El reciente hackeo cibernético de las operaciones de la planta de tratamiento de agua en Oldsmar (Florida) es un nuevo y duro recordatorio del creciente peligro de las amenazas ciberfísicas. La transición hacia la seguridad convergente de los sistemas de TI, tecnología operativa (OT) y seguridad física nunca ha sido tan urgente.
El incidente
El ataque a la planta de tratamiento de agua parece haber sido un intento de toma de control del sistema informático al que un hacker accedió y trató de alterar los niveles de hidróxido de sodio (que tratan el agua) de 100 partes por millón a 11 100 partes por millón. El cambio específico en el suministro de productos químicos se percibió antes de que se llevara a cabo, evitando así una posible catástrofe en el suministro de agua a los 14 000 residentes de la zona. Si el proceso se hubiera completado, el aumento en los niveles de hidróxido de sodio, también conocido como lejía, podría haber elevado la calidad del agua de la ciudad a niveles potencialmente letales.
Según un media of communicationEl hacker pudo llevar a cabo el ataque accediendo a un programa de software de acceso remoto llamado TeamViewer que estaba instalado en un ordenador de la instalación. TeamViewer permite a los trabajadores compartir pantallas para solucionar problemas de TI y, afortunadamente, un empleado que vigilaba el ordenador se dio cuenta y contrarrestó el movimiento del ratón y las pulsaciones del teclado del hacker antes de que se llevara a cabo el ataque.
Bloomberg Law lo denominó una "llamada de atención, tras 20 años de preparación", y los expertos mencionaron la necesidad de una mayor protección a nivel municipal y una mayor concienciación sobre los incidentes cibernéticos en infraestructuras críticas y sistemas de control.
Las empresas siguen trabajando en silos, pero los atacantes no
Según el estado de la convergencia de la seguridad en los Estados Unidos, Europa e India, un informe de convergencia de la ASIS Foundation publicado en 2019, las organizaciones suelen tardar en adaptarse al cambio a menos que se vean obligadas a hacerlo. "La reticencia a hacer converger sistemas a menudo se centra en cuestiones relacionadas con las personas", afirma el informe. El personal de seguridad física, TI y OT suele alinearse en estructuras de silos heredadas y es reacio al cambio por miedo a que la convergencia se traduzca en una disminución de sus funciones. Sin embargo, los agentes maliciosos no piensan de la misma manera y, en última instancia, se aprovechan de estas funciones tradicionales que trabajan aisladas unas de otras.
Para agravar el problema, los sistemas de supervisión de estas funciones rara vez están integrados, y aún menos correlacionados para comprender el contexto de un suceso de seguridad en evolución. Tanto las personas como los sistemas están aislados entre sí: la definición misma de seguridad a medias.
Las industrias de infraestructuras críticas siguen ignorando la realidad de que se gastan millones de dólares en estas medidas de seguridad a medias, mientras que las vulnerabilidades siguen sin disminuir y los vectores de amenaza aumentan. La inversión actual en cumplimiento normativo y seguridad de redes a menudo pierde una vulnerabilidad estructural: la seguridad sigue bloqueada en silos corporativos y necesita liberarse.
Tres recomendaciones
1. La empresa inteligente necesita seguridad inteligente
El panorama alterado y siempre cambiante de las amenazas exige un cambio de mentalidad centrado en la convergencia de la seguridad. Enfrentarse a amenazas nuevas y emergentes requiere plataformas inteligentes que puedan hacer converger eficazmente aplicaciones y aprovechar el Big Data, el aprendizaje automático y las analíticas predictivas en entornos de seguridad física, TI y OT.
2. El lado humano inevitable de la seguridad
En el centro de la seguridad convergente se encuentran las personas, la identidad y la confianza. El trabajo a distancia y la accesibilidad remota se han disparado durante la pandemia y cada vez es más evidente que el futuro de muchas empresas implicará una importante fuerza laboral remota. Pero, ¿sabes quién gestiona tus operaciones críticas de infraestructura?
Piensa en aquel trabajador que puede entrar en los sistemas operativos de una empresa de servicios públicos o de energía sin acceso legítimo ni pasar su propia tarjeta de acceso, sino simplemente acechando y siguiendo a alguien hasta el interior de un edificio. Acceder a los sistemas de OT sin verificar la credencial debería activar comprobaciones y alarmas automatizadas para alertar a seguridad para que se investigue una vulnerabilidad física, ya sea de manera inocente o no. RR. HH. es un componente fundamental de la solución en empresas preparadas para el riesgo y fundamental para gestionar eficazmente el personal, que actúa como fuente acreditada de información para la identidad. Una plataforma de tecnología de seguridad convergente, con una vista única de los parámetros cibernéticos, físicos y operativos, ofrece una respuesta unificada y proactiva a una amplia gama de incidentes, con conexiones de datos en tiempo real en todas las aplicaciones empresariales críticas.
3. Protección contra amenazas internas 2.0
La conciencia de seguridad unificada y la inteligencia situacional impulsada por IA ofrecen una visión centralizada de amenazas complejas en los dominios cibernéticos, físicos y operativos, mientras que los flujos de trabajo automatizados priorizan la respuesta en función del riesgo y la criticidad. Los datos en tiempo real se convierten en información y acción con inteligencia de identidad de IA, consolidando aún más la información para correlacionar las amenazas para tomar decisiones informadas.
El camino a seguir
En un comunicado de prensa de septiembre de 2020, Gartner predijo que, para 2024, la responsabilidad por los incidentes de seguridad ciberfísica "pasará del ámbito corporativo a la responsabilidad personal" del 75 % de los directores ejecutivos. En respuesta a ello, "los reguladores y los gobiernos reaccionarán rápidamente ante un aumento de los incidentes graves derivados de la falta de seguridad de los CPS, aumentando drásticamente las normas y reglamentos que los rigen", comentó Katell Thielemann, vicepresidenta de investigación de Gartner. "Pronto, los directores generales no podrán esgrimir no conocer los hechos ni escudarse tras pólizas de seguro".
Vivimos en tiempos sin precedentes. Los ataques a entornos intensivos en activos, como las infraestructuras críticas y la sanidad, seguirán aumentando a medida que los agentes maliciosos creen nuevas formas de explotar las vulnerabilidades potenciales. Desde la COVID-19 hasta los ciberataques, las amenazas son muchas y complejas. Como líderes en seguridad y tecnología, estamos obligados a estar a la altura y hacer frente al desafío. En Alert Enterprise creemos que solo un enfoque convergente, más allá de la ciberseguridad centrada en TI, es el camino hacia el futuro.
Por Mark Weatherford
Alert Enterprise, CISO