10 iniciativas para abordar la seguridad de los sistemas críticos que están marcando 2023
Así están contribuyendo los proveedores, gobiernos, organismos de la industria y organizaciones sin fines de lucro a aumentar la resiliencia cibernética de las infraestructuras críticas.
La seguridad de las infraestructuras críticas ha ocupado un lugar destacado en la agenda de 2023 con ciberataques y otros riesgos que representan una amenaza persistente para las tecnologías y los sistemas en los que se basan los servicios esenciales como energía, alimentos, electricidad y atención médica. En respuesta, este año se han lanzado múltiples iniciativas, programas, guías y estándares para mejorar la ciberseguridad de estos sistemas y abordar los crecientes desafíos. Estos son los 10 ejemplos más notables hasta la fecha:
Reino Unido introduce la Ley de Infraestructura de Telecomunicaciones y Seguridad de Productos
En diciembre de 2022, la Ley de Infraestructura de Telecomunicaciones y Seguridad de Productos (PSTI, de sus siglas en inglés) fue aprobada estableciendo disposiciones sobre la seguridad de los productos que se pueden conectar a Internet y los que se conectan entre sí y a la infraestructura de comunicaciones electrónicas. Hay tres áreas clave en la que se requiere cumplimiento, como información clara sobre los períodos de soporte que indica exactamente cuánto tiempo los fabricantes continuarán brindando actualizaciones. Las contraseñas predeterminadas no están permitidas, lo que significa que los usuarios deberán reducirlas de productos únicas en el primer uso, que luego deberán cambiarse. Y, habrá que dar información sobre cualquier vulnerabilidad que se encuentra para que el fabricante informe a sus clientes y proporcione una solución.
La Directiva NIS2 de la UE establece nuevos estándares para entidades esenciales
En enero entró en Europa la Directiva de seguridad de la información y las redes (NIS2), que introdujo un nuevo componente de regulación que se extiende a la infraestructura crítica. Según NIS2, las organizaciones clasificadas como “esenciales”, como proveedores de energía, transporte y atención médica, estarán sujetas a los requisitos más estrictos y a la supervisión regulatoria más completa, incluidas inspecciones in situ y auditorías de seguridad específicas e independientes. NIS2 reemplaza a NIS, y con sus cambios, los reguladores reconocen el creciente riesgo de ataques cibernéticos en la infraestructura crítica y su red de terceros.
La UE y la OTAN lanzan un grupo de trabajo sobre resiliencia de infraestructuras críticas
En enero, la OTAN y la UE acordaron crear un grupo de trabajo sobre resiliencia y protección de infraestructuras críticas. A raíz del uso de la energía como arma del presidente ruso, Vladimir Putin, y el sabotaje de los oleoductos Nord Stream, la pareja dijo que el enfoque del grupo es hacer que la infraestructura crítica, la tecnología y las cadenas de suministro sean más resistentes a las potenciales amenazas y puedan tomar medidas para mitigar las vulnerabilidades.
El mes siguiente, altos funcionarios de la OTAN y la UE se reunieron para lanzar oficialmente el Grupo de Trabajo OTAN-UE sobre Resiliencia de Infraestructuras Críticas. La iniciativa reúne a funcionarios de ambas organizaciones para compartir las mejores prácticas y el conocimiento de la situación, junto con el desarrollo de principios para mejorar la resiliencia. El grupo de trabajo comenzó con un enfoque en cuatro sectores: energía, transporte, infraestructura digital y espacio.
En diciembre de 2022, la OTAN experimentó con la capacidad de la IA para proteger la infraestructura crítica y los resultados indicaron que puede ayudar significativamente a identificar patrones de ataques cibernéticos a la infraestructura crítica/actividad de la red y detectar malware para permitir una mejor toma de decisiones sobre respuestas defensivas.
El grupo de trabajo internacional combate las amenazas de ransomware a la seguridad nacional
En enero, 36 gobiernos y la UE lanzaron el Grupo de trabajo internacional contra el ransomware para combatir estos ataques que representan amenazas para la seguridad nacional, en particular los que afectan a las empresas del sector CNI. Dirigida por el gobierno australiano, la coalición tiene como objetivo permitir una colaboración internacional sostenida e impactante diseñada para interrumpir, combatir y defenderse contra las crecientes amenazas de ransomware a través de intercambios de información e inteligencia, compartiendo políticas de mejores prácticas y marcos de autoridad legal, y colaboración entre las fuerzas del orden y cibernéticos. autoridades.
El Grupo de trabajo internacional contra el ransomware tiene un gran potencial para tener un efecto inmediato en comparación con otras iniciativas de la industria, dice Craig Jones, vicepresidente de operaciones de seguridad del proveedor de detección y respuesta administrada Ontinue. “Esto se debe a su enfoque internacional en el ransomware, la amenaza global más formidable para las empresas y la infraestructura en su conjunto”.
SANS Institute publica los volúmenes 2 y 3 del manual de campo de ciberseguridad de ICS
El SANS Institute lanzó dos nuevos volúmenes de su Manual de campo de ciberseguridad de sistemas de control industrial (ICS), que proporciona a los profesionales de la ciberseguridad y a los administradores de riesgos de ICS nuevos conocimientos sobre la respuesta a incidentes, la gestión de vulnerabilidades, los conjuntos de habilidades de los defensores, la gestión de equipos y las herramientas/protocolos de seguridad para defender los sistemas. El volumen 2 se publicó en enero, mientras que el volumen 3 se publicó en mayo.
“La serie SANS ICS Cybersecurity Field Manual es una herramienta esencial para todos los profesionales de seguridad de ICS”, dice el experto en ICS, autor del manual de campo e instructor certificado de SANS, Dean Parsons. “Debería encontrar un hogar en el escritorio de cada operador de sistema de control, ciberdefensor de infraestructura crítica y administrador de riesgos ICS/OT, en todos los sectores de sistemas de control industrial a nivel mundial”.
CISA actualiza los objetivos de desempeño de seguridad cibernética intersectorial
En marzo, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA, por sus siglas en inglés) actualizó sus Objetivos de Desempeño de Ciberseguridad (CPG, por sus siglas en inglés) Intersectoriales para ayudar a establecer un conjunto común de prácticas fundamentales de ciberseguridad para la infraestructura crítica. Los CPG son un subconjunto priorizado de prácticas de ciberseguridad de TI y OT que los propietarios y operadores de infraestructura crítica pueden implementar para reducir significativamente la probabilidad y el impacto de los riesgos conocidos y las técnicas del adversario.
La versión 1.0.1 reordenó y volvió a numerar las CPG para alinearse más estrechamente con el marco de seguridad cibernética del NIST. La actualización incluyó una nueva guía relacionada con la autenticación multifactor (MFA) resistente al phishing y la planificación de recuperación de incidentes.
Empresas de ciberseguridad forman el Programa Elite Cyber ??Defenders
En abril, las firmas globales de ciberseguridad Accenture, IBM y Mandiant se unieron al Programa Elite Cyber ??Defenders , una nueva iniciativa de colaboración liderada por Nozomi Networks y diseñada para ayudar a proteger la infraestructura crítica. El programa tiene como objetivo proporcionar a los clientes industriales y gubernamentales globales acceso a sólidas herramientas de defensa de ciberseguridad, equipos de respuesta a incidentes e inteligencia de amenazas.
Cada participante en el programa ofrecerá programas de evaluación y respuesta a incidentes diseñados a medida para clientes conjuntos, además de comprometerse a trabajar con Nozomi Networks Labs en inteligencia de amenazas compartida e investigación de seguridad conjunta centrada en identificar malware novedoso y nuevos TTP empleados por actores de amenazas.
Los gigantes de OT colaboran en el sistema de advertencia de ataques y amenazas tempranas de ETHOS
En abril, un grupo de empresas de seguridad de OT que normalmente compiten entre sí anunciaron que dejarían de lado sus rivalidades para colaborar en un nuevo sistema de advertencia de amenazas de OT anónimo, de código abierto y neutral para proveedores llamado ETHOS (Emerging Threat Open Sharing ) .
Formado como una organización sin fines de lucro, ETHOS tiene como objetivo compartir datos sobre indicadores tempranos de amenazas y descubrir ataques nuevos y novedosos que amenazan a las organizaciones industriales que ejecutan servicios esenciales, incluida la producción de electricidad, agua, petróleo y gas, y los sistemas de fabricación. Ya obtuvo el respaldo de CISA de EE. UU., un impulso que podría dar a la iniciativa una mayor tracción. Todas las organizaciones, incluidos los propietarios de activos públicos y privados, pueden contribuir a ETHOS sin costo alguno, y los fundadores prevén que evolucione en la línea del software de código abierto Linux.
La comunidad de ETHOS y los miembros de la junta incluyen algunas de las principales empresas de seguridad de OT 1898, ABS Group, Claroty, Dragos, Forescout, NetRise, Network Perception, Nozomi Networks, Schneider Electric, Tenable y Waterfall Security.
“Este es un esfuerzo de la comunidad”, dice Marty Edwards, director adjunto de tecnología para OT e IoT en Tenable. “Esperamos poder conseguir un tercero neutral en cuanto a tecnología [para defender a ETHOS] y ya sea una entidad gubernamental, un centro de análisis e intercambio de información o, francamente, si tenemos que defender nuestra propia entidad bajo el organización sin ánimo de lucro".
El NCSC del Reino Unido anuncia un marco basado en principios
En abril, el NCSC del Reino Unido anunció que estaba estableciendo el marco basado en principios (PBA) para medir y certificar la resiliencia cibernética de productos y sistemas que, si se ven comprometidos, podrían causar un impacto significativo en la vida de las personas. Esto incluye a CNI, que enfrenta amenazas cibernéticas significativas y atacantes con recursos, habilidades y tiempo trabajando de manera específica.
La PBA tendrá un proceso de tres niveles. La primera capa fundamental es la filosofía de un enfoque basado en el riesgo en lugar de un enfoque basado en el cumplimiento. La segunda etapa es desarrollar un método coherente que se pueda seguir, junto con la documentación y las plantillas que se utilizarán. La etapa final es cómo los proveedores y compradores pueden implementar y acceder al método como un servicio en el mercado de una manera consistente y confiable.
El NCSC publicará el método PBA cuando esté disponible para que las personas puedan comenzar a usarlo. Se está trabajando en la capa de servicio para diseñar una forma de escalar la filosofía y el método de PBA a través de socios de la industria. Para el próximo año, el NCSC planea tener una red embrionaria de instalaciones de prueba de resiliencia cibernética aprobadas.
El Reino Unido lanza el manual de seguridad cibernética Secure Connected Places
En mayo, el gobierno del Reino Unido publicó la versión "alfa" de Secure Connected Places: Cybersecurity Playbook para ayudar a las autoridades locales a mejorar la seguridad de sus lugares conectados, incluida la infraestructura crítica y los servicios públicos, como los sistemas de energía inteligente que reducen la presión en la red. Fue diseñado en colaboración con seis autoridades locales y comprende varios recursos de seguridad cibernética que cubren temas que incluyen gobernanza, adquisiciones y gestión de la cadena de suministro, y cómo realizar un buen análisis de amenazas.
Los lugares conectados presentan una oportunidad para que las autoridades locales mejoren la calidad de vida de sus ciudadanos, dice el libro de jugadas. Sin embargo, sin la protección necesaria, la diversidad y la interconexión de las tecnologías necesarias para operar los lugares conectados también los hace vulnerables a los ataques cibernéticos. “Estos ataques pueden provocar daños a la reputación, la pérdida de datos confidenciales y el daño a la infraestructura física de la que dependen los residentes”.
