Las prácticas de seguridad OT necesitan mejorar
El ciberataque a Colonial Pipeline pone de manifiesto la importancia de contar con planes de preparación y respuesta a incidentes en las infraestructuras críticas.
El ciberataque al oleoducto Colonial Pipeline, en Georgia (Estados Unidos), ha conformado uno de los incidentes más relevantes para la ciberseguridad en los últimos tiempos. Un ransomware lanzado por el grupo de ciberdelincuentes DarkSide ha paralizado durante tres días las operaciones de una infraestructura que da cobertura al sudeste del país provocando, incluso, oscilaciones de los precios del combustible durante estas jornadas. Una vez recuperada, aparentemente, la normalidad, y mientras las investigaciones por parte de las autoridades gubernamentales siguen su curso, este hecho ha generado un cambio de rumbo también en la manera de afrontar legislativamente la ciberseguridad. El presidente, Joe Biden, ha firmado una nueva orden de ciberseguridad centrada en el software para evitar intromisiones futuras como esta.
Asimismo, el ataque ofrece algunas lecciones sobre cómo las infraestructuras críticas deben prepararse y responder a amenazas de tal calibre. En primer lugar, aseguran los expertos, es probable que la falta de visibilidad del estado de seguridad de sus sistemas OT sea lo que provocó que la compañía tuviera que interrumpir sus operaciones. “El problema es no saber cómo de profundos y amplios pueden ser este tipo de impactos”, asegura el experto en ciberseguridad Marco Ayala. “Desde una perspectiva de infraestructura crítica, cerrar la actividad es una señal clara de la poca confianza en los sistemas de seguridad actuales de tecnología operativa, entornos y estrategia. Dada la amplitud de las incógnitas, el esfuerzo de descubrimiento, contención, descontaminación y remediación será prolongado y probablemente redunde en un regreso gradual a la normalidad”.
Por su parte, Marty Edwards, vicepresidente de seguridad de tecnología operativa en Tenable, cree que “a menudo, los propietarios y operadores de infraestructura crítica simplemente no tienen la suficiente visibilidad, especialmente en estos entornos de sistemas de control industrial y tecnología operativa. Tienen los sistemas instalados en la red de TI para poder acceder a todos los dispositivos portátiles en remoto, pero no suelen tener la misma tecnología para acceder al control industrial y determinar su estado”.
Una mejor segmentación podría evitar cierres
Para evitar un cierre similar, las organizaciones industriales deberían centrarse en una mejor segmentación de funciones y redes. “Tenemos que hacer una arquitectura adecuada”, dice Ayala. “Y saber cómo reaccionar. La falta de demarcación y segmentación de OT de TI es nuestra mayor amenaza. OT y TI están tan entrelazados ahora que si un atacante barre TI, OT se derrumbaría”.
La transparencia es fundamental
Otra pieza fundamental que las organizaciones deben considerar es la política de gobernanza que rodea a los eventos de ransomware, en particular la preparación para las secuelas de un ataque con la alineación de estrategias de comunicación efectivas. “Deben tener declaraciones verificadas previamente para este tipo de incidentes”, dice Edwards. Asimismo, las infraestructuras críticas también deberían desarrollar planes prudentes sobre cómo gestionar estos ataques: “Si las empresas tienen un plan de recuperación y desastres bien probado y mantenido con buenas copias de seguridad de todos estos tipos de sistemas, entonces pueden tener la certeza de que pueden aislar el incidente”.
