El futuro de la seguridad de la tecnología operativa: Cómo PatchAssure y el programa TCA de Doble están abriendo camino
A medida que el sector de los servicios públicos depende cada vez más de la tecnología de automatización, es fundamental garantizar que los sistemas de tecnología operativa (TO) estén protegidos contra las ciberamenazas. En el panorama actual de ciberseguridad de 2023, las empresas de servicios públicos se enfrentan a un número creciente de ciberataques sofisticados que pueden interrumpir las operaciones, provocar pérdidas financieras e incluso representar un riesgo para la seguridad pública [1].
Colonial Pipeline, un importante transportador de combustible desde Texas hasta el este de EE. UU., sufrió un ataque de ransomware por parte del grupo DarkSide en marzo de 2021 [2]. El ataque provocó el cifrado de datos de la empresa y una demanda de rescate. Esta interrupción del suministro de combustible provocó compras de pánico en las gasolineras de las zonas afectadas. La resolución del ataque, en el que Colonial Pipeline pagó el rescate, puso de relieve el importante impacto que los ciberataques pueden tener en infraestructuras críticas como la industria de los servicios públicos.
Para hacer frente a estas amenazas, las empresas de servicios públicos deben cumplir con las normas de Protección de Infraestructuras Críticas (PIC) de la Corporación de Confiabilidad Eléctrica de Norteamérica (NERC, por sus siglas en inglés) [3]. Estas normas, que son obligatorias para todas las empresas de servicios públicos reguladas por NERC, describen los requisitos específicos para proteger los sistemas y datos de TO que son fundamentales para el funcionamiento confiable del sistema de potencia eléctrica a granel. Un aspecto del cumplimiento del PIC de NERC es la implementación de medidas de ciberseguridad sólidas para evitar el acceso no autorizado a los sistemas de TO. Esto incluye medidas como la segmentación de la red, controles de acceso y planes de respuesta ante incidentes. Las empresas de servicios públicos también deben evaluar y probar periódicamente sus controles de seguridad de TO para garantizar su eficacia. Un estándar dentro del marco PIC de NERC es CIP-010-4, [4]que describe los requisitos para proteger los ciberactivos críticos. Estos activos se definen como «sistemas, equipos y datos de tecnología de la información y las comunicaciones, cuya pérdida, compromiso o uso indebido podrían tener un efecto adverso grave en el funcionamiento confiable del sistema de potencia eléctrica a granel».
Doble ofrece soluciones como PatchAssure™ [5] y el programa de activos cibernéticos transitorios (TCA) [6] para ayudar a las empresas de servicios públicos a abordar estas dificultades y garantizar el cumplimiento de las normas PIC de NERC.
PatchAssure de Doble es una solución integral de administración de parches que puede ayudar a las empresas de servicios públicos a cumplir los requisitos de CIP-007-6 R2 de NERC: Administración de revisiones de seguridad.
Algunas de las características clave de Doble PatchAssure incluyen:
1. Administración de revisiones automatizada: PatchAssure de Doble automatiza el proceso de identificación, descarga e instalación de revisiones y actualizaciones para activos cibernéticos del sistema eléctrico a granel, lo que puede ayudar a ahorrar tiempo y recursos que, de otro modo, se gastarían en procesos de aplicación de revisiones manuales.
2. Generación de informes de cumplimiento: PatchAssure de Doble proporciona informes de cumplimiento detallados que pueden ayudar a las empresas de servicios públicos a hacer un seguimiento de su progreso hacia el cumplimiento de los requisitos del CIP-007-6 R2 de NERC y a demostrar el cumplimiento a los reguladores.
3. Verificación de la autenticidad de las revisiones y actualizaciones: PatchAssure de Doble incluye herramientas para verificar la autenticidad de las revisiones y actualizaciones de software mediante el uso de métodos como firmas digitales, comprobaciones de hash u otras técnicas criptográficas. Estas herramientas se pueden utilizar para garantizar que solo se instalen revisiones y actualizaciones auténticas y sin modificar en activos cibernéticos del sistema eléctrico a granel.
4. Impedir la instalación de revisiones y actualizaciones no aprobadas: PatchAssure de Doble incluye procesos para revisar y aprobar las revisiones y actualizaciones de software antes de que se instalen, así como controles técnicos, como firewalls o controles de acceso, para evitar la instalación o ejecución de software no autorizado. Estos controles se pueden utilizar para evitar la instalación de revisiones y actualizaciones no aprobadas en activos cibernéticos del sistema eléctrico a granel.
En general, PatchAssure de Doble es una solución de administración de revisiones potente e integral que puede ayudar a las empresas de servicios públicos a cumplir los requisitos del CIP-007-6 R2 de NERC y a mantener la integridad y la autenticidad del software utilizado en los activos cibernéticos del sistema eléctrico a granel y a proteger estos activos de las ciberamenazas.
Un programa de activos cibernéticos transitorios (TCA) puede ayudar a las empresas de servicios públicos de varias maneras:
1. Los TCA pueden proporcionar un método seguro y controlado para acceder y controlar los activos cibernéticos del sistema eléctrico a granel (BES): Los TCA se pueden equipar con controles de seguridad, como el cifrado, los controles de acceso y los controles de administración de dispositivos, y se pueden monitorear y administrar de manera centralizada, lo que puede ayudar a garantizar que se usen de manera segura y controlada.
2. Los TCA pueden ayudar a mejorar la eficiencia y la eficacia de las operaciones de los servicios públicos: Al proporcionar una forma segura y conveniente para que el personal acceda y controle los activos cibernéticos del BES, los TCA pueden ayudar a mejorar la eficiencia y la eficacia de las operaciones de los servicios públicos y reducir el riesgo de errores o retrasos.
3. Los TCA pueden ayudar a las empresas de servicios públicos a cumplir con los requisitos normativos, como las normas PIC de NERC, que incluyen requisitos para la protección de los TCA contra los riesgos de ciberseguridad.
En general, un programa de TCA puede ayudar a las empresas de servicios públicos a mejorar la seguridad, la eficiencia y la eficacia de sus operaciones, y las puede ayudar a cumplir con los requisitos normativos.
Al usar soluciones como PatchAssure de Doble y participar en programas como el Programa de activos cibernéticos transitorios, las empresas de servicios públicos pueden mitigar mejor el riesgo de ciberataques y proteger sus operaciones y a sus clientes. Estas soluciones pueden ayudar a las empresas de servicios públicos a proteger sus sistemas de TO contra las vulnerabilidades conocidas y a desarrollar una postura de ciberseguridad sólida para protegerse contra futuras amenazas. Además, las empresas de servicios públicos también pueden beneficiarse de seguir las mejores prácticas descritas en el Marco de ciberseguridad, [7]un conjunto de pautas voluntarias, basadas en el consenso e impulsadas por la industria desarrolladas por el Departamento de Seguridad Nacional en respuesta a la Orden Ejecutiva 13800 [8].
Referencias:
- Orden ejecutiva 13636, «Mejoras de la ciberseguridad de la infraestructura crítica». La Casa Blanca. (Consultado el 8 de febrero de 2023)
- El ciberataque al oleoducto estadounidense y su impacto en los precios del petróleo. iasscore.in. (Consultado el 8 de febrero de 2023)
- El NIST y la Corporación de Confiabilidad Eléctrica de Norteamérica publican una guía para la ciberseguridad del sistema eléctrico a granel. Instituto Nacional de Estándares y Tecnología. (Consultado el 8 de febrero de 2023)
- Estándares de confiabilidad de EE. UU. Corporación de Confiabilidad Eléctrica de Norteamérica. (Consultado el 8 de febrero de 2023)
- PatchAssure de Doble. Doble. (Consultado el 8 de febrero de 2023)
- TCA de Doble. Doble. (Consultado el 8 de febrero de 2023)
- Marco de ciberseguridad. Instituto Nacional de Estándares y Tecnología. (Consultado el 8 de febrero de 2023)
- Orden ejecutiva 13800, «Fortalecimiento de la ciberseguridad de las redes federales y la infraestructura crítica». Agencia de seguridad cibernética y de las infraestructuras. (Consultado el 8 de febrero de 2023)