Cuando mencionamos la palabra «ciberseguridad«, es probable que pienses automáticamente en los sistemas de TI. Esto se debe a que la protección de las redes de TI, y de tus datos personales, financieros y de propiedad asociados, ha sido responsabilidad de los profesionales de TI durante un período excepcionalmente largo. Pero ¿Qué sucede con la infraestructura de tecnologías operacionales (TO)? ¿Están también en riesgo de ataques cibernéticos? ¿Qué puedes hacer para evitarlos? En esta publicación, analizaremos estas preguntas y compartiremos tres recomendaciones específicas para proteger tus sistemas eléctricos de las ciberamenazas.
Ciberataques a la operación: una amenaza cada vez mayor
El Ponemon Institute afirma enfáticamente que «los ataques cibernéticos son incesantes y continuos contra los entornos de TO». En una encuesta realizada a más de 700 organizaciones de seis países, se encontró que el 50% había sufrido un ataque cibernético contra su infraestructura de TO durante los últimos dos años. Esto generalmente resulta en tiempos de inactividad no planeados. Para operaciones grandes y críticas, esto puede ser devastador.
Todo lo que necesitas hacer es seguir las noticias para ver ejemplos frecuentes de dichos ataques. Por ejemplo, a principios de 2021, la rápida acción de un técnico apenas logró evitar que miles de personas fueran envenenadas debido a que un hacker accedió a una planta de tratamiento de agua de la ciudad de Florida. Retrocediendo algunos años, una brecha que se produjo a través del sistema HVAC provocó que el minorista internacional Target se comprometiera con 40 millones de cuentas de tarjetas de crédito y débito, lo que le costó $290 millones de dólares.
Este último ejemplo es sólo uno de muchos que muestran por qué los sistemas de edificios ahora son reconocidos ampliamente como objetivos de ataques de TO. La evolución hacia edificios más inteligentes está causando una explosión en la cantidad de dispositivos conectados. Se estima que ya son más de 200 millones en edificios comerciales solamente. A mayor número de dispositivos, existen más datos que necesitan protección. Para que los equipos de administración de instalaciones y negocios puedan extraer el máximo valor, los datos se deben agregar y compartir en los sistemas de TI y TO.
Esta interconexión TI/TO significa que un ataque cibernético a un sistema TO puede:
- Comprometer la seguridad operacional o la salud de los ocupantes del edificio
- Impactar en la productividad al interrumpir las líneas de producción u otros equipos y procesos
- En última instancia, causar una amenaza de TI al pasar malware o un virus de las TO a la infraestructura de TI
La posibilidad de ataque es ahora mayor
Esencialmente, las infraestructuras de TO conectadas han aumentado las posibilidades de ataque para los hackers y, en muchos casos, han actuado como el talón de Aquiles de algunas organizaciones. Claramente, ya no basta con concentrarse sólo en proteger la integridad de los sistemas de datos y de TI. Todas las organizaciones deben asegurar que la ciberseguridad de las TO esté implementada.
Pero, ¿de qué sistemas de TO hablamos? Dependiendo del tipo de operación, se pueden incluir sistemas de automatización industrial (por ejemplo, SCADA) y sistemas de edificios inteligentes como:
- Sistema de gestión de edificios (BMS)
- Seguridad de edificios
- Sistemas de iluminación
- Sistemas de gestión de energía (EPMS) para supervisar la distribución eléctrica de una instalación.
Navigant Research señala: «Se espera que los problemas de ciberseguridad crezcan en conjunto con la transformación digital de los bienes raíces a través de tecnologías de edificios inteligentes».
En esta publicación hablamos específicamente de la ciberseguridad para sistemas de distribución eléctrica y sistemas de administración de energía eléctrica. Sin embargo, estas recomendaciones y prácticas también aplican a otros sistemas de TO.
La energía conectada representa una mayor vulnerabilidad
Los sistemas de gestión energética están ayudando a las organizaciones a aumentar la eficiencia y la sostenibilidad, optimizar los costos operativos, maximizar el tiempo de funcionamiento y obtener un mejor desempeño y longevidad a partir de los activos eléctricos. Cuando se combina con BMS, un sistema de administración de edificios puede ayudar a que el entorno de trabajo sea más saludable y productivo para los ocupantes.
La habilitación de estos beneficios de EPMS es una red conectada de dispositivos inteligentes de medición, análisis, control y protección que comparten datos continuamente con aplicaciones EPMS en el sitio y/o basadas en la nube. La aplicación proporciona un monitoreo y análisis extensos mientras proporciona acceso móvil a los datos y alertas a todos los accionistas de las instalaciones. La conexión a la nube también abre la puerta a la energía experta y el soporte de asesoría de activos que puede aumentar el equipo en las instalaciones con monitoreo las 24 horas del día, los 7 días de la semana, mantenimiento predictivo, administración de energía y otros servicios.
Todas estas conexiones en el sitio, en la nube y móviles ofrecen un posible objetivo y entrada para los hackers.
Protege de las ciberamenazas al sistema eléctrico: un enfoque holístico
Un hacker sólo necesita encontrar un «agujero» en un sistema, en un momento determinado, para infiltrarse con éxito. Lo que se necesita para hacer frente a este tipo de amenazas es un enfoque holístico para asegurar que todas las vulnerabilidades potenciales estén seguras. Para los edificios nuevos, las mejores prácticas de ciberseguridad deben formar parte del diseño de todos los sistemas TO. En el caso de los edificios existentes, la ciberseguridad debe ser abordada cuando los sistemas TO están comenzando a ser digitalizados. En ambos casos, las siguientes tres consideraciones son clave:
1. Buscar asistencia especializada
Las prioridades de los sistemas de TI son la confidencialidad, integridad y disponibilidad. Para TO, las principales prioridades son la seguridad, resiliencia y confidencialidad. Esto significa que los problemas o actualizaciones de seguridad de TO se deben enfrentar de manera diferente a las TI, con una planificación y procedimientos cuidadosos. Por estas razones, se debe elegir a un socio de ciberseguridad que tenga la experiencia de TO adecuada para ayudarle a cumplir con todos los estándares y mejores prácticas de ciberseguridad.
Los sistemas TO también utilizan diferentes protocolos de comunicación en comparación con los sistemas de TI, como BACNet, Modbus, etc. Si el equipo de TI intentara realizar análisis del sistema de seguridad de TO, esas herramientas de exploración podrían causar serios conflictos y se corre el riesgo de apagar el sistema de TO.
Las amenazas cibernéticas también están en constante evolución, por lo que se debe buscar un socio de negocios que ofrezca servicios de monitoreo de TO, actualizaciones, mantenimiento del sistema y respuesta ante incidentes. Todas estas opciones deben estar disponibles de forma remota.
2. Coloque los controles adecuados el el lugar adecuado
Un especialista en ciberseguridad de TO le ayudará a auditar su Sistema de Gestión Energética (EPMS) y sistemas eléctricos para evaluar las vulnerabilidades y riesgos actuales, incluyendo las brechas en cualquier procedimiento y protocolo.
Usted y el especialista deben determinar qué tan seguro debe estar su sistema eléctrico. El estándar IEC 62443 ayuda a proteger los sistemas TO habilitados para IoT al definir siete requerimientos fundamentales (por ejemplo, control de acceso, control de uso, disponibilidad, respuesta, etc.). Los mayores niveles de seguridad ofrecen mayor protección contra ataques más sofisticados. Su socio de ciberseguridad lo ayudará a determinar el nivel de seguridad que necesita para cada requerimiento.
Un ejemplo de una técnica para asegurar los sistemas en red es dividir los sistemas en ‘zonas’, asegurando cada uno de ellas individualmente. TO se separará de TI y dentro de TO pueden haber más divisiones. Por lo general se incluye una zona especial «desmilitarizada». Esta es una subred perimetral situada entre las redes públicas y privadas para lograr un nivel adicional de seguridad. Esto dificulta que los hackers encuentren la manera de entrar al sistema o de una zona a otra. Cuando es necesario, las conexiones entre redes se suministran mediante «conductos» de datos protegidos.
El sistema eléctrico también debe estar físicamente protegido, sin acceso a personal no autorizado. Esta misma estrategia se aplica a la seguridad de la red de comunicaciones del sistema de gestión energética (EPMS) por medio de un acceso controlado y en múltiples niveles basado en permisos.
3. Capacitar al personal
Muchos ciberataques suceden a causa de empleados que permiten que sucedan accidentalmente. Es importante que el personal se familiarice con las ciberamenazas y se mantengan alerta ante ellas. Esto incluye brindar a su equipo de operaciones capacitación especializada en ciberseguridad.
Por lo general, esta capacitación incluirá varios pasos, incluida la capacitación de todos los individuos para detectar indicaciones de ingeniería social, como intentos de suplantación de identidad (phishing) o intentos de acceder a áreas protegidas usando pretextos. Esto también incluirá el establecimiento de protocolos en torno al uso de contraseñas, la autorización con varios factores, las políticas en torno al acceso WiFi (por ejemplo, la red de invitados que permanece aislada de las redes TO), la auditoría regular de cuentas de usuario y permisos, etc.
Schneider Electric puede ayudarte a lidiar con las ciberamenazas al sistema eléctrico
Schneider Electric cuenta con muchas décadas de experiencia en dominios de TO, así como con una amplia experiencia en ciberseguridad específica para infraestructuras de TO. Nuestra plataforma EcoStruxure™ Power está asegurada en todos los niveles, desde dispositivos conectados a la nube, soportada por nuestra completa gama de soluciones y servicios de ciberseguridad. Obtén más información sobre nuestras soluciones de administración de energía y lee nuestra serie de blogs sobre ciberseguridad. Para obtener información adicional sobre este tema, consulta también los siguientes White Papers:
- Aseguramiento de la Tecnología Operativa: Cómo Afrontar los Riesgos Digitales en las Infraestructuras Críticas del Negocio
- Protección de las redes de tecnología operacional
- Mejores Prácticas Recomendadas de Ciberseguridad
Este artículo fue publicado originalmente en inglés en el blog global de Schneider Electric por Jay Abdallah y Khaled Fakhuri.
Añadir comentario