- Demostrar que los ciberincidentes en los sistemas de control son reales y no insignificantes en número.
- Demuestre que la mayoría de los incidentes son comunes en múltiples sectores.
- Proporcionar información para la formación de ingenieros y personal de redes sobre qué buscar, ya que los incidentes cibernéticos del sistema de control son más que simples anomalías de la red del Protocolo de Internet (IP).
- Identifique si las tecnologías de mitigación de la ciberseguridad pueden abordar incidentes reales.
- Úselo en el diseño de nuevos sistemas de control para garantizar que se aborden amenazas no intencionales o maliciosas.
- Ayude a la industria de seguros y a las agencias de calificación crediticia a comprender este riesgo existencial.
Hasta este punto, he utilizado la base de datos con proveedores de seguridad para ayudar a validar cómo sus tecnologías de seguridad pueden abordar casos específicos.
Mi criterio para incluir eventos es que sean incidentes y no meras vulnerabilidades, y que los incidentes deben afectar a los sistemas de control o a los procesos físicos que gestionan, ya sea directa o indirectamente. Si los incidentes solo afectan a los sistemas de tecnología de la información (TI) (como es el caso de la mayoría de los ransomware), no los incluí (esto distingue mi base de datos de la mayoría de las demás que están dominadas por casos de ransomware). Tampoco he hecho un recuento detallado ni una lista de organizaciones afectadas por malware genérico como Slammer, Blaster, Conficker, NotPetya, WannaCry y las diversas versiones de ransomware que proliferan a diario.
Si bien los drones son “herramientas cibernéticas”, la base de datos no incluye ninguno de los casos utilizados para operaciones militares. En consecuencia, mi base de datos es muy conservadora en cuanto al número de casos identificados. La base de datos es amplia en cuanto a los tipos de incidentes incluidos, ya que incluye incidentes cibernéticos de redes IP “tradicionales”, así como incidentes fuera de fase, ataques basados en ingeniería, casos de interferencia electromagnética (EMI) y de interferencia de radiofrecuencia (RFI). que tienen sistemas de control inhabilitados y otros casos singulares. También comparé los casos con bases de datos existentes, como el Repositorio de Incidentes de Seguridad Industrial (RISI) y SCIDMARK, para garantizar que la base de datos esté completa.
Las juntas directivas y los directores ejecutivos (CEO) señalan cada vez más al director de seguridad de la información (CISO) cuando surgen problemas de ciberseguridad de la tecnología operativa (OT). Tener a los CISO a cargo de la seguridad de OT con el actual enfoque de ciberseguridad en ataques contra redes IP, especialmente los incidentes de ransomware comunes y preocupantes actualmente, tiene sentido ya que la protección de redes IP es su especialidad. Sin embargo, la ciberseguridad OT es más que solo proteger las redes IP. La falta de conocimiento de los CISO y los especialistas en redes sobre los problemas únicos asociados con las redes seriales del sistema de control y los dispositivos de campo ha resultado en muchos casos de impactos en el sistema de control debido al uso inadecuado de las tecnologías, pruebas y políticas de seguridad de la red de TI. En algunos de estos casos se dañaron físicamente los equipos y en un caso casi se cerró una parte importante de la red estadounidense.
¿Están los CISO preparados para acudir a la junta directiva y al director ejecutivo y admitir que fueron responsables de causar el daño que se suponía debían evitar? Además, este enfoque de red OT parece haber desplazado el interés en incidentes no intencionales y ciberataques basados en ingeniería que no se ajustan al modelo de TI familiar.
El modelo de TI podría caracterizarse como: ” Estás conectado a Internet, ejecutas Windows y alguien está intentando robar o manipular tus datos “. Es decir, que el incidente debe ser malicioso y sobre privacidad o protección de datos, pero no sobre seguridad o fiabilidad. Esta falta de comprensión se extiende tanto a los profesionales de TI/OT como a los de ingeniería, lo que plantea un problema familiar: el hecho de que parte del sistema no sea vulnerable a las amenazas que está acostumbrado a ver no significa que el sistema no sea vulnerable . Esta es también la apertura que utilizan los ciberatacantes ofensivos: ir a donde los defensores no miran .
Utilizo la definición de incidente cibernético de la Oficina de Responsabilidad Gubernamental de EE. UU. (GAO) 21-477 como:
“Un evento que pone en peligro la ciberseguridad de un sistema de información o la información que el sistema procesa, almacena o transmite; o un evento que viole políticas de seguridad, procedimientos o políticas de uso aceptable, ya sea como resultado de una actividad maliciosa o no. Los incidentes cibernéticos, incluidos los ataques cibernéticos, pueden dañar los activos de tecnología de la información, crear pérdidas relacionadas con la interrupción del negocio y el robo, divulgar información confidencial y exponer a las entidades a la responsabilidad de clientes, proveedores, empleados y accionistas”.
La base de datos no es pública ya que incluye muchos casos que se han proporcionado de forma confidencial, ni incluye incidentes clasificados. La base de datos incluye las siguientes categorías:
- Aeronave
- Transmisión y distribución eléctrica (T&D)/supervisión, control y adquisición de datos (SCADA) (microrredes)
- Instalaciones (edificios, laboratorios, centros de datos, etc.)
- Bebida alimenticia
- Transporte terrestre (ferrocarriles, automotores, semáforos, etc.)
- Fabricación (todos los tipos)
- Marina (barcos, puertos, esclusas, etc.)
- Médico (instalaciones médicas y dispositivos médicos)
- Minería
- Plantas nucleares
- Petróleo/gas/químicos
- Papel
- Tuberías
- Centrales eléctricas (fósiles, hidroeléctricas y renovables)
- Espacio (cohetes, satélites)
- Agua/Aguas Residuales
También se divide en regiones:
- África
- Asia
- Australia/Nueva Zelanda
- Canadá
- Europa
- Oriente Medio
- Sudamerica
- Estados Unidos
La base de datos tiene un sesgo involuntario pero natural hacia la recopilación de incidentes en Estados Unidos y Canadá. Sin embargo, muchos proveedores de instalaciones y sistemas de control son globales. En consecuencia, la mayoría de los incidentes son directamente aplicables a cada región, independientemente de dónde ocurrió el incidente. Como el mantenimiento de la base de datos no es mi actividad de tiempo completo, se basa en los incidentes que he encontrado o de los que he tenido conocimiento, lo que significa que no cubre todos los incidentes que han ocurrido. Lo que está claro es que los ciberincidentes en los sistemas de control siguen produciéndose en todas las categorías, aunque estén “ahogados” por el número de incidentes de ransomware. Esto puede explicarse por el hecho de que existen ciberforenses para identificar incidentes de TI/ransomware, pero a menudo no para controlar los ciberincidentes del sistema. En consecuencia, a menudo actúo como un “sistema manual de detección de intrusos”.
La ciberseguridad se ha centrado en las infraestructuras críticas de energía, agua, productos químicos, oleoductos, petróleo/gas y manufactura. Sin embargo, ha habido importantes incidentes cibernéticos en infraestructuras que no se esperaba que fueran cibervulnerables, como impactos cibernéticos en equipos de túneles de carretera que han causado impactos físicos. También hubo casos en los que los ciberincidentes involucraron sistemas analógicos.
Para industrias como la manufacturera y la de oleoductos, contar los incidentes es relativamente sencillo, ya que se aplica a cada instalación que se vio afectada sin efectos multiplicadores. Sin embargo, los incidentes cibernéticos relacionados con la red tienen efectos multiplicadores. A modo de ejemplo, un incidente cibernético que cerró la red regional durante varios días afectó a 50 millones de personas. Conté ese incidente como 1, no 50 millones. Según esa contabilidad, ha habido seis cortes de energía relacionados con la cibernética en los EE. UU. desde finales de la década de 1990 que han afectado al menos a 96.000 clientes. También se han producido muchos cortes importantes de la red internacional relacionados con la ciberseguridad que han afectado a grandes segmentos de la población.
En consecuencia, si bien ha habido más de 1.200 incidentes cibernéticos relacionados con la red eléctrica, eso no refleja adecuadamente el verdadero impacto de cada incidente en los clientes y la economía. En algunos casos, el ciberincidente no provocó ningún impacto en la red. En otros casos, la red estuvo cerrada durante horas o días, afectando a la población y a las empresas que no tenían acceso a energía de respaldo. Ese mismo efecto multiplicador también puede aplicarse a instalaciones como plantas químicas que han tenido emisiones tóxicas cibernéticas que han impactado a decenas de miles de personas o accidentes aéreos que han matado a cientos.
Teniendo en cuenta esas advertencias, he identificado más de 17 millones de incidentes cibernéticos en sistemas de control que han matado a más de 34.000 personas desde la década de 1980. Lo que puede resultar sorprendente es que la mayoría de los incidentes fueron maliciosos y no involuntarios. Además, la mayoría no fueron el resultado de vulnerabilidades de la red de TI u OT, sino que fueron ataques basados en ingeniería .
Los ciberataques basados en ingeniería no son nuevos. Estos ciberataques comenzaron en 1982 con el Farewell Dossier que tenía como objetivo los controles de los oleoductos de Gazprom, seguido del ataque al SCADA del agua en 2000. El Laboratorio Nacional de Idaho (INL) realizó una evaluación cibernética de los controladores lógicos programables (PLC) industriales de Siemens y presentó públicamente sus hallazgos en Grupo Internacional de Usuarios de Siemens 2008 en Chicago. Los resultados de vulnerabilidad del estudio INL identificaron un enfoque que en última instancia se utilizó para dañar equipos de fabricación críticos, así como en el escándalo de las trampas del diésel destinado a encubrir la deficiencia en los motores diésel que no podían cumplir con los requisitos ambientales “nuevos” y más restrictivos. requisitos y aun así cumplir con las afirmaciones de eficiencia de combustible anunciadas.
En el caso del escándalo de las trampas del diésel, los ejecutivos del sector automovilístico tomaron la decisión de encubrir en lugar de revelar la reducción de la eficiencia del combustible. En consecuencia, los ejecutivos automotrices hicieron que una empresa externa, Robert Bosch, desarrollara software fraudulento para los controladores individuales de combustible y emisiones en cada vehículo que detectaría escenarios de “prueba” al monitorear la velocidad, el funcionamiento del motor, la presión del aire y la posición del volante. Cuando los vehículos operaban en condiciones controladas de laboratorio (que generalmente implican colocarlos en un banco de pruebas estacionario), el dispositivo ponía el vehículo en un modo de seguridad en el que los controladores hacían funcionar el motor por debajo de la potencia y el rendimiento normales. Una vez que se completó la prueba, los controladores salieron de este modo de prueba. Como resultado, los motores emitieron contaminantes de óxido de nitrógeno hasta 40 veces el límite. Este tipo de ataques no implican el uso de Internet, Windows u redes OT para llevar a cabo los ataques y no tienen análisis forense cibernético.
Los impactos económicos directos e indirectos de los ciberincidentes en los sistemas de control pueden ser enormes, pero no he realizado análisis económicos detallados. Por ejemplo, los resultados no reflejan el impacto económico de un apagón regional que afecta a 50 millones de personas. Ha habido varios casos en los que los ciberincidentes en los sistemas de control han conducido directamente a quiebras. Además, los impactos económicos de los incidentes del sistema de control fueron muy conservadores ya que no neté el valor presente de los impactos económicos. Más bien, utilicé los valores de impacto cuando ocurrió el incidente.
Como ejemplo, la ruptura del oleoducto Olympic Pipeline ocurrió en 1999. El impacto de ese incidente fue de $45 millones en 1999 (que obviamente sería mucho más si se ajusta a la inflación en 2023), lo que llevó directamente a la quiebra de la compañía Olympic Pipeline y tres personas terminan en la cárcel. Los problemas cibernéticos del sistema de control con sensores y actuadores de proceso provocaron un impacto aproximado del 3 % en la productividad neta en una instalación de miles de millones de dólares. Los ataques de ransomware, aunque no han impactado los sistemas o procesos de control, han provocado cierres debido a “mucha precaución”. Los cierres han causado millones de dólares en impactos que pueden no estar cubiertos por los pagos del seguro por interrupción del negocio.
Resumen
Los incidentes cibernéticos en los sistemas de control son más abundantes e impactantes de lo que la mayoría de los observadores esperan: más de 17 millones resultaron directamente en más de 34.000 muertes. Si bien ha habido más de 1.200 incidentes cibernéticos relacionados con la red eléctrica, eso no refleja adecuadamente el verdadero impacto en los clientes y la economía. La mayoría de los más de 17 millones de incidentes cibernéticos del sistema de control fueron maliciosos, no involuntarios. Por número de incidentes, la mayoría de los ciberincidentes del sistema de control fueron ataques basados en ingeniería utilizados para camuflar una deficiencia en el diseño del producto o causar daños físicos. Estos ataques no involucraron a Internet, Windows u redes OT para llevar a cabo los ataques. En consecuencia, estos incidentes no fueron identificables por los análisis forenses cibernéticos de la red y no entrarían bajo el dominio de los CISO.
Esto significa que la mayoría de estos incidentes no serían abordados por las directrices de ciberseguridad existentes del gobierno y la industria, ni llegarían a las Juntas como eventos cibernéticos. Además, el escándalo de las trampas del diésel deja al descubierto las diferencias filosóficas en cómo los ciberatacantes ofensivos y los ciberdefensores abordan la ciberseguridad. Los impactos del escándalo de las trampas del diésel fueron enormes, con más de 35 mil millones de dólares en daños y varias personas encarceladas; sin embargo, muchos defensores no considerarían que se tratara de ciberataques maliciosos porque no eran el tipo de ataques que esperaban.
Hasta que los reguladores, profesionales, proveedores de seguros y agencias de calificación crediticia centrados en la red OT estén dispuestos a abordar los incidentes y ataques basados en ingeniería, las infraestructuras críticas no estarán seguras. Sin embargo, esto puede estar cambiando ya que las compañías de seguros pueden no estar dispuestas a proporcionar pagos de seguros por interrupción del negocio cuando los sistemas de control no se han visto afectados. Es evidente que monitorear las señales de los sensores de proceso en la capa física habría identificado la mayoría de los incidentes independientemente de la causa.
Recomendaciones
- Desarrollar un sistema de control adecuado de la formación en ciberseguridad para identificar incidentes que puedan tener relación con la ciberseguridad.
- Desarrollar un proceso para compartir información sobre incidentes cibernéticos del sistema de control con todas las partes afectadas de la organización.
- Desarrollar un proceso para compartir información desinfectada sobre incidentes cibernéticos del sistema de control con la industria y el gobierno (el proceso existente no está funcionando).
- Utilice la información sobre incidentes cibernéticos del sistema de control en el desarrollo de políticas y programas de ciberseguridad.
- Desarrollar una metodología para contar con un proceso de tipo CVE (vulnerabilidades y exposiciones comunes) para abordar los incidentes cibernéticos del sistema de control.
- Utilice la información de incidentes cibernéticos del sistema de control en el desarrollo de la mitigación de la ciberseguridad.
- Utilice la información sobre incidentes cibernéticos del sistema de control en el desarrollo de equipos del sistema de control.
- Utilizar la información del sistema de control de ciberincidentes en los análisis de seguridad.
- Utilice la información sobre incidentes cibernéticos del sistema de control en la capacitación de respuesta a incidentes.
- Utilice el monitoreo de sensores de procesos a nivel físico para identificar incidentes cibernéticos maliciosos y no intencionales.
- Desarrollar cursos universitarios de ciberseguridad de sistemas de control para Ciencias de la Computación; disciplinas de ciberseguridad (introducción a la ingeniería básica) y ingeniería de dominio (introducción a la ciberseguridad básica).
- Desarrollar el sistema de control de métricas de ciberseguridad adecuado para las compañías de calificación crediticia y de seguros.
Joe Weiss
https://gca.isa.org/blog/more-than-17-million-control-system-cyber-incidents-are-hidden-in-plain-sight