24 de octubre de 2016
¿Aún piensa que todas esas preocupaciones sobre las protecciones de ciberseguridad en la red eléctrica son exageradas?
Pregúntenles a las 225,000 personas en Ucrania que sufrieron un corte de electricidad el pasado diciembre a manos de un grupo de hackers ruso autodenominado "Sandworm". Durante el ataque, los expertos de Sandworm activaron interruptores a distancia, lo que provocó un corte de electricidad a los usuarios tras instalar malware, según el Departamento de Seguridad Nacional de Estados Unidos.
Para hacer las cosas más dañinas y disruptivas, los mismos piratas informáticos también pueden haber bombardeado el centro de atención al cliente de la empresa de servicios públicos ucraniana con una andanada de llamadas telefónicas diseñadas para... Impedir que clientes reales informen condiciones reales después de que los piratas informáticos violaran el sistema, según Reuters citando un informe emitido por SANS Inc.
Si bien en general se cree que el ataque a la empresa de servicios públicos ucraniana fue el primero de su tipo, no piense ni por un momento que los piratas informáticos de otras partes no se sintieron alentados, y posiblemente envalentonados, a intentar lo mismo en Estados Unidos o en otro lugar.
@NewAmCyber Compañero @RobertMLee Habla sobre el hackeo a Ucrania y las lecciones para la red eléctrica de EE.UU. @SaraSorcher & @peterwsinger https://t.co/rnIflpiMjI
— Código de acceso CSMPasscode (@CSMPasscode) 21 de junio de 2016
La FERC reconoce las amenazas
La amplitud y profundidad de las complejas redes de servicios públicos las hace especialmente vulnerables a las amenazas de ciberseguridad. Las autoridades estadounidenses son plenamente conscientes de ello.
Evidencia: En julio, la Comisión Federal Reguladora de Energía (FERC) ordenó a la Corporación de Confiabilidad Eléctrica de América del Norte (NERC) desarrollar un nuevo riesgo de la cadena de suministro Norma de gestión que aborda los riesgos de los sistemas de información y los activos relacionados del sistema eléctrico.
“El ciberataque de 2015 a la red eléctrica de Ucrania es un ejemplo de cómo los sistemas cibernéticos utilizados para operar y mantener redes interconectadas de manera más eficiente pueden tener el efecto no deseado de crear vulnerabilidades cibernéticas”, dijo la agencia en su aviso de julio.
El nuevo o Norma de confiabilidad modificada Está diseñado para abordar la integridad y autenticidad del software, el acceso remoto de proveedores, la planificación de sistemas de información, la gestión de riesgos de proveedores y los controles de compras. En cada caso, la capacidad de mantener un control estricto del control documental es absolutamente vital. Hay buenas y malas noticias. La buena noticia es que la FERC no impone un requisito único para todos. La mala noticia es que esta medida impone aún más responsabilidad a quienes están a cargo de la seguridad de la red eléctrica para que cumplan con su tarea. El fracaso no es una opción.
“No piensen ni por un momento que los hackers de otros lugares no se sintieron alentados, y posiblemente envalentonados, a intentar lo mismo en Estados Unidos”.
Se exige control de documentos
La FERC encargó a la NERC el desarrollo de un Estándar de Confiabilidad de Protección de Infraestructura Crítica (CIP) con visión de futuro y basado en objetivos que requiere que cada entidad afectada “desarrolle e implemente un plan que incluya controles de seguridad para la gestión de la cadena de suministro de hardware, software y servicios de sistemas de control industrial asociados con operaciones de sistemas eléctricos masivos”.
La FERC también fue un paso más allá. Emitió una Notificación de Consulta (NOI) para modificar las normas COP en relación con la protección de los centros de control que se utilizan para supervisar y controlar los sistemas eléctricos masivos en tiempo real. La FERC solicita comentarios sobre las posibles modificaciones y su posible impacto en el funcionamiento del sistema Bulk-Power, para abordar la separación entre internet y los sistemas de control cibernético en los centros de control que desempeñan funciones de operador de transmisión.
La agencia también quiere escuchar a la industria sobre las prácticas de administración de computadoras que impiden la ejecución de programas no autorizados, también llamadas “listas blancas de aplicaciones”, para aquellos sistemas cibernéticos en centros de control clave.
El DHS difunde la palabra: la seguridad importa
Volviendo a la situación real en Ucrania, es importante recordar que el Departamento de Seguridad Nacional (DHS) inicialmente minimizó la importancia de la brecha de seguridad. Unos meses después, cambió de postura y lanzó una campaña nacional a finales de marzo que incluyó una docena de sesiones informativas presenciales y seminarios web en línea diseñados para ayudar a quienes trabajan en la infraestructura eléctrica a comprender las amenazas más recientes.
“Estos eventos representan uno de los primeros impactos físicos conocidos en la infraestructura crítica como resultado de un ciberataque”, reconoció un anuncio del Equipo de Respuesta a Emergencias Cibernéticas de Sistemas de Control Industrial del DHS cuando se anunciaron las sesiones.
Continuó: “Los ataques aprovecharon herramientas y tácticas comúnmente disponibles contra los sistemas de control que podrían usarse contra la infraestructura en todos los sectores”.
En otras palabras, los principales funcionarios de ciberseguridad del país se dan cuenta de que podrían haber subestimado esta amenaza a la red eléctrica. Si han cambiado de opinión, probablemente significa que quienes protegen la infraestructura energética estadounidense deberían considerar hacer lo mismo con la esperanza de estar preparados para prevenir o, al menos, mitigar el próximo intento de ataque terrorista.
La historia nos dice que la amenaza es real. También nos dice que hay mucho en juego.
