Opinión

La ciberseguridad de los oleoductos

Regional Sales Engineer de Nozomi Networks.

Dependiendo de a quien preguntes, casi todos los componentes digitales de los que dependen los oleoductos y gaseoductos están potencialmente en peligro de alguna manera. Mientras que los propietarios y operadores se dan cuenta de los posibles efectos en cascada de un incidente cibernético que afecte a sus operaciones, las empresas y los grupos de interés todavía están, en su mayoría, reaccionando a los incidentes de seguridad en lugar de prepararse para sus posibles impactos.

El riesgo de interrupciones generalizadas y prolongadas, cortes o destrucción de recursos, productos o servicios críticos, requiere una atención inmediata y una acción continuada. Este es el motivo por el que la Administración de Seguridad en el Transporte (TSA, por sus siglas en inglés) recientemente ha lanzado una nueva guía y medidas para los propietarios y operadores de oleoductos e instalaciones de gas natural licuado.

La normativa tiene que ser lo suficientemente vaga como para no quedar obsoleta ante un panorama de amenazas dinámico y creciente, pero sin ser excesivamente prescriptiva de manera que disminuya la capacidad de cumplimiento de una organización.

Las directrices de la TSA son un paso hacia la protección de infraestructuras y el fortalecimiento de la ciber-resiliencia en la industria de los oleoductos.

Riesgos y medidas hoy

Recientemente, las capacidades de un estado o nación para dirigirse a las operaciones físicas están en aumento. Las vulnerabilidades OT se incluyen en el rastreo oportunista de las redes IT, los ataques USB siguen asolando la industria y los escenarios de amenazas internas siguen siendo la principal amenaza de ciberseguridad en su entorno.

Cuando se trata de oleoductos y gasoductos existen una serie de escenarios cibernéticos que pueden costar millones en interrupciones no planificadas y mantenimiento y los costes se disparan al incluir la recuperación y la reparación. Los principales riesgos en lo que respecta a los oleoductos y gasoductos siguen siendo los siguientes:

  • Conectividad remota insegura y secuestrada.
  • Vulnerabilidades bien o conocidas en sistemas diseñados sin pensar en la seguridad, algunos sin parches disponibles o difíciles de aislar y/o actualizar.
  • Conectividad a Internet y sistemas de control conectados a redes corporativas/empresariales.
  • Amplias especificaciones técnicas de los sistemas de control disponibles en línea y en papel.

La TSA recientemente ha lanzado una nueva guía para para los propietarios y operadores de oleoductos e instalaciones de gas natural licuado, indicándoles que:

  1. Desarrollen políticas y controles de segmentación de la red para garantizar que el sistema de tecnología operativa pueda seguir funcionando con seguridad en caso de que un sistema de tecnología de la información se haya visto comprometido y viceversa;
  2. Creen medidas de control de acceso para asegurar y prevenir accesos no autorizados a los ciber-sistemas críticos;
  3. Creen políticas de detección y monitoring continuo y procedimientos para detectar las amenazas de ciberseguridad y corregir las anomalías que afectan a las operaciones de ciber-sistemas críticos;
  4. Reduzcan el riesgo de explotación de los sistemas no parcheados mediante la aplicación de parches de seguridad y actualizaciones de sistemas operativos, aplicaciones, controladores y firmware en los ciber-sistemas críticos de manera oportuna utilizando una metodología basada en el riesgo.

Los propietarios y operadores de oleoductos también están obligados a:

  • Establecer y ejecutar un plan de implementación de ciberseguridad aprobado por la TSA, que describa las medidas de ciberseguridad específicas que están utilizando para lograr los resultados de seguridad establecidos en la nueva directiva.
  • Desarrollar y mantener un Plan de Respuesta a los Incidentes de Ciberseguridad, que incluya las medidas que se deben adoptar en el caso de una disrupción operacional o degradación significativa del negocio causada por un incidente de ciberseguridad.
  • Establecer un programa de evaluación de la ciberseguridad para evaluar proactivamente y auditar regularmente la efectividad de las medidas de ciberseguridad e identificar y resolver las vulnerabilidades en dispositivos, redes y sistemas.

Es importante reportar incidentes significativos, pero la mejor sugerencia de la nueva guía es no solo crear planes, sino probar los planes regularmente (pronto y a menudo). Esto requiere la aplicación de muchas de las medidas, especialmente el punto de contacto de ciberseguridad, que tendrá que elaborar un procedimiento de comunicación en caso de incidente o emergencia.

Las medidas actualizadas también permiten flexibilidad para los preparativos de ciberseguridad y resiliencia que puede estar alineada con estas prioridades sin comprometer la seguridad y la continuidad empresarial. Evitan la orientación prescriptiva que puede dejar a muchos usuarios finales luchando por cubrir el expediente en una auditoría, pero informan de las decisiones críticas, como las contraseñas completas, las copias de seguridad y las políticas de recuperación, con advertencias clave sobre las medidas y controles alternativos para los sistemas en los que el requisito establecido no es técnicamente factible.

Los coordinadores tendrán mucho trabajo, creando formación, planes de pruebas de estrés y demostrando la rentabilidad de las inversiones y los procesos de seguridad a lo largo del tiempo. A corto plazo, también deben planificar por si se produjera un incidente cibernético en cualquier momento, con la participación de una amplia gama de partes interesadas. Como hemos aprendido de otros ataques importantes, el eslabón más débil de una organización puede ser un sistema de TI crítico para las operaciones comerciales. También puede ser un sistema ciber-físico comprometido, un amplio acceso a un componente de las operaciones que permita el acceso remoto o una conectividad innecesaria a Internet.

Es imperativo que los propietarios de activos dispongan de las herramientas y los conocimientos adecuados para determinar si un problema se debe a una campaña de un estado o nación, a un mal funcionamiento del equipo, a una configuración incorrecta, a una situación de ransomware o Ghost drifting (cuando un dispositivo se sale del ámbito de aplicación de forma gradual y sin supervisión).

Construir una postura de seguridad madura

La industria no empieza desde cero, sino que sigue evolucionando para responder a los problemas de seguridad. Los operadores de oleoductos y gasoductos dan prioridad a la seguridad del público y de los trabajadores, a la calidad y continuidad de sus operaciones y a la protección de información y sistemas sensibles. La maduración de una postura de seguridad requerirá un plan holístico para fortalecer las operaciones de adentro hacia afuera, comenzando con los siguientes componentes sugeridos:

  • Desarrolle un inventario exhaustivo de activos de todo lo que es crítico para la misión de su organización y que está conectado a todo lo que se requiere para la continuidad del negocio.
  • Identifique las vulnerabilidades internas en el sistema en uso y cree estrategias para el seguimiento y reducción de riesgos y de endurecimiento de los activos.
  • Monitorice la red en todos los niveles, aprovechando la inteligencia de amenazas basada en firmas y la detección de anomalías basada en el comportamiento.
  • Supervise los activos críticos para detectar cualquier cambio en el firmware, los códigos de función, los ajustes de configuración y los controles de nivel administrativo.
  • Asegúrese de que existen copias de seguridad redundantes de los datos y sistemas, en las que la política de restauración tenga en cuenta, ante todo, la seguridad y las operaciones de los procesos.
  • Desarrolle y pruebe manuales de respuesta a incidentes y ejecute ejercicios de mesa para crear resistencia y comprender el análisis del impacto de los escenarios cibernéticos.

Fortalecer la seguridad de los gaseoductos y oleoductos es un juego largo

Con este último anuncio de medidas adicionales y reglas potenciales para que estas compañías implementen en sus operaciones, algunos líderes de la industria pueden tener problemas para comprender las repercusiones de las orientaciones reglamentarias adicionales. Aunque es demasiado pronto para calificar las medidas como un éxito o un fracaso, no es demasiado tarde para empezar a preguntarse qué y cómo es el éxito y cómo llegar a él.