“Entender de dónde viene la amenaza es útil desde la perspectiva de la ciberestrategia nacional, la defensa y la inteligencia. También puede ayudar a determinar cómo priorizar las reparaciones en función de las motivaciones de los actores de la amenaza. Más allá de eso, saber de dónde viene una amenaza tiene poco impacto en cómo responde una organización. Para casi todas las organizaciones, las prácticas de gestión de riesgos de ciberseguridad son las mismas, independientemente de que el ataque provenga de los rusos, de otros estados nacionales, de ciberdelincuentes o de otros actores mal intencionados”.
Así lo dio a conocer Amit Yoran, director general y presidente de Tenable, en su intervención en la audiencia del Comité de Seguridad Nacional de los Estados Unidos titulada “Movilización de nuestras defensas cibernéticas: asegurar las infraestructuras críticas contra las amenazas cibernéticas rusas”.
“El ransomware contra los proveedores de infraestructuras críticas es increíblemente rentable para los ciberdelincuentes, como demuestra la filtración de datos del ransomware Conti. … Todos los sectores de las infraestructuras críticas siguen experimentando una transformación digital, lo que se traduce en una superficie de ciberataque cada vez mayor. Las inversiones en nuevas tecnologías representan grandes oportunidades de eficiencia, como el paso a las fábricas y ciudades inteligentes, pero estos cambios pueden introducir verdaderas brechas en la seguridad. Sin mejoras en la seguridad y la resiliencia, los proveedores de infraestructuras críticas no están preparados para hacer frente a las ciberamenazas”, destacó el directivo.
Refiriéndose a las amenazas a las que se enfrentan las infraestructuras críticas debido a la rápida conectividad y a los riesgos de la convergencia entre las TI y las tecnologías de la información, Amit Yoran dijo: “una evaluación reciente de un motor de búsqueda disponible para dispositivos conectados a Internet reveló que más de 28.000 sistemas de control industrial (ICS) y de control de supervisión y adquisición de datos (SCADA) son directamente accesibles desde Internet. Si bien no se puede acceder directamente desde Internet, se puede acceder a un número incontable de ellos a través de portales de servicios cada vez más populares, que a su vez pueden verse comprometidos.
El director de Tenable resaltó:”si combinamos esto con el error humano y la frecuencia del software mal configurado, y con la rápida conectividad necesaria para mantener el funcionamiento eficiente de los entornos OT actuales, es posible que estemos entrando en una era que acelera exponencialmente los fallos de ciberseguridad sistémicos. Los sistemas que están interconectados de formas que no fueron diseñadas conducen a la complejidad y engendran inseguridad”.
“Estos sistemas, y otras tecnologías de OT (Tecnología Operativa) utilizadas en entornos de infraestructuras críticas, son notoriamente difíciles de parchear porque los sistemas tienen que ser desmontados y probados a fondo cada vez que se realiza una actualización. Los modelos operativos existentes para la mayoría de los entornos de OT, como las centrales eléctricas, los gasoductos y las plantas de fabricación, dejan poco margen para el tiempo de inactividad. Estas empresas han tratado históricamente de reducir su exposición mediante una gran segmentación de sus entornos, pero el aumento de la convergencia TI/OT está haciendo que la segmentación sea menos eficaz, lo que da lugar a sistemas que no pueden ser parcheados o asegurados como objetivos”, enfatizó el ejecutivo.
Sobre lo que pueden hacer las organizaciones para protegerse mejor, Yoran añadió: “los proveedores de infraestructuras críticas tienen el deber de cuidado, que se pone de relieve en tiempos turbulentos, de ser administradores responsables de los servicios en los que se confía. Protegerse significa saber qué hay en su red y mantenerla en buen estado de funcionamiento, lo que incluye protegerse contra las vulnerabilidades conocidas.
“A medida que más personas tienen acceso a estos sistemas, la seguridad se rompe rápidamente a menos que se apliquen prácticas estrictas de gestión de la identidad. Los sistemas deben tratarse como si un adversario sofisticado ya tuviera o pudiera tener acceso”.
Al concluir su testimonio, Amit Yoran dijo: “hay pasos fundamentales que todos los proveedores deben dar, desde saber qué hay en su red y cómo son vulnerables esos sistemas hasta abordar esas exposiciones, y desde controlar el acceso y los privilegios de los usuarios hasta gestionar los sistemas críticos que están interconectados, que harán más difícil que los malos actores comprometan las infraestructuras críticas.
“Muchos entornos operativos críticos carecen de un enfoque sistémico formal para las evaluaciones de riesgos y los procesos, por no hablar de la visibilidad continua que se espera para los servicios críticos y los objetivos de alto valor. Estos procesos formales se necesitan desesperadamente, ya que el rápido aumento del acceso y la interconectividad incrementan drásticamente el riesgo. En estos casos, la regulación de la transparencia y las normas de atención pueden ayudar a impulsar la mejora de las prácticas de gestión de riesgos y, al mismo tiempo, fomentar la innovación”, finalizó el CEO de Tenable.