INICIO DEL BLOG

  • Primer plano del gasoducto con el anochecer de fondo para energía y servicios públicos

Febrero 14, 2024

En mayo de 2021, un ataque de ransomware provocó el cierre del oleoducto Colonial, que transporta casi la mitad del combustible utilizado en la Costa Este. Durante días, multitudes ansiosas llenaron las gasolineras formando largas filas y los vuelos se vieron interrumpidos. Las compras de pánico provocaron escasez y un aumento repentino de los precios de la gasolina.

La causa principal del ataque: los sistemas informáticos de Colonial Pipeline fueron secuestrados con una contraseña comprometida expuesta en una violación de datos separada y probablemente reutilizada.

Como resultado del ataque colonial, la Administración de Seguridad del Transporte (TSA) estableció dos Directivas de Seguridad de Oleoductos obligatorias. La primera fue Directiva de Seguridad Pipeline-2021-01: Mejora de la Seguridad de Oleoductos, que identificó acciones críticas inmediatas para propietarios y operadores de oleoductos. Esta directiva exige a las entidades realizar una evaluación de vulnerabilidades basada en las Directrices de Seguridad de Oleoductos, creadas como uno de los objetivos iniciales de la TSA tras el 9-S.

La segunda es Directiva de Seguridad Pipeline 2021-02Acciones de mitigación de ciberseguridad en tuberías, planificación de contingencias y pruebas. Esta directiva incluye una serie de requisitos enfocados en la prevención de ciberataques y la mejora de la resiliencia de la infraestructura crítica del país en general.

A continuación, analizamos los requisitos, incluidos tres planes separados requeridos por la segunda directiva y cómo el software de gestión de cumplimiento automatizado puede ayudar a reducir los riesgos de ciberseguridad.

Descargue un folleto gratuito sobre cómo funciona Gestión de parches de AssurX La solución ayuda a las empresas de energía y servicios públicos a mejorar la seguridad de los sistemas TI/OT.

Un enfoque basado en resultados para la seguridad de las tuberías

La segunda Directiva de Seguridad de Oleoductos de la TSA utiliza un enfoque basado en el rendimiento para proteger la seguridad de los oleoductos, de modo que la industria pueda adaptarse a las amenazas cambiantes y utilizar las tecnologías emergentes. Para ello, las medidas adoptadas para proteger esta infraestructura crítica deben lograr los siguientes resultados:

  1. Crear políticas y controles de segmentación de red para que los sistemas de tecnología operativa (OT) no se vean afectados si se viola un sistema de tecnología de la información (TI), y viceversa.
  2. Establecer controles de acceso para evitar el acceso no autorizado a sistemas cibernéticos críticos
  3. Desarrollar procesos continuos de monitoreo y detección de amenazas para identificar riesgos y corregir anomalías que podrían afectar sistemas cibernéticos críticos.
  4. Mitigue el riesgo de explotación con parches de seguridad y actualizaciones oportunas para sistemas operativos, aplicaciones, controladores y firmware, utilizando un enfoque basado en riesgos. manejo de parches estrategia

Requisitos para propietarios y operadores de tuberías

La directiva original exige a los propietarios y operadores de oleoductos que:

  • Reportar incidentes de ciberseguridad a la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) con prontitud
  • Establecer un coordinador de ciberseguridad que esté disponible para TSA y CISA las 24 horas del día, los 7 días de la semana.
  • Realizar una evaluación de vulnerabilidad de ciberseguridad anualmente

Además, para lograr los resultados mencionados, la segunda directiva exige que los propietarios y operadores de oleoductos desarrollen y ejecuten tres planes específicos:

  • Plan de implementación de ciberseguridad aprobado por la TSA
  • Plan de respuesta a incidentes de ciberseguridad
  • Programa de evaluación de ciberseguridad

A continuación, analizamos cada uno de los planes anteriores con más detalle, incluido lo que deberían cubrir y cómo un sistema automatizado sistema de gestión de cumplimiento va a ayudar.

Plan de implementación de ciberseguridad aprobado por la TSA

Los propietarios y operadores de oleoductos deben implementar un Plan de Implementación de Ciberseguridad aprobado por la TSA que describa las medidas de ciberseguridad específicas utilizadas y el cronograma para lograr los resultados de desempeño anteriores.

Este plan debe identificar todos los sistemas cibernéticos críticos, definidos como cualquier sistema de TI o TO o datos que podrían causar interrupciones operativas en caso de una vulneración. También debe mostrar cómo se cumplirá cada uno de los cuatro objetivos descritos anteriormente, aunque no especifica cómo.

La directiva permite un enfoque flexible, y el plan debe establecer los procesos y controles de seguridad cuyo cumplimiento inspeccionará la TSA. Una vez aprobado el plan, se espera que la organización mantenga dichos procesos y controles, incluyendo cualquier cronograma definido en el plan.

Plan de respuesta a incidentes de ciberseguridad

La directiva de la TSA requiere que los propietarios y operadores de oleoductos creen y mantengan un Plan de Respuesta a Incidentes de Ciberseguridad actualizado para evitar interrupciones operativas en caso de un incidente que afecte a los sistemas de TI u OT.

El plan de respuesta a incidentes de ciberseguridad debe documentar las medidas específicas que tomará para garantizar:

  • Contención inmediata de cualquier servidor o dispositivo infectado
  • Segregación de la red o dispositivo infectado para evitar la propagación de código malicioso
  • Seguridad e integridad de los datos de respaldo, incluido cómo protegerá y separará los datos de respaldo
  • Tiene la capacidad de aislar los sistemas de TI y OT en caso de que ocurra un incidente de ciberseguridad
  • Prueba anual de al menos dos de los objetivos del plan

Plan de evaluación de ciberseguridad

Los propietarios y operadores de ductos deben crear un Plan de Evaluación de Ciberseguridad que muestre cómo la organización evaluará la eficacia de sus medidas de ciberseguridad. También debe indicar cómo planea identificar y corregir vulnerabilidades en dispositivos, redes y sistemas.

Este plan debe:

  • Evaluar la efectividad del Plan de Implementación de Ciberseguridad
  • Incorporar una revisión bianual del diseño de la arquitectura de ciberseguridad
  • Incluya evaluaciones como pruebas de penetración y pruebas de perspectiva adversaria.
  • Establecer un cronograma para auditar la efectividad de las medidas anteriores, cubriendo el 30% de las políticas y procesos cada año hasta cubrir el 100% durante un período de tres años.

Además, las organizaciones deben presentar una actualización anual de este plan para su aprobación que incluya los resultados del Plan de Evaluación de Ciberseguridad del año anterior.

Cumplimiento de los requisitos y resultados de la TSA con el software de gestión de cumplimiento automatizado

Para cumplir con los requisitos de las Directivas de seguridad de tuberías de la TSA es necesario recopilar, supervisar y actuar sobre una amplia gama de datos relacionados con los sistemas OT y TI.

Un sistema automatizado de gestión de cumplimiento agiliza este proceso, mejorando la ciberseguridad al permitir a las entidades:

  • Crear y mantener cronogramas para la evaluación de parches de seguridad y evaluaciones de ciberseguridad, escalando tareas automáticamente cuando se acercan las fechas límite.
  • Recopilar evidencia relacionada con la gestión de parches y la evaluación de la ciberseguridad, como la fecha de evaluación, los planes de mitigación, las aprobaciones y las firmas digitales.
  • Realizar un seguimiento de la finalización oportuna de los requisitos de capacitación en seguridad
  • Validar el cumplimiento de los controles técnicos con las políticas y planes de la organización
  • Generar informes sobre sistemas cibernéticos críticos y todos los activos cubiertos por las directivas de tuberías

Además, Las empresas pueden documentar y rastrear más fácilmente la evidencia de respaldo. Para planes de ciberseguridad como inventarios de activos, documentos de políticas y archivos de registro. En caso de una inspección, la posibilidad de acceder fácilmente a esta información desde una única ubicación supone una clara ventaja frente a los procesos de seguimiento manual.

Conclusión

En 2021, el ataque de ransomware al Oleoducto Colonial solo terminó cuando los funcionarios del oleoducto pagaron 75 bitcoins, que entonces valían 4.4 millones de dólares, a los ciberatacantes. Las directrices y directrices de seguridad para oleoductos de la TSA buscan prevenir eventos similares en el futuro mediante la exigencia de una serie de planes, políticas y controles. Un sistema de cumplimiento automatizado es vital para mantener el cumplimiento de los requisitos, de modo que las organizaciones puedan garantizar que sus planes funcionen y estén bien documentados.

Descargue una guía gratuita de mejores prácticas para Selección e implementación de software automatizado de gestión de cumplimiento de NERC

Sobre el Autor

Katherine Wagner Es vicepresidenta de Soluciones Industriales, Energía y Servicios Públicos en AssurX. Kathryn aporta más de 25 años de experiencia en integración y cumplimiento de sistemas de fabricación, siendo responsable del desarrollo y la evolución de la oferta de productos para Cumplimiento de NERC y sistemas relacionados que se centran en la confiabilidad y la resiliencia.