Mantenga las luces encendidas: tres cosas que las compañías eléctricas deben hacer para fortalecer las defensas de la ciberseguridad

por

Los fabricantes de dispositivos de IoT y el gobierno de EE. UU. Deben colaborar con la industria para asegurarse de que la transformación digital cierre las brechas de seguridad en lugar de abrir nuevas.

dragospowergridcybersecurity.jpg

Michael Chertoff, William, Dixon, Dmitri Alperovitch, Rob Lee y Annessa McKenzie discutieron los riesgos de ciberseguridad que amenazan la infraestructura de energía pública.

Imagen: Dragos

Las empresas de energía necesitan la ayuda del gobierno de EE. UU., Los expertos en ciberseguridad y los socios de la cadena de suministro para defenderse de los crecientes riesgos de seguridad para las redes eléctricas públicas. Dragos organizó una conversación el martes con el director del Centro de Ciberseguridad del Foro Económico Mundial, William Dixon, y cuatro expertos en seguridad y la industria energética.

El CEO y cofundador de Dragos, Rob Lee, discutió el panorama de amenazas con Annessa McKenzie, vicepresidenta de TI y directora de seguridad de la empresa de generación de energía Calpine, y Dmitri Alperovitch, presidente ejecutivo de Silverado Policy Accelerator y cofundador y ex director de tecnología en CrowdStrike.

Los riesgos de seguridad para las empresas de energía y la red eléctrica en general están aumentando debido a los adversarios que se están volviendo más sofisticados y agresivos, así como a la introducción de más dispositivos de IoT en las plantas de energía y otros procesos industriales.

Alperovitch dijo que los malos actores se han centrado en intrusiones coordinadas y continuas en las redes de tecnología operativa que operan las empresas de petróleo y gas y las plantas de generación de electricidad. El hecho de que los ataques hayan sido pocos y dispersos puede dar una falsa sensación de seguridad.

VER: Seguridad de confianza cero: una hoja de trucos (.) (TechRepublic)

“Han estado recopilando inteligencia para que en el futuro, si deciden cruzar ese umbral, estén preparados para hacerlo porque saben cómo son los sistemas y cómo lograr sus objetivos”, dijo.

McKenzie dijo que aunque el sector energético en su conjunto ha realizado importantes inversiones en ciberseguridad, la industria eléctrica está entre 10 y 15 años por detrás de la industria del petróleo y el gas en esta área.

Lee dijo que una de sus mayores preocupaciones es el riesgo de que los criminales comiencen a copiar tácticas que solo los actores estatales están usando actualmente.

“Si seguimos pinchando y pinchando en las redes, estás creando un plan para que los actores no estatales hagan lo mismo”, dijo.

El grupo identificó tres pasos que la industria y el gobierno de EE. UU. Pueden tomar para fortalecer el perímetro alrededor de la infraestructura pública y aumentar la colaboración dentro de la industria energética y con expertos en ciberseguridad.

Cambiando la mentalidad de seguridad

Uno de los desafíos en la protección de la tecnología operativa es que es un error simplemente aplicar soluciones que funcionan en un entorno de TI.

“En el nivel más amplio, la diferencia con OT es que tienes todo lo que tenemos en TI más física”, dijo, y agregó que las brechas de seguridad en este entorno pueden causar daños ambientales, lesionar a las personas que trabajan en las plantas e incluso causar un incidente de seguridad nacional.

Lee dijo que otra diferencia es la naturaleza de los ataques en entornos industriales.

“En el entorno de OT, hay ataques de baja frecuencia de mayor impacto, mientras que la mentalidad de seguridad tradicional es de alta frecuencia y bajo impacto”, dijo.

Esta diferencia en la misión y el riesgo para el entorno físico significa que los equipos de seguridad deben realizar un tipo diferente de análisis, dijo Lee.

Alperovitch dijo que los equipos de seguridad deben aprender el lenguaje de los operadores y combinar la comprensión del panorama de amenazas con esta comprensión de cómo funcionan los sistemas industriales.

Lee también dijo que los operadores de centrales eléctricas deben considerar las amenazas a las que se enfrentan y construir una defensa cibernética adecuada en lugar de ensamblar un arsenal estándar de herramientas.

“Hay muy poco enfoque en cómo se verá el ataque y en hacer un análisis de la causa raíz”, dijo. “Necesitamos trabajar hacia atrás desde el estado final en el que debemos estar y construir una estrategia de seguridad en torno a esos requisitos”.

El gobierno de los Estados Unidos Ingeniería cibernética impulsada por las consecuencias El programa es un buen ejemplo de este enfoque de seguridad, dijo Lee.

Trabajar con fabricantes de dispositivos de IoT

Chertoff dijo que la falta de transparencia en torno a los dispositivos de IoT es un área de alto riesgo para los generadores de energía.

“Estamos aumentando drásticamente el área de superficie para ataques, pero no tenemos forma de certificar y validar que estos productos cumplan con los requisitos mínimos”, dijo.

MacKenzie dijo que los operadores de plantas de energía deben tener mejores relaciones con los fabricantes de dispositivos de IoT.

“Necesitan comenzar a darnos una lista de bienes y certificar que podemos confiar en la seguridad de su cadena de suministro”, dijo.

MacKenzie dijo que los operadores de centrales eléctricas también deberían realizar pruebas más proactivas contratando hackers de sombrero blanco para encontrar vulnerabilidades en las redes internas.

Mejorar la colaboración nacional e internacional

Dixon preguntó a los panelistas cómo la pandemia de coronavirus ha cambiado la dinámica internacional en torno a la seguridad de OT. Chertoff dijo que una lección obvia fue que existe un conjunto de desafíos que no se pueden manejar a nivel nacional / estatal y la infraestructura pública crítica entra en esa categoría.

“Esto funciona en el sector financiero porque incluso los rusos y los chinos entienden que la destrucción del sector financiero los destruiría a ellos ya nosotros también”, dijo.

Chertoff dijo que Estados Unidos debería acudir a sus aliados y rivales para promover una acción colectiva sobre la seguridad de la infraestructura, una tarea desafiante que es aún más difícil en un momento en que la sospecha entre los estados nacionales es “mayor que durante la Guerra Fría”.

Alperovitch enumeró tres áreas en las que el gobierno federal de los EE. UU. Puede ayudar a mejorar la seguridad de TO en entornos industriales:

  • Aumentar la disuasión y responsabilizar a los estados nacionales y a los grupos criminales por su mal comportamiento
  • Fortalecer la regulación de las industrias privadas para asegurarse de que se tomen en serio la seguridad.
  • Establecer estándares para mejorar el intercambio de datos y la comprensión de los riesgos.

McKenzie sugirió que el gobierno federal se concentre en compartir la capacitación con los profesionales de la industria energética.

“Hace varios años envié a mis cazadores de amenazas para que fueran entrenados por las mismas instituciones de entrenamiento del gobierno en Quantico para que pudieran ver cómo es el entrenamiento militar y fue invaluable para ellos ser entrenados por personas en un entorno diferente”, dijo.

Lee dijo que era importante que el gobierno federal de los EE. UU. Aclarara sus funciones y responsabilidades de seguridad cibernética y desarrollara un mensaje coherente en todas las agencias federales.

Sigue navegando por nuestra web viendo más artículos.

Publicaciones relacionadas:

  1. Tres cosas que no sabes que puede hacer CCleaner
  2. Los gerentes de contratación deben mirar fuera de los centros tecnológicos tradicionales para ocupar puestos de trabajo de ciberseguridad
  3. Cómo la comprensión de la ciencia cognitiva puede fortalecer los eslabones débiles de la ciberseguridad
  4. Las 5 mejores cosas para hacer con aparatos antiguos

Deja un comentario