loader image

RaulG

Tres formas de reducir los ciberataques internos a los sistemas de control industrial

Cuando las redes eléctricas, las redes de agua y los sistemas de servicios de gas son el objetivo de ataques cibernéticos, los sistemas que son esenciales para nuestra vida cotidiana se ven afectados. Si bien el daño potencial debido a fuentes de ataque externas es alarmante, las amenazas internas también existen y constituyen un vector de ataque difícil de monitorear y controlar.

Cuando las redes eléctricas, las redes de agua y los sistemas de servicios de gas son el objetivo de ataques cibernéticos, los sistemas que son esenciales para nuestra vida cotidiana se ven afectados. Si bien el daño potencial debido a fuentes de ataque externas es alarmante, las amenazas internas también existen y constituyen un vector de ataque difícil de monitorear y controlar.

Las fuentes de amenazas internas pueden incluir empleados, socios, proveedores o cualquier otra persona actual y anterior a la que en algún momento se le haya concedido acceso a información confidencial o de propiedad exclusiva desde dentro de la organización. Aunque no todos estos ataques internos son intencionales, cualquier ataque de este tipo a un sistema OT (tecnología operativa) puede resultar en pérdida de datos/secretos comerciales, daños en equipos, pérdida de ingresos e incluso lesiones personales.

El número de ciberataques relacionados con información privilegiada aumenta cada año. El  informe de Investigaciones de violaciones de datos de Verizon de 2019  establece que el 34% de todas las filtraciones en 2018 fueron causadas por personas internas (en comparación con el 24% en 2016). A medida que aumentan los incidentes, también aumentan los costos. Un  estudio del Costo de las amenazas internas del Ponemon Institute de 2018  muestra que el costo promedio de un incidente relacionado con información privilegiada es de alrededor de $513,000.

La motivación para tales ataques incluye ganancias financieras, ideología política, un deseo de reconocimiento o atención pública, lealtad fanática al país o un simple acto de venganza. Desafortunadamente, hoy en día muchas organizaciones de infraestructura aún tienen que implementar controles de seguridad proactivos para monitorear las áreas que gobiernan el acceso no autorizado.

Cómo pueden verse afectados los sistemas de infraestructura clave

Considere cómo estas amenazas de ciberataques pueden manifestarse en los sistemas de control industrial. Una persona con experiencia en ingeniería y conocimiento interno de los sistemas de transmisión o distribución eléctrica podría provocar apagones o destruir equipos. En una nota de inteligencia publicada públicamente por el Departamento de Seguridad Nacional de Estados Unidos, los funcionarios advierten que “los extremistas violentos, de hecho, han obtenido puestos internos” y que “los externos han intentado solicitar empleados del sector de servicios públicos” para realizar ataques físicos y cibernéticos dañinos.

Ese mismo informe de la Oficina de Inteligencia y Análisis de Seguridad Nacional señala que los sistemas de agua y las infraestructuras de gas natural también están en riesgo. En 2011, se alega que un empleado solitario de una planta de tratamiento de agua cerró los sistemas operativos de una empresa de servicios de aguas residuales de EE. UU. en un intento de provocar una acumulación de aguas residuales con el fin de dañar los equipos y crear una acumulación de gas metano. Afortunadamente, las funciones de seguridad automatizadas impidieron la acumulación de metano y alertaron a las autoridades que detuvieron al empleado sin incidentes. Otro empleado, recientemente despedido de una compañía estadounidense de gas natural, supuestamente irrumpió en una estación de monitoreo de su antiguo empleador y cerró una válvula, interrumpiendo el servicio de gas a casi 3.000 clientes.

Tres precauciones para reducir el riesgo de ciberataques

La protección contra amenazas internas requiere que una organización primero adapte un paradigma de disuasión en lugar de detección. La detección, que es una herramienta común en la lucha contra los ciberataques externos  , puede, en el caso de una amenaza interna, a veces ocurrir mucho después de que se haya ejecutado la amenaza, lo que resulta en pérdidas por interrupción del negocio. La disuasión se fortalece cuando se ejecutan las siguientes tres estrategias:

  • Busque tecnologías de protección adecuadas: se han creado tecnologías para controlar los derechos, privilegios y políticas de acceso, pero estas tecnologías son tan buenas como las personas que las configuran, implementan y monitorean. Se deben aplicar controles en todos los sistemas críticos que impidan que las personas eviten las tecnologías implementadas. Si se hacen excepciones por diversas razones, estas tecnologías de control ya no funcionarán de forma fiable.
  • Crear líneas de base para identificar personas/situaciones de alto riesgo: es importante que las organizaciones creen una línea de base para comprender las personalidades y evaluar el comportamiento anormal de aquellos que potencialmente podrían convertirse en una amenaza para la organización. Esto brindará a los agentes de seguridad la capacidad de discernir cambios de comportamiento que podrían aumentar el potencial de una amenaza interna.
  • Controlar y monitorear las acciones de proveedores y contratistas: la presencia de proveedores y contratistas externos en el sitio también puede representar una posible amenaza interna. Por lo tanto, las organizaciones deben imponer controles estrictos en torno al acceso in situ a la información y a áreas sensibles dentro de la empresa.

Una mejor práctica para contrarrestar estas amenazas internas es llevar a cabo un programa de capacitación obligatorio para todos los empleados. Una capacitación adecuada ayudará a los empleados a reconocer y señalar posibles comportamientos desencadenantes (introversión, intolerancia a la crítica, falta de empatía, lealtad reducida, avaricia excesiva, por nombrar algunos) que pueden demostrar personas de alto riesgo.

Michael Pyle, Schneider Electric

https://gca.isa.org/blog/3-ways-to-reduce-insider-cyberattacks-on-industrial-control-systems