios como empresas de ciberseguridad o pares, donde existan acuerdos de ayuda mutua. TechRepublic Premium: Fortalezca las respuestas de seguridad con nuestra política de respuesta de seguridad «Podría ser, ‘sabemos de quién vamos a recibir ayuda, quién puede brindarnos ayuda barata o gratuita’, y eso está bien. Podría ser, ‘contamos con personal y madurez interna, y tenemos nuestro propio equipo de respuesta a incidentes para OT y así es como van a funcionar y cómo se van a interrelacionar con nuestros ingenieros de procesos’. O podría ser, ‘tenemos un contrato comercial con una empresa’ como Dragos o uno de nuestros competidores. De cualquier manera, es necesario tener un plan», dijo. 5 pasos para lograr la higiene de la ciberseguridad industrial El director ejecutivo de Dragos, Robert M. Lee, fue coautor de un informe técnico de 2022 llamado The Five ICS Cybersecurity Critical Controls. Describe cómo las organizaciones industriales pueden crear un sistema de control industrial o un programa de seguridad de tecnología operativa para mitigar muchos riesgos cibernéticos. Aunque se trata de higiene de seguridad básica, Carhart dijo que Dragos vería muchos menos casos si se implementaran en entornos de infraestructura. “Estas recomendaciones marcan una gran diferencia en la defensa, en profundidad y en la capacidad de detectar a un actor antes de que haga algo malicioso”. Las cinco recomendaciones contenidas en el documento técnico son: Respuesta a incidentes de ICS Se recomienda a las organizaciones que tengan un plan de respuesta a incidentes específico de ICS para tener en cuenta las complejidades y necesidades operativas de su entorno operativo. También deben realizar ejercicios para reforzar los escenarios de riesgo y los casos de uso adaptados a su entorno. Arquitectura defendible Se prefieren las arquitecturas defendibles para reducir el riesgo y, al mismo tiempo, facilitar los esfuerzos de los defensores humanos. Esto incluye arquitecturas que admitan elementos como visibilidad, recopilación de registros, identificación de activos, segmentación de sistemas y «DMZ industriales» o zonas de amortiguación. Monitoreo de la visibilidad de la red de ICS Lee y el coautor Tim Conway sugieren que el monitoreo continuo de la seguridad de la red del entorno de ICS debería ser una prioridad, si es posible utilizando conjuntos de herramientas conscientes del protocolo y capacidades de análisis de interacción del sistema de sistemas que puedan informar a las operaciones de los riesgos potenciales a controlar. Acceso remoto seguro Se recomienda que las organizaciones identifiquen e inventarian todos los puntos de acceso remoto y los entornos de destino permitidos. También deben implementar acceso a pedido y MFA si es posible, y entornos de host de salto para proporcionar puntos de control y monitoreo dentro de segmentos seguros. Gestión de vulnerabilidades basada en riesgos El sistema de control de ICS debe incluir una comprensión de los controles digitales cibernéticos implementados y las condiciones de funcionamiento del dispositivo. Esto puede ayudar a tomar decisiones de gestión de vulnerabilidades basadas en riesgos al aplicar parches para la vulnerabilidad, mitigar el impacto o monitorear una posible explotación.