COMENTARIO
Cuando se trata de riesgos de ciberseguridad, el rincón más oscuro de la habitación es tecnología operativa (ANTIGUO TESTAMENTO). Es el espacio donde las computadoras y las funciones físicas se unen, abriendo y cerrando válvulas, operando disyuntores, estampando metal y cambiando la temperatura de su hogar desde una aplicación en su teléfono. También es un lugar que la mayoría de los profesionales de TI y de ciberseguridad evitan y ven como “esa cosa que está ahí y que realmente no entendemos”.
Falta de atención a los ataques tecnológicos operativos.
Los ciberataques que acaparan los titulares suelen tener consecuencias importantes para los consumidores. Históricamente, se han dirigido a sistemas financieros, hospitales, agencias de crédito y, en ocasiones, entidades gubernamentales. Sin embargo, es menos común que se reconozca públicamente un ciberataque contra infraestructura crítica real. Stuxnet fue uno de los primerospero el misterio del espionaje estaba tan oculto que no tuvo un impacto mental importante en la mayor parte de la población mundial. Ataque al oleoducto colonial de 2021 Los ataques a pequeñas empresas de agua en Pensilvania y Texas también han recibido poca atención pública.
¿Por qué la gente no se centra más en proteger las tecnologías operativas? Quizás sea falta de comprensión y miedo de cuánto control pueden tener las computadoras. Sin embargo, el espacio OT no es una tecnología nueva. Muchos componentes de un entorno OT pueden tener décadas de antigüedad. Aun así, es posible que los ingenieros de redes y administradores de TI experimentados no comprendan completamente los protocolos de comunicaciones OT, lo que hace que los ciberataques en este espacio sean más posibles y menos comentados.
Reimaginando la seguridad de la tecnología operativa
¿Cómo podemos gestionar el riesgo y proteger el lado oscuro de la TI que a menudo se pasa por alto, que incluye la infraestructura que mantiene las luces encendidas, el agua limpia, los medicamentos disponibles y los productos manufacturados en flujo, todo ello impulsado por la TI?
Proteger esta infraestructura no es muy complejo. Esto es lo que debe hacer:
Un sólido plan de gestión de riesgos
Visibilidad de lo que sucede en estos entornos.
La capacidad de comprender lo que es normal para saber cuándo algo no lo es.
Documentación de lo que se supone que debe comunicarse en entornos OT y cómo y dónde debe realizarse esa comunicación.
La capacidad de tener mecanismos de protección que funcionarán en el medio ambiente.
Un sólido programa de gestión de parches y vulnerabilidades
Acceso remoto seguro y monitoreado
Si es así de simple, ¿por qué es tan difícil proteger esta infraestructura a escala global? El principal problema es que las herramientas disponibles están diseñadas para sistemas de TI o para sistemas de OT, pero carecen de las integraciones necesarias para monitorear al personal de TI. Las herramientas SIEM, esenciales para monitorear las comunicaciones de red y la actividad maliciosa, deben interactuar con los servicios en la nube, algo que los entornos OT evitan. Por lo tanto, las herramientas de protección como CrowdStrike no se pueden utilizar por completo. Incluso en asociaciones con Claroty o Dragos, siguen implicando una conexión proxy a Internet.
Proponer soluciones, resaltar obstáculos.
Existen algunas estrategias que se pueden utilizar con éxito para gestionar el riesgo en estos entornos.
El primer paso es comprender qué información debe fluir y en qué direcciones, así como cuánta de esa información debe llegar al mundo exterior. Regularmente nos encontramos con escenarios en los que existe documentación técnica sobre el lado operativo del diseño, pero no hay información actualizada sobre qué datos fluyen, dónde y cómo se utilizan. El segundo paso es que la mayoría de las herramientas utilizadas para la visibilidad en este espacio requieren configuraciones de red específicas.
Estas herramientas se basan en el análisis del tráfico de red, ya que generalmente no es posible instalar antivirus tradicional o software de protección de terminales en dispositivos en el espacio OT. Esto significa que debe haber un mecanismo para encaminar el tráfico hacia los puntos de inspección. La mayoría de estas redes fueron diseñadas para brindar resiliencia y disponibilidad, no para la ciberseguridad. Por lo tanto, a menudo es necesaria una reconfiguración para poder encaminar el tráfico en una dirección que permita la inspección. Estos proyectos de resegmentación de redes consumen mucho tiempo, tienden a ser costosos y conllevan el riesgo de interrupciones operativas, que ningún entorno OT normalmente puede tolerar.
La primera de una larga serie de conclusiones.
No se puede subestimar la urgencia de proteger nuestra infraestructura crítica. Nuestros sistemas críticos pueden protegerse de amenazas inminentes adoptando un enfoque proactivo, invirtiendo en capacitación y fomentando la colaboración entre los profesionales de TI y tecnología operativa. El costo de la inacción es demasiado alto: nuestra agua, electricidad y seguridad dependen de nuestra capacidad para proteger estas tecnologías esenciales.
¿Nuestra agua es segura para beber? La respuesta está en nuestro compromiso de proteger los aspectos invisibles y a menudo ignorados de nuestro mundo tecnológico. Sólo mediante la vigilancia y el esfuerzo sostenido podremos garantizar la seguridad y confiabilidad de nuestra infraestructura crítica para el futuro.