//php echo do_shortcode(‘[responsivevoice_button voice=»US English Male» buttontext=»Listen to Post»]’) ?>
Apenas un mes antes de que Rusia invadiera Ucrania y la conciencia de seguridad de todos se disparara, la Casa Blanca anunció que ahora incluiría sistemas de tratamiento de agua potable y aguas residuales en la iniciativa de ciberseguridad de Sistemas de Control Industrial (ICS) del FBI.
Pero eso no es realmente un alivio, da miedo. Hasta hace poco, los ataques a los sistemas de agua no ocupaban un lugar muy destacado en los radares de las agencias federales; al menos no públicamente.
Pero el mismo día del anuncio de la Casa Blanca, los funcionarios federales dijeron extraoficialmente a los periodistas que la mayoría de los sistemas de agua potable de EE. UU. eran esencialmente vulnerables a interrupciones a gran escala y calificaron sus defensas cibernéticas como «lamentablemente inadecuadas». Como señaló un funcionario, los esfuerzos federales están limitados por el hecho de que la mayoría de las empresas de servicios públicos de agua son empresas privadas, y hay tantas, hasta 150,000, se estima.
Todo esto se produce después de varios años de continuas advertencias de seguridad cibernética de que los actores de estados-nación extranjeros hostiles tienen como objetivo atacar e interrumpir no solo la red de energía de EE. UU., sino también cualquier servicio público y cualquier organización o instalación con infraestructura crítica. Rusia ha sido la principal fuente de muchas de esas amenazas.
Los ataques altamente visibles de origen ruso incluyen el hackeo del Oleoducto Colonial, el ataque del empacador de carne JBS y el hackeo de SolarWinds.
Pero desde que invadió Ucrania, Rusia ha mejorado su juego. En marzo, el presidente Biden dijo que la «inteligencia en evolución» indicaba que Rusia estaba explorando «oportunidades para posibles ataques cibernéticos» contra EE. UU. en represalia por las sanciones económicas de EE. UU. y sus aliados.
Y en junio, Microsoft informó evidencia de que piratas informáticos rusos respaldados por el estado estaban realizando «espionaje estratégico» contra 42 países que apoyan a Ucrania, con Estados Unidos como objetivo principal. Esto incluye energía y otras instalaciones de infraestructura crítica.
A Oldsmar, Florida, Hack
Incluso antes de que el intento de envenenamiento del agua en Oldsmar, Fla., llegara a los titulares internacionales el año pasado, un pirata informático accedió fácilmente a la red en una planta de tratamiento de agua en el área de San Francisco. El atacante usó el nombre de usuario y la contraseña de un ex empleado, lo que le permitió eliminar los programas que controlan el tratamiento del agua potable.
Desde entonces, se han producido varios ciberataques a instalaciones de agua con mayor o menor éxito.
En julio de 2021, los atacantes que usaron ransomware irrumpieron en dos plantas de tratamiento de aguas residuales en Maine. Aunque no se pagó ningún rescate y los datos de los clientes no se vieron comprometidos, el apagado de la computadora resultante deshabilitó las alarmas que habrían alertado a los trabajadores cuando las bombas se estaban sobrecalentando o los tanques se estaban desbordando.
En octubre pasado, el FBI, la Agencia de Seguridad Nacional (NSA), la Agencia de Protección Ambiental (EPA) y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) emitieron una alerta conjunta que detallaba cinco ataques diferentes conocidos a instalaciones de agua desde marzo de 2019 hasta agosto de 2021. Cuatro de ellos estaban relacionados con ransomware.
El malware diseñado específicamente para una variedad de ICS se hizo muy conocido en abril por atacar redes eléctricas, servicios de agua, refinerías de petróleo y fábricas, lo que provocó una alerta conjunta del Departamento de Energía, CISA, la NSA y el FBI.
El malware, que se denomina alternativamente «Pipedream» o «Incontroller», puede ejecutar una variedad de tácticas y técnicas de ataque conocidas de ICS, según el proveedor de ciberseguridad de ICS, Dragos, que contribuyó con la investigación al aviso. Según el proveedor de ciberseguridad Mandiant, que también contribuyó a la investigación, podría ser de origen ruso.
Los sistemas de agua tienen sus propios problemas de seguridad únicos
Si bien algunos problemas de seguridad cibernética son similares en las industrias de energía, energía, agua y aguas residuales, también existen diferencias importantes, dijo el CEO de Xage, Duncan Greatwood, al EE Times. «En las empresas de servicios eléctricos, FERC y NERC están ocupados escribiendo un nuevo conjunto de requisitos centrados en Zero Trust que fortalecerán aún más el control de acceso en los dispositivos de energía eléctrica», dijo.
La seguridad de los oleoductos y gasoductos también se ha reforzado significativamente desde el ataque de ransomware al Oleoducto Colonial el año pasado. Después de emitir dos códigos de seguridad de tuberías, la Administración de Seguridad del Transporte (TSA) supuestamente presentará un tercer código este verano, dijo Greatwood.
Pero las empresas de agua no están sujetas al mismo nivel de regulación que la red eléctrica, y sus prácticas de ciberseguridad pueden ser «bastante laxas». Estos pueden incluir contraseñas obsoletas, conexiones directas a activos a través de Internet y segmentación de red restringida.
«Un monitoreo más débil de las herramientas de administración de identidad y acceso puede dejar a los ex empleados y ex contratistas con un conocimiento persistente de las credenciales del sistema», dijo. “Durante el cambio a un trabajo más remoto causado por la pandemia, estas prácticas dieron como resultado que los datos aún más confidenciales de estas empresas de servicios públicos y el acceso a sus sistemas de control estuvieran expuestos en Internet”.
Las empresas de agua a menudo tienen recursos financieros y de TI muy limitados. Un informe de 2019 de la American Water Works Association calificó el riesgo cibernético como «la principal amenaza que enfrentan las empresas y la infraestructura crítica» en los EE. UU., incluido el sector del agua. También dijo que las empresas del sector del agua, al igual que otras en infraestructura crítica, “a menudo enfrentan recursos financieros, humanos y tecnológicos inadecuados. Muchas organizaciones tienen presupuestos limitados, sistemas informáticos desactualizados y empleados que pueden carecer del conocimiento y la experiencia para construir sólidas defensas de seguridad cibernética y responder de manera efectiva a los ataques cibernéticos”.
Debido a estas deficiencias, combinadas con la creciente amenaza del ransomware, a las compañías de agua les resulta difícil obtener o retener un seguro cibernético, dijeron ejecutivos de asociaciones y empresas de servicios públicos de agua en una reunión de la industria el año pasado. Según la agencia calificadora AM Best, el ransomware representó el 75% de todas las reclamaciones de seguros cibernéticos en el verano de 2021.
¿Qué hacer?
«En toda la industria de infraestructura crítica, el agua tiene la ruta más larga para llegar a la ciberseguridad», dijo Greatwood. «Sus problemas incluyen la falta de experiencia y nunca han tenido que hacer ningún control de acceso real, por lo que en cierto modo están al comienzo del proceso Zero Trust».
En mayo, la EPA solicitó $4 mil millones para mejoras en la infraestructura de agua y aguas residuales del país, incluidos $25 millones para respaldar las capacidades cibernéticas de los sistemas de agua y $35 millones para asistencia técnica.
Según Greatwood, la EPA también introdujo una regulación para los sistemas de agua que es muy similar a la Pauta de seguridad de tuberías #1 de la TSA. Aunque los activos de agua no necesitan protegerse, los datos de incidentes deben informarse, p. B. el número de ataques, su gravedad y las consecuencias.
«A medida que la EPA pasa por esta primera fase de recopilación de inteligencia, será interesante ver qué hacen más adelante este año», dijo. “Sin embargo, como ha sucedido en estos otros sectores, no basta con obtener mejor información: también debemos proteger.
