La responsabilidad y propiedad cibernética de la cadena de suministro no suele caer en grupos específicos y bien definidos dentro de una compañía. Compartimos extracto de un informe elaborado por Deloitte, empresa que participará del 1° Congreso Cyber Security for Energy este lunes 18 de noviembre: https://cybersecurityenergy.perueventos.org/landing
Las compañías de energía solían considerar el ciber-riesgo en términos de la vulnerabilidad de los sistemas de TI, es decir, software, hardware y tecnologías que procesan datos y otra información, o bien de los sistemas de redes operacionales (OT), es decir, software, hardware y tecnologías que ayudan a supervisar y controlar dispositivos físicos, bienes y procesos, incluido los ICS. En los últimos años, sin embargo, ambos sistemas han ido convergiendo al tiempo que las compañías digitalizan y construyen la versión del “internet de las cosas industrial” perteneciente al sector energético, incluida la “red inteligente”. Y por más desafiante que pueda ser para las compañías de energía identificar sus propios activos vitales y protegerlos, el reto parece estar expandiéndose exponencialmente dado que el mundo interconectado de hoy también les exige asegurar cadenas de suministro mundiales que son cada vez más complejas, vastas y remotas.
Las compañías de energía les compran información, hardware, software, servicios y otras cosas a terceros de todo el mundo. Los autores de las amenazas pueden introducir componentes peligrosos en un sistema o red, involuntariamente o por diseño, en cualquier punto del ciclo de vida del sistema. Esto puede ser a través de la descarga de actualizaciones de software o “parches”, o a través de firmware que se puede manipular para incluir códigos maliciosos para un futuro aprovechamiento. Los adversarios pueden también comprometer el hardware que instalan las empresas en sus sistemas operativos.
En el ataque que casi provoca una explosión y víctimas fatales en una planta petroquímica saudí en 2017, el virus Trisis o Triton se introdujo de manera remota a través de una marca de controladores utilizados en unas 18.000 plantas industriales en todo el mundo. Estos controladores cumplen funciones de seguridad tales como regular el voltaje, la presión y las temperaturas en las plantas nucleares y de tratamiento de agua, en refinerías y en plantas químicas. El objetivo del virus era interrumpir esas funciones en la planta. Los investigadores sugieren que, si bien este malware no es altamente escalable, el método de ataque ofrece una guía para quienes buscan corromper equipos similares en algún otro lugar del mundo.
Cuando se trata de reducir el ciber-riesgo en la cadena de suministro, las empresas del sector energético se enfrentan a varios desafíos. En primer lugar, la responsabilidad y propiedad cibernética de la cadena de suministro no suele caer en grupos específicos y bien definidos dentro de una compañía. Es posible que involucre a diversos departamentos, incluidos los de suministro y Compras/Procurement, seguridad de la información corporativa, nube e infraestructura, legales, IT y OT. La mayoría de los CISO no tienen control alguno sobre la cadena de suministro de la empresa, y es posible que tengan muy poco acceso a la inteligencia de ciber-riesgo de la cadena de suministro. A fin de mitigar el ciber-riesgo de la cadena de suministro, se deben establecer claramente la propiedad y la responsabilidad.
En segundo lugar, es posible que el negocio presione a los gerentes a mover cada vez más las operaciones a la nube antes de poder determinar si el proveedor está protegido. No obstante, las compañías suelen tener escasa visibilidad respecto de los procesos de gestión, del riesgo de los proveedores y de lo que dichos procesos implican para sus operaciones. Si se les brinda el tiempo suficiente, pueden analizar el potencial impacto de un ciber-ataque y trazar, planificar y elaborar soluciones resilientes. Esto se debería hacer antes de mover las operaciones a la nube, especialmente los sistemas de datos y gestión de energía que podrían afectar la confianza si fueran hackeados.
Otro desafío frecuente es la falta de mano de obra, particularmente dada la abrumadora cantidad de proveedores que se deberían evaluar. Un estudio de 20 empresas de servicios públicos de gas y electricidad en América del Norte reveló que las plantas contaban con un promedio de 3,647 proveedores activos en total, 39 relaciones estratégicas y 140 proveedores que representaban el 80% de su inversión externa total.29 Es posible que las compañías no puedan tener acceso a algunos proveedores, y que algunos proveedores no puedan o no estén dispuestos a adoptar prácticas de seguridad. Además, ciertos tipos de potenciales ciberamenazas pueden “pasar por delante” de los controles, como las actualizaciones de firmware de las cadenas de suministro. Hoy la mayoría de las compañías de energía tienen escaso control sobre lo que hacen los proveedores; apenas están comenzando a hacer que los proveedores tomen conciencia y asuman responsabilidad, y a exigirles integridad.
Aún así, hay esperanza. Existen diversas medidas que las compañías pueden tomar para hacer frente al ciberriesgo, especialmente en la cadena de suministro.
La primera medida a tomar en cuenta en la reducción del ciber-riesgo en la empresa es identificar y ubicar bienes y sus conexiones, y priorizarlos según su importancia. Lo siguiente es determinar si las redes y los bienes vitales tienen vulnerabilidades conocidas de las que se pudieran aprovechar. Un ejemplo sería una red de sistemas de control con una contraseña codificada por defecto que esté disponible a través de una búsqueda en internet. La tercera medida es evaluar la madurez del entorno de controles en busca de amenazas de gestión proactiva. Para ello, suele ser útil usar un modelo establecido, como el modelo de madurez de ciberseguridad de Deloitte.30 El paso final sería elaborar un marco de trabajo para proteger bienes vitales que haga uso de personas, procesos y tecnología para que sea seguro, vigilante y resiliente.
Datos:
-Tres ciber-ataques recientes se originaron en la cadena de suministro y afectaron al sector energético. Dos de ellos apuntaron específicamente al ICS y el tercero, a los sistemas de IT. Llamativamente, los tres estaban empeñados en una potencial interrupción del servicio futura o inmediata más que en el beneficio económico.