Una falla cibernética en la Infraestructura Crítica Nacional (CNI) podría tener un impacto catastrófico en la economía del país. Joseph Carson, científico jefe de seguridad de Thycotic, explica el impacto de los ataques CNI y cómo recuperar el control.
No todas las ciberamenazas son iguales. Si bien cada ataque será una mala noticia para alguien, algunos incidentes de seguridad pueden afectar la estabilidad de toda una nación. La Infraestructura Nacional Crítica (CNI), que comprende servicios esenciales como agua, transporte y energía, es quizás el área con mayor capacidad de causar daños.
Estos activos clave representan una unión importante entre lo digital y lo físico de una manera que se ve en pocas otras industrias. Una infracción sufrida por un minorista, por ejemplo, dañará las ganancias de la organización y potencialmente pondrá a los clientes en la línea de fuego de los estafadores. En comparación, un ataque grave contra la CNI podría tener un impacto catastrófico en la economía nacional e incluso amenazar vidas humanas.
El mundo moderno depende en gran medida del funcionamiento eficaz de CNI clave y, como resultado, es muy vulnerable a cualquier interrupción. Un ataque a la red eléctrica podría cerrar la industria y poner en peligro vidas ya que los hospitales y otras instalaciones esenciales no pueden funcionar, mientras que interferir con la infraestructura de transporte, como las redes ferroviarias, podría interrumpir las operaciones comerciales y el suministro de alimentos.
Afortunadamente, estos ataques son extremadamente raros en comparación con el flujo constante de la actividad ciberdelincuente estándar. Por un lado, atacar los activos de CNI normalmente requiere conocimientos y herramientas mucho más especializados en comparación con un negocio comercial estándar. Sin embargo, lo que es más importante, la mayoría de los actores de amenazas están motivados por el simple beneficio y hay poca ganancia financiera directa al interrumpir la CNI.
Debido a esto, los ataques a CNI suelen ser dominio de actores de amenazas de alto nivel que trabajan en nombre de los estados nacionales. De hecho, según una investigación del Ponemon Institute, casi una cuarta parte de todas las empresas de CNI informan que han sido víctimas de un ataque de un estado nacional en los últimos dos años.
El impacto de los ataques CNI reales
Estos ataques se llevan a cabo a menudo como una alternativa a la guerra cinética tradicional. Los ciberataques son notoriamente difíciles de rastrear y, por lo tanto, tienen un alto grado de negación plausible, especialmente en comparación con el lanzamiento de un ataque aéreo. Uno de los mejores ejemplos de esta estrategia fue el ataque de 2010 al programa nuclear de Irán. El notorio virus Stuxnet, hecho a medida para atacar los sistemas de control industrial, causó estragos en el desarrollo nuclear de Irán y se cree que destruyó alrededor del 20% de las centrifugadoras nucleares del país.
Los ataques contra la CNI también se pueden utilizar para transmitir un mensaje político potente. En otro caso de ataque a la infraestructura eléctrica, Ucrania sufrió graves ataques a su red eléctrica en 2015 y nuevamente en 2016.Se cree que los ataques fueron obra del grupo de amenazas avanzadas persistentes (APT) patrocinado por Rusia llamado Sandworm y se correlacionó con el aumento de las tensiones y los incidentes de guerra cinética entre Ucrania y Rusia en ese momento. Los ataques dieron una idea de lo disruptivo que puede ser atacar a CNI, y el incidente de 2015 dejó a unos 225.000 ucranianos en un apagón sostenido durante varias horas.
Si bien estos incidentes evidentes son afortunadamente pocos y distantes entre sí, CNI en realidad se enfrenta a una amenaza casi constante de ataques cibernéticos. Ponemon descubrió que nueve de cada 10 proveedores de CNI han sido dañados por un ciberataque solo en los últimos dos años.
El desafío de asegurar CNI
Los ataques dirigidos a CNI tienden a ser el trabajo de grupos de amenazas persistentes avanzadas (APT) que trabajan en nombre de los estados nacionales con objetivos específicos. Es difícil defenderse contra adversarios de alto nivel, ya que tienen el tiempo y los recursos necesarios para probar repetidamente las medidas de seguridad y encontrar brechas, mientras que los delincuentes más oportunistas en busca de ganancias optarán por objetivos blandos.
Además de enfrentar atacantes particularmente tenaces, la mayoría de las áreas de CNI también deben lidiar con una infraestructura de red compleja que es difícil de proteger. La tecnología operativa (OT), los sistemas utilizados para administrar el equipo industrial pesado común en estos sectores, a menudo opera de una manera muy diferente a la TI tradicional. Los sistemas a menudo se han diseñado con una vida útil de décadas en mente y no encajan con el mundo en rápido movimiento de las redes de TI modernas.
Obtener una visibilidad y una gestión centralizadas de un entorno tan complejo puede ser un gran desafío; de hecho, Fortinet informa que el 78% de los CISO tienen una visibilidad central limitada de sus entornos de OT. Esta vista limitada crea brechas que pueden ser explotadas por los actores de amenazas, lo que les permite infiltrarse en la red y moverse entre sistemas sin ser detectados.
La arquitectura de red conflictiva también significa que las medidas de seguridad estándar como el control de acceso basado en roles (RBAC) y la autenticación de dos factores (2FA) son casi imposibles de implementar sin herramientas diseñadas específicamente.
Estos problemas elevan la amenaza potencial de que un actor del estado nacional se infiltre en el sistema y cause graves trastornos. Contra este riesgo, la directiva de Redes y Sistemas de Información (NIS) de la UE exige que las empresas de CNI deben elevar sus niveles de seguridad general y resistencia de la red o enfrentar sanciones significativas.
Recuperar el control de CNI
Si bien los sistemas OT presentan algunos desafíos de seguridad difíciles, aún pueden protegerse con la combinación correcta de tecnología y procesos. Las organizaciones de CNI deben seguir un enfoque de “defensa en profundidad” que aproveche múltiples capas de seguridad para dar cuenta de la complejidad de su red.
Una de las áreas más esenciales en las que centrarse es recuperar la visibilidad y el control de la red en su conjunto, incluidos los distintos sistemas de TI y OT. En particular, esto significa tener un dominio firme de cómo se accede a los sistemas. Al igual que con las redes de TI más tradicionales, los actores de amenazas casi siempre buscarán adquirir credenciales de usuario que les otorguen derechos de acceso privilegiado al sistema.
La implementación de un enfoque sólido de administración de acceso de privilegios (PAM) contrarrestará esta amenaza mediante la introducción de una serie de medidas que incluyen garantizar una política de contraseñas sólida, rotación de contraseñas, RBAC y 2FA. El análisis de comportamiento también se puede utilizar para detectar comportamientos inusuales y obligar automáticamente a los usuarios sospechosos a volver a autenticarse y verificar su identidad.
Sin embargo, un sistema PAM solo será eficaz si puede cubrir todo el entorno sin lagunas. La solución debe poder acomodar todos los sistemas de TI y OT, como ICS y SCADA, así como otras tecnologías conectadas como IoT.
Esto también permitirá a la organización realizar auditorías, alertas y análisis que son clave para cumplir con los auditores de NIS. Sin embargo, lo que es más importante, con un único punto centralizado de visibilidad y administración para el acceso y la actividad de todos los usuarios, los operadores de CNI podrán reducir significativamente el riesgo de que un actor de amenazas se infiltre en la red y explote sus sistemas para causar crisis a nivel nacional
