Durante el transcurso de 2020, el gobierno de Estados Unidos fue atacado en una de las violaciones de seguridad más grandes del mundo. Los ciberdelincuentes accedieron a una serie de agencias federales, incluido el Tesoro y los departamentos de comercio y seguridad nacional. Se cree, también, que apuntaron al sector energético, con lo que podría haber tenido consecuencias potencialmente devastadoras.
La Comisión Electrotécnica Internacional, IEC, publica cada dos meses la revista e-tech. Aquí se reproducen algunos de sus contenidos, traducidos por la Asociación Española de Normalización, UNE. e-tech incluye reportajes que muestran los beneficios de la aplicación de las normas electrotécnicas internacionales.
Michael A. Mullane
Los ataques al gobierno de Estados Unidos han servido como una poderosa advertencia y, ante ello, la nueva administración estadounidense ha reaccionado convirtiendo en prioridad máxima el mantenimiento de la red eléctrica. Un ciberataque exitoso contra la red eléctrica podría paralizar al país, alterando gravemente la infraestructura y los servicios, como semáforos, hospitales, sistemas de agua y fabricación. El Departamento de Energía de EE. UU. ha reunido a expertos de la industria para asesorar al gobierno sobre estrategias para mantener la resistencia de la red. Uno de los problemas más urgentes con los que tendrán que lidiar es la vulnerabilidad de la cadena de suministro, mientras que la transformación digital y la pandemia de coronavirus se suman a la complejidad de la situación.
Ahora se sabe que los ciberdelincuentes responsables de los ataques de 2020 se infiltraron en un proveedor externo que proporciona software de gestión de red al gobierno y a los clientes corporativos. Los analistas sospechan que los piratas informáticos habrían apuntado a la cadena de suministro para evitar ser detectados por los sistemas de seguridad más poderosos del gobierno de EE. UU. Este tipo de ataques es una preocupación creciente. La investigación realizada por la empresa de ciberseguridad BlueVoyant sugiere que más del 80 % de las organizaciones han experimentado una violación de datos como resultado de vulnerabilidades de seguridad en sus cadenas de suministro. Ya en 2018, el Departamento de Defensa de EE. UU. recomendó fortalecer la capacidad de recuperación de la cadena de suministro del país.
Entender las cadenas de suministro
Las cadenas de suministro abarcan organizaciones, personas, actividades, información y recursos. Son especialmente vulnerables debido a sus complejas interacciones con las operaciones de la planta, empleados, clientes y transportistas, entre otros. Puede ser difícil conocer, y mucho menos controlar, los procedimientos de seguridad que se utilizan a lo largo de la cadena. Desde un punto de vista legal, esto dificulta mucho la vida de los compradores, ya que incorporan las prácticas de seguridad de los proveedores a sus propios perfiles de riesgo. En un caso famoso y de alto perfil de hace unos años, el gigante minorista estadounidense Target se vio obligado a pagar decenas de millones de dólares en acuerdos legales y otros costes cuando los ciberdelincuentes utilizaron las credenciales de red de una empresa de aire acondicionado para robar datos personales de decenas de millones de titulares de tarjetas de crédito y débito.
A veces puede resultar difícil para los líderes de servicios públicos y los profesionales de seguridad saber por dónde empezar. Los estándares internacionales y la evaluación de la conformidad proporcionan un marco basado en las mejores prácticas y las opiniones consensuadas de los principales expertos de todo el mundo. Sin embargo, es de vital importancia elegir los adecuados para mitigar los riesgos. Por ejemplo, los sistemas de Tecnologías de la Información (TI), como los que se encuentran en las agencias gubernamentales o las sedes de las empresas, requieren diferentes soluciones para los sistemas ciberfísicos, como la red eléctrica, que utiliza tecnología operativa (TO).
TI vs TO
El crecimiento del Internet Industrial de las Cosas (IIoT) ha acelerado la convergencia de los dominios que alguna vez estuvieron separados de TI y TO. La red inteligente está conectada a una serie de sensores y monitores que recopilan, analizan y comunican datos con otros dispositivos y sistemas con el objetivo de mejorar la producción, la calidad y la coherencia. Sin embargo, las ganancias en eficiencia tienen un precio, ya que una mayor conectividad crea una mayor superficie de ataque para los actores de amenazas. El trabajo remoto impulsado por la pandemia del coronavirus está complicando aún más la situación al proporcionar a los ciberdelincuentes más debilidades y vulnerabilidades para explotar, como redes domésticas inseguras o mal aseguradas.
La seguridad de TI se centra, en igual medida, en proteger la confidencialidad, integridad y disponibilidad de los datos. Por el contrario, la prioridad para TO es la disponibilidad. Los sistemas ciberfísicos deben seguir funcionando, incluso perdiendo datos. El apagado, a menudo la primera línea de defensa de los sistemas de TI, no es una opción para TO y, en el peor de los casos, puede amenazar la seguridad del personal o causar daños catastróficos al medio ambiente. En el mundo ciberfísico, todo está orientado al movimiento físico y al control de dispositivos y procesos para mantener los sistemas funcionando según lo previsto, con un enfoque principal en la seguridad y una mayor eficiencia. Por ejemplo, TO ayuda a garantizar que un generador se ponga en funcionamiento cuando haya un aumento en la demanda de electricidad o que se abra una válvula de rebose cuando un tanque de productos químicos esté lleno, para evitar derrames de sustancias peligrosas.
Protección de las cadenas de suministro de TI
Las agencias gubernamentales y la mayoría de las empresas privadas pueden defenderse mediante la implementación de un sistema de seguridad de gestión de la información (SGSI), como el que se describe en la Norma ISO/IEC 27001. La conocida norma internacional define un enfoque basado en la gestión del riesgo cibernético para gestionar personas, procesos, servicios y tecnología. Otro estándar de la familia ISO/IEC 27000, las cuatro partes de la Norma ISO/IEC 27036, proporciona orientación sobre seguridad de la información para relaciones con terceros.
El uso de la ISO/IEC 27001 ayuda a las organizaciones a gestionar sus riesgos de seguridad de la información, incluidas amenazas, vulnerabilidades e impactos. Les muestra cómo crear controles para proteger la confidencialidad, integridad y disponibilidad de los datos y para regular el acceso a redes y sistemas de información críticos. Además, la Norma ISO/IEC 27001 es ahora parte del esquema de proceso aprobado que proporciona la evaluación independiente y la emisión de un certificado de conformidad IECQ internacional para organizaciones que han demostrado el cumplimiento con normas relevantes. Las evaluaciones de las instalaciones IECQ ISMS bajo el esquema IECQ AP aseguran un enfoque en los elementos técnicos y administrativos clave que brindan confianza en el cumplimiento de los requisitos según la ISO/IEC 27001.
Protección de las cadenas de suministro de TO
La Norma IEC 62443 está diseñada para mantener en funcionamiento los sistemas ciberfísicos. Se puede aplicar a cualquier entorno industrial, incluidas las instalaciones de infraestructura crítica, como las centrales eléctricas o las centrales nucleares, así como en los sectores de la salud y el transporte, por ejemplo.
En conjunto, las Normas IEC 62443-2-4, IEC 62443-3-3, IEC 62443-4-1 e IEC 62443-4-2 pueden proporcionar una solución eficaz para cadenas de suministro industriales, especialmente cuando se combinan con el esquema de evaluación de conformidad IECEE. El programa de ciberseguridad industrial del Sistema IEC de Esquemas de Evaluación de la Conformidad para Equipos y Componentes Electrotécnicos prueba y certifica la ciberseguridad en el sector de la automatización industrial.
Seguridad de un extremo a otro
Mitigar el riesgo de terceros significa asegurar un proceso comercial desde la cadena de suministro entrante hasta la saliente para evitar interrupciones y administrar el riesgo, incluido el financiero. Sin embargo, en el análisis final, no existe una forma sostenible de proteger todos los activos todo el tiempo. Las organizaciones, ya sea que utilicen tecnologías de TI y TO, deben poder identificar sus activos críticos, sin los cuales no podrían funcionar. Asegurar que esos activos estén protegidos es la mejor manera de lograr la resiliencia cibernética. Es a lo que los estándares internacionales se refieren como un enfoque de seguridad cibernético basado en riesgos.