editor web
El Pacific Northwest National Laboratory (PNNL), contratista federal del Departamento de Energía de los Estados Unidos (DOE), en conjunto con McAfee, reveló los hallazgos de un informe titulado “Evaluación de la seguridad tecnológica para capacidades y aplicabilidad en los sistemas de control industrial en el sector energético: control de aplicaciones de McAfee, control de cambios, control de integridad”.
Por primera vez, el informe examina por completo los actuales desafíos que enfrenta la infraestructura fundamental y los recursos clave, así como también la identificación de riesgos específicos y vulnerabilidades en el panorama de las amenazas cibernéticas en constante a la evolución. Este estudio analiza cuidadosamente el valor y la eficacia de las soluciones de seguridad integradas necesarias para respaldar la misión de seguridad nacional con respecto a asegurar los entornos de los sistemas de control industrial. Además, el gran desafío para los propietarios y operadores del sector energético e infraestructura fundamental, según lo identificado en el informe, es cómo asegurar de manera eficaz sus sistemas de control dentro de sus dominios de dirección y técnicos en un entorno activo y con capacidad de amenazas persistentes avanzadas.
“Cuando se crearon por primera vez los sistemas de infraestructura fundamental, no se consideró ni la seguridad ni el mal uso, señaló Philip A. Craig Jr, científico de investigación de seguridad cibernética de alto nivel e investigador de la Directiva de seguridad nacional del Pacific Northwest National Laboratory. “En la actualidad, continuamos centrándonos en mejorar la seguridad de los sistemas de control. Los obsoletos métodos de seguridad que utilizan confusas y distintas herramientas de seguridad apiladas de varios proveedores solo retrasarán el ataque cibernético, al proporcionar diversas oportunidades para que el adversario cibernético -más avanzado y moderno- ataque las posturas de seguridad cibernéticas en toda la infraestructura fundamental”.
En este informe, PNNL y DOE han identificado las siguientes vulnerabilidades de los entornos de los sistemas de control:
• Mayor exposición: las redes de comunicación que enlazan dispositivos y sistemas de red inteligente crearán muchos y más puntos de acceso a estos dispositivos, lo cual tiene como resultado la exposición a posibles ataques.
• Interconectividad: las redes de comunicación estarán más interconectadas, exponiendo aún más al sistema a posibles fallas y ataques.
• Complejidad: el sistema eléctrico se hará mucho más complejo a medida que se enlacen más subsistemas.
• Tecnologías informáticas comunes: la red inteligente utilizará, cada vez más, tecnologías informáticas comunes, comercialmente disponibles y estará sujeta a sus debilidades.
• Mayor automatización: las redes de comunicación generarán, reunirán y utilizarán datos de maneras nuevas e innovadoras cuando las tecnologías de la red inteligente automaticen muchas funciones. El uso incorrecto de estos datos presenta nuevos riesgos para la seguridad nacional de nuestra economía.
El informe también examina cómo las vulnerabilidades emergentes de los sistemas de control continúan en aumento. El ataque cibernético en la actualidad ha evolucionado hasta sofisticadas y cuidadosamente bien diseñadas armas digitales destinadas a propósitos específicos como los virus Stuxnet y Duqu.
“Cada vez se están adoptando más infraestructuras en las que los sistemas de control afectan diariamente nuestras vidas, como las redes inteligentes; sin embargo, todavía carecen de la seguridad adecuada para evitar sofisticados ataques cibernéticos”, señaló el Dr. Phyllis Scheck, vicepresidente y gerente de informática del sector público global de McAfee. “Lograr la seguridad mediante el diseño es esencial en la infraestructura fundamental de seguridad. La seguridad cibernética se debe incorporar en los sistemas y las redes al comienzo del proceso de diseño, de modo a que pase a ser una parte integral del funcionamiento del sistema”.
Además de los sistemas de control, el informe también examina el impacto de las nuevas tecnologías que afectan al sector energético. A medida que la tecnología informática y de comunicación avanza y se va integrando en las operaciones de los sistemas de energía y en las funciones de planificación, se crean redes inteligentes, las cuales generan una mayor visibilidad del estado del sistema y progresos en el control para mejorar las eficacias del sistema. A pesar de los importantes beneficios de la naturaleza dinámica de la red de energía, esta no está diseñada teniendo en mente la seguridad cibernética.
En un esfuerzo por evitar vulnerabilidades y mitigar ataques a los sistemas de control el informe menciona las siguientes soluciones:
• Listas aprobadas dinámicas: proporcionan la capacidad de negar las aplicaciones no autorizadas y codificar servidores, computadoras de escritorio corporativas y dispositivos con funciones fijas.
• Protección de memoria: se niega la ejecución no autorizada y se bloquean e informan las vulnerabilidades.
• Supervisión de integridad de archivo: se informa cualquier cambio, adición, eliminación, cambio de nombre, cambios de atributos, modificación de ACL y modificación del propietario. Esto incluye redes compartidas.
• Protección contra escritura: la escritura en discos duros solo se autoriza al sistema operativo, la aplicación, la configuración y los archivos de registro. Se niega a todo el resto.
• Protección de lectura: la lectura se autoriza solo a archivos, directorios, volúmenes y comandos especificados. Se niega a todo el resto.
