Este artículo fue publicado originalmente en inglés en el blog global de Schneider Electric.
Cuando las redes y suministros son objeto de ciberataques, los sistemas esenciales se ven afectados. Si bien el potencial de daño es alarmante, también existen amenazas internas que constituyen un vector de ataque difícil de monitorear y controlar. Las fuentes de amenazas internas pueden incluir empleados actuales y anteriores, socios, proveedores o cualquier otra persona con acceso a información confidencial de la organización. Aunque no todos estos ataques internos son intencionales, cualquier ataque de este tipo en un sistema OT puede resultar en la pérdida de datos.
El número de infracciones relacionadas con información privilegiada aumenta cada año. El informe de Verizon 2019 Data Breach Investigations establece que el 34% de todas las infracciones en 2018 fueron causadas por información privilegiada. A medida que aumentan los incidentes, también lo hacen los costos. Un estudio del Instituto Ponemon de 2018 muestra que el costo promedio de un incidente relacionado con información privilegiada es de alrededor de $ 513,000.
La motivación para tales ataques incluye ganancias financieras, ideología política, un deseo de reconocimiento o atención pública. Desafortunadamente, muchas organizaciones de infraestructura todavía tienen que implementar controles de seguridad proactivos para monitorear áreas que gobiernan el acceso no autorizado.
¿Cómo pueden verse afectados los sistemas de infraestructura clave?
Considera cómo estas amenazas pueden manifestarse en los sistemas de control industrial. Una persona con experiencia en ingeniería y conocimiento interno de los sistemas podría provocar apagones o destruir equipos. Los funcionarios advierten que los ataques, de hecho, vienen de puestos de información privilegiada.
Ese mismo informe de la Oficina de Inteligencia y Análisis de Seguridad Nacional de EE.UU señala que los sistemas de agua y las infraestructuras de gas natural también están en riesgo. En 2011, se alega que un empleado solitario de una planta de tratamiento de agua cerró los sistemas operativos.
Afortunadamente, las funciones de seguridad automatizadas impidieron la acumulación de metano y alertaron a las autoridades que detuvieron al empleado sin incidentes. Otro empleado, recientemente despedido de una compañía estadounidense de gas natural, presuntamente irrumpió en una estación de monitoreo de su antiguo empleador y cerró una válvula, interrumpiendo el servicio de gas a casi 3.000 clientes.
Tres precauciones para reducir el riesgo.
La protección contra amenazas internas requiere que una organización primero adapte un paradigma de disuasión en lugar de detección. La detección, que es una herramienta común en la lucha contra ciberataques , puede ocurrir mucho después de que la amenaza se haya ejecutado, lo que resulta en pérdidas de interrupción del negocio. La disuasión se fortalece cuando se ejecutan las siguientes cuatro estrategias:
- Busca tecnologías de protección adecuadas ante ciberataques– Se han creado tecnologías para controlar los derechos de acceso, privilegios y políticas, pero estas tecnologías son tan buenas como las personas que las configuran, implementan y supervisan. Los controles que evitan que las personas accedan a las tecnologías deben aplicarse en los sistemas críticos. Si se hacen excepciones, estas tecnologías de control ya no funcionarán de manera confiable.
- Crea líneas de base para identificar personas / situaciones de alto riesgo – Es importante que las organizaciones creen una línea de base para comprender las personalidades y evaluar el comportamiento anormal de aquellos que podrían representar una amenaza para la organización. Esto proporcionará a los oficiales de seguridad la capacidad de discernir cambios en el comportamiento que podrían aumentar el potencial de una amenaza interna.
- Controle y supervise las acciones de los proveedores y contratistas – La presencia de proveedores y contratistas externos en el sitio también puede representar una amenaza potencial de información privilegiada. Por lo tanto, las organizaciones deberían imponer controles estrictos en torno al acceso in situ a la información y a áreas sensibles dentro de la empresa.
- Implementa una herramienta de descubrimiento de activos y visualización de red – Identifica todos los dispositivos de comunicación con una herramienta de inventario de activos capaz de proporcionar información crítica. Existen soluciones que pueden presentar información de riesgos, incluyendo alertas de seguridad y confiabilidad, parches faltantes y vulnerabilidades.
Una mejor práctica para contrarrestar estas amenazas internas es llevar a cabo un programa de capacitación obligatorio para todos los empleados. La capacitación adecuada ayudará a los empleados a reconocer y señalar posibles comportamientos desencadenantes (introversión, intolerancia a la crítica, falta de empatía, lealtad reducida, codicia excesiva, por nombrar algunos) que pueden demostrar las personas de alto riesgo.
Para obtener más información sobre cómo los expertos en seguridad de Schneider Electric pueden ayudarte a reducir el riesgo de posibles ataques cibernéticos internos, haz clic aquí.
Añadir comentario