En mayo de 2021, un ciberataque obligó a cerrar uno de los mayores oleoductos de Estados Unidos, en un intento por afectar una infraestructura energética vital. El operador Colonial Pipeline informó una brecha de seguridad en OT donde se cerraron 8,850 kilómetros del oleoducto a través del cual se transporta el 45% de los combustibles de Texas a Nueva York.
La empresa reveló que había sido víctima de un ataque de ransomware que exigía el pago de un millonario rescate. Las alarmas se activaron en el país pues pondría bajo amenaza la seguridad nacional de aquel país.
El ámbito de los ataques no se limita únicamente a la ciberseguridad de la tecnología de la información (IT); se extienden también al ámbito de la tecnología operativa (OT), donde se pone en riesgo la infraestructura estratégica y crítica de industrias clave como las de petróleo y gas, electricidad, hidráulica, manufactura y transporte, entre otras.
Si bien IT y OT están en constante sinergia, existen diferencias esenciales entre ambas. En la primera, el principal objetivo es proteger los sistemas de vulnerabilidades y ciberataques, con mucha de la protección dirigida a los endpoints y usuarios. Si bien es crítica, las actividades de seguridad no alteran los procesos de negocio, pues es posible interrumpir un sistema eventualmente para hacer comprobaciones de seguridad o actualizaciones.
Por su parte, la seguridad en OT permite a las empresas gestionar los procesos industriales mediante el monitoreo y control de dispositivos y equipos, los cuales están a cargo de controlar las operaciones y la continuidad de la producción o funcionamiento de actividades críticas.
En la seguridad en OT, la disponibilidad de la tecnología debe ser constante, 24×7, para soportar las operaciones de una empresa o los servicios provistos a clientes o ciudadanos. Esto implica un gran reto en el momento de hacer auditorías de ciberseguridad (comprobaciones y actualizaciones).
Los sistemas OT y de control industrial necesitan dar prioridad a la disponibilidad de su tecnología, puesto que se trata de un sector más pragmático y que depende en gran medida de la funcionalidad de sus equipos.
Una estrategia de seguridad integral
Si bien se reconoce la criticidad de OT, existe una serie de problemáticas que impiden ofrecer una ciberseguridad integral. En principio, dentro de los entornos OT se realizan actualizaciones con menor frecuencia (cada diez o más años), lo que eleva considerablemente el riesgo. De igual forma, dicho peligro se potencia en el momento en que una línea de producción en serie, por ejemplo, se conecta con el mundo de TI abriendo una puerta a ataques de ransomware o malware.
Los profesionales de la seguridad tienen que lidiar constantemente con las escasas soluciones específicas para los distintos entornos, como manufactura o energía, y de metodologías estándares, esto como consecuencia de trabajar con distintos proveedores de OT. A esto se suman factores como la falta de políticas y procesos para las redes industriales, la poca sinergia de las infraestructuras críticas y el mundo corporativo, sistemas obsoletos o versiones propietarias y la poca capacidad de supervisión y monitoreo de estos entornos.
En muchos casos no se sabe con certeza qué necesita protegerse; no existe la visibilidad suficiente de los activos que se van a resguardar a fin de establecer una estrategia de ciberseguridad integral.
En este contexto, un modelo de seguridad en OT para dotar a las organizaciones de capacidades para responder proactivamente a los incidentes y potenciales amenazas está tomando forma en el mundo de la tecnología operativa.
Específicamente, se trata de definir una estrategia de ciberseguridad para OT que se adapta a las necesidades específicas de esta práctica, y sigue muy de cerca su implementación y operación.
- El punto de partida consiste en realizar un diagnóstico ejecutivo a través del cual se haga un análisis minucioso de las amenazas y vulnerabilidades por ámbito crítico en la cadena de valor, así como de las buenas prácticas.
- A esto le sigue el desarrollo de un plan de ciberseguridad en el que se hace un diagnóstico altamente especializado sobre el estado que guardan los sistemas críticos, las vulnerabilidades y riesgos a los que están expuestos. Se trata de tener una visión completa de la arquitectura tecnológica objetivo para de ahí estructurar un plan de iniciativas que cubran las cinco fases del ciclo de protección: identificar, proteger, detectar, responder y recuperar.
Para poder fundamentar una iniciativa de esta naturaleza, es importante desarrollar cuidadosamente un caso de negocio de alto nivel que dé cuenta del costo-beneficio que tendrá la organización. El plan de ciberseguridad requiere tener un plan de implementación con fechas de cumplimiento puntuales y una organización impecable.
- Por último, la etapa de implementación contempla el despliegue de soluciones específicas por industria, ya sea de defensa, energía o manufactura, por ejemplo. Aquí es cuando se implementan tecnologías de terceros, las cuales necesitan controlarse y gobernarse para realizar los ciclos de actualización puntualmente.
La ciberseguridad en entornos operativos necesita basarse en la idea de que la producción no puede detenerse en ningún momento. Es como cambiar las ruedas de un auto en movimiento. La digitalización hoy está generando que cada vez surjan nuevas y mejores normas que sirven como base para desplegar un modelo de protección de OT efectivo.
Por: Erik Moreno, director de Ciberseguridad de Minsait de México.