- Bogota D.C - Calle 67 N° 7-94 Oficina 604
- 3138834959 - 601 7953297 Ext. 120
Menú
La seguridad de las infraestructuras críticas ha sido una prioridad en la agenda del 2023, ya que los ataques cibernéticos y otros riesgos suponen una amenaza persistente para las tecnologías, la ciberseguridad y los sistemas de los que dependen servicios esenciales como la energía, los alimentos, la electricidad y la atención médica.
La investigación de la empresa de servicios de ciberseguridad Bridewell evaluó el estado actual de las amenazas a la infraestructura nacional crítica (CNI) en el Reino Unido y EE.UU., advirtiendo que las recesiones económicas mundiales, las tensiones geopolíticas, los actores estatales y el ransomware están contribuyendo a aumentar las amenazas a las que se enfrentan las organizaciones y los proveedores en el espacio de CNI.
En abril, se reveló que el grupo de hackers responsable del importante ataque a la cadena de suministro dirigido a la empresa VoIP 3CX, también violó dos organizaciones de infraestructuras críticas en el sector energético, una ubicada en los Estados Unidos y la otra en Europa. Mientras tanto, el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) emitió una alerta sobre una nueva clase de adversario cibernético ruso que amenaza las infraestructuras críticas del Reino Unido. En marzo, la Estrategia Nacional de Ciberseguridad de la Casa Blanca reclasificó el ransomware como una amenaza de seguridad nacional de primer nivel tras una serie de ataques que afectaron a los servicios de la CNI, como proveedores de alimentos, hospitales y escuelas.
En respuesta, este año se han puesto en marcha múltiples iniciativas, programas, orientaciones y estándares para mejorar la ciberseguridad de los sistemas críticos, y abordar los crecientes riesgos que amenazan a la CNI.
En diciembre del 2022, se introdujo en la legislación británica la Ley de Infraestructura de Telecomunicaciones y Seguridad de Productos (PSTI), concediéndose a las organizaciones la duración del 2023 como período de gracia para lograr el cumplimiento de sus nuevas normas. La ley establece disposiciones sobre la seguridad de los productos que se pueden conectar a Internet, y de los productos capaces de conectarse a dichos productos y a la infraestructura de comunicaciones electrónicas. Los productos cubiertos por la legislación vigente (incluyendo los productos de monitoreo de atención médica y los contadores inteligentes), o los productos que son complejos y que algún día podrían tener su propia legislación (por ejemplo, los automóviles autónomos) no están cubiertos por la Ley PSTI.
Tres áreas clave requieren cumplimiento:
En enero entró en vigor en la UE la Directiva de Seguridad de las Redes y Sistemas de Información (NIS2), que introduce un nuevo componente normativo que se extiende a las infraestructuras críticas. Según NIS2, las organizaciones clasificadas como «entidades esenciales”, como proveedores de energía, transporte y atención médica, estarán sujetas a los requisitos más estrictos y a la supervisión regulatoria más completa, incluyendo (potencialmente) inspecciones in situ y auditorías de seguridad específicas e independientes. NIS2 reemplazó la directiva NIS que entró en vigor en la UE en el 2018, y los países de la UE deben cumplir las reglas actualizadas antes de octubre del 2024.
Podría interesarle: Empresas de ciberseguridad duplican ingresos por aumento de 500% en ciberataques
Con los cambios implementados a través de NIS2, los reguladores de la UE están reconociendo el creciente riesgo de ataques cibernéticos en infraestructuras críticas y sus redes de terceros. «En particular, la legislación revisada abarca un espectro más amplio de organizaciones y empresas, imponiendo la obligación de notificar rápidamente a las autoridades pertinentes en un no mayor plazo a 24 horas luego de un ciberataque y establece un estándar mínimo de seguridad de referencia que deben cumplir estas entidades”, señala Tim Callan, director de experiencia en Sectigo.
En enero, la OTAN y la UE acordaron crear un grupo de trabajo sobre resiliencia y protección de infraestructuras críticas. Tras la militarización de la energía por parte del presidente ruso, Vladimir Putin, y el sabotaje de los oleoductos Nord Stream, ambas partes declararon que el grupo de trabajo se enfocará en hacer que la infraestructura crítica, la tecnología y las cadenas de suministro sean más resistentes a las amenazas potenciales, y en tomar medidas para mitigar las vulnerabilidades.
El mes siguiente, altos funcionarios de la OTAN y la UE se reunieron para lanzar oficialmente el Grupo de Trabajo OTAN-UE sobre Resiliencia de Infraestructuras Críticas. La iniciativa reúne a funcionarios de ambas organizaciones para compartir las mejores prácticas y el conocimiento de la situación, junto con el desarrollo de principios para mejorar la resiliencia. El grupo de trabajo comenzó centrándose en cuatro sectores: energía, transporte, infraestructura digital y espacio.
En diciembre del 2022, la OTAN experimentó con la capacidad de la IA para proteger infraestructuras críticas, y los resultados indican que puede ayudar significativamente a identificar actividad de red o patrones de ciberataques a la infraestructura crítica, y detectar malware para permitir una mejor toma de decisiones sobre respuestas defensivas.
En enero, 36 gobiernos y la UE pusieron en marcha el International Counter Ransomware Task Force para combatir los ataques de ransomware que suponen una amenaza para la seguridad nacional, en particular los que afectan a las empresas del sector CNI. Liderada por el gobierno australiano, la coalición tiene como objetivo permitir una colaboración internacional sostenida e impactante diseñada para interrumpir, combatir y defenderse contra las crecientes amenazas de ransomware a través de intercambios de información e inteligencia, compartiendo políticas de buenas prácticas y marcos de autoridad legal, y colaboración entre las autoridades policiales y cibernéticas.
Este grupo de trabajo internacional contra el ransomware tiene un gran potencial en comparación con otras iniciativas del sector y puede llegar a tener un efecto inmediato, asegura Craig Jones, vicepresidente de operaciones de seguridad en Ontinue, proveedor de detección y respuesta gestionadas. «Esto se debe al enfoque internacional sobre el ransomware, la amenaza global más poderosa para las empresas y la infraestructura”.
El SANS Institute ha publicado dos nuevos volúmenes de su Cybersecurity Field Manual de sistemas de control industrial (ICS, por sus siglas en inglés), que proporciona a los profesionales de la ciberseguridad y a los administradores de riesgos de ICS nuevos conocimientos sobre la respuesta a incidentes, la gestión de vulnerabilidades, los conjuntos de habilidades de los defensores, la gestión de equipos y las herramientas/protocolos de seguridad para defender los sistemas. El volumen 2 se publicó en enero, mientras que el volumen 3 se publicó en mayo.
«La serie SANS ICS Cybersecurity Field Manual es una herramienta esencial para todos los profesionales de seguridad de ICS”, señala el experto en ICS, autor del manual de campo e instructor certificado de SANS, Dean Parsons. «Debería estar presente en el escritorio de cada operador de sistema de control, ciberdefensor de infraestructura crítica y administrador de riesgos ICS/OT; en todos los sectores de sistemas de control industrial a nivel mundial”.
En marzo, la Agencia de Ciberseguridad e Infraestructura de EE.UU. (CISA) actualizó sus objetivos de rendimiento de ciberseguridad intersectorial (CPG) para ayudar a establecer un conjunto común de prácticas fundamentales de ciberseguridad para infraestructuras críticas. Los CPG son un subconjunto priorizado de prácticas de ciberseguridad de TI y OT que los propietarios y operadores de infraestructura crítica pueden implementar para reducir significativamente la probabilidad y el impacto de los riesgos conocidos y las técnicas de los adversarios.
La versión 1.0.1 reordenó y volvió a numerar los CPG para alinearse más estrechamente con el marco de seguridad cibernética del NIST. La actualización incluyó una nueva guía relacionada con la autenticación multifactor (MFA) resistente al phishing y la planificación de recuperación de incidentes.
En abril, las empresas globales de ciberseguridad Accenture, IBM y Mandiant se unieron al Programa Elite Cyber Defenders, una nueva iniciativa colaborativa dirigida por Nozomi Networks y diseñada para ayudar a proteger las infraestructuras críticas. El objetivo del programa es proporcionar a los clientes industriales y gubernamentales de todo el mundo, acceso a herramientas sólidas de defensa de ciberseguridad, equipos de respuesta a incidentes e inteligencia de amenazas.
Cada participante del programa ofrecerá programas de evaluación y respuesta a incidentes diseñados a medida para clientes conjuntos, además de comprometerse a trabajar con Nozomi Networks Labs en inteligencia de amenazas compartida e investigación de seguridad conjunta centrada en identificar malware novedoso y nuevos TTP empleados por actores de amenazas.
En abril, un grupo de empresas de seguridad de OT que normalmente compiten entre sí, anunciaron que dejarían de lado sus rivalidades para colaborar en un nuevo sistema de advertencia de amenazas de OT anónimo, de código abierto y de proveedor neutral llamado ETHOS (Emerging Threat Open Sharing).
Creado como una organización sin fines de lucro, ETHOS tiene como objetivo compartir datos sobre indicadores de amenazas tempranas y descubrir ataques nuevos y novedosos que amenacen a las organizaciones industriales que ejecutan servicios esenciales, como la electricidad, el agua, la producción de petróleo y gas, y los sistemas de fabricación. Ya obtuvo el respaldo de la CISA estadounidense, un impulso que podría darle mayor tracción a la iniciativa. Todas las organizaciones, incluyendo los propietarios de activos públicos y privados, pueden contribuir a ETHOS sin costo alguno, y los fundadores prevén que evolucione en la línea del software de código abierto Linux.
Entre los miembros del directorio y la comunidad de ETHOS se encuentran algunas de las principales empresas de seguridad de OT: 1898 & Co., ABS Group, Claroty, Dragos, Forescout, NetRise, Network Perception, Nozomi Networks, Schneider Electric, Tenable y Waterfall Security.
«Este es un esfuerzo comunitario”, asegura Marty Edwards, director adjunto de tecnología de OT e IoT en Tenable. «Esperamos poder conseguir un tercero neutral desde el punto de vista tecnológico [para defender a ETHOS], ya sea una entidad gubernamental, un centro de análisis e intercambio de información o, francamente, quizás tengamos que defender nuestra propia entidad bajo la organización sin fines de lucro”.
En abril, el NCSC del Reino Unido anunció la creación del marco basado en principios (PBA, por sus siglas en inglés) para medir y certificar la resiliencia cibernética de productos y sistemas que, si se ven comprometidos, podrían tener un impacto significativo en la vida de las personas. Esto incluye a CNI, que se enfrenta a importantes amenazas cibernéticas y a atacantes con recursos, habilidades y experiencia trabajando de manera específica, indica el NCSC.
El PBA tendrá un proceso de tres niveles. El primer nivel, fundacional, es la filosofía de un enfoque basado en el riesgo en lugar del cumplimiento. El segundo se trata de desarrollar un método coherente que pueda seguirse, junto con la documentación y las plantillas que deben utilizarse. La etapa final consiste en cómo los proveedores y compradores pueden implementar y acceder al método como un servicio en el mercado de una manera consistente y confiable.
El NCSC publicará el método PBA cuando esté disponible para que las personas puedan comenzar a utilizarlo. Se está trabajando en la capa de servicios para diseñar una forma de escalar la filosofía y el método PBA a través de socios de la industria. Para el próximo año, el NCSC planea tener una red embrionaria de instalaciones de prueba de resiliencia cibernética aprobadas.
En mayo, el gobierno británico lanzó la versión «alfa” de Secure Connected Places: Cybersecurity Playbook para ayudar a las autoridades locales a mejorar la seguridad de sus lugares conectados, incluidas las infraestructuras críticas y los servicios públicos, como los sistemas de energía inteligente que reducen la presión sobre la red. Fue diseñado en colaboración con seis autoridades locales y comprende varios recursos de seguridad cibernética que abarcan temas como la gobernanza, la gestión de la cadena de suministro y adquisiciones, y cómo llevar a cabo un buen análisis de amenazas.
Según el manual, los lugares conectados ofrecen a las autoridades locales una oportunidad para mejorar la calidad de vida de sus ciudadanos. Sin embargo, sin la protección adecuada, la diversidad e interconexión de las tecnologías necesarias para el funcionamiento de los lugares conectados también los hace vulnerables a ciberataques. «Estos ataques pueden provocar daños a la reputación, la pérdida de datos confidenciales y el deterioro de infraestructuras físicas de las que dependen los residentes”.
Basado en el artículo de Michael Hill (CSO) y editado por CIO Perú
FUENTE: Cioperú.com. »10 iniciativas notables de ciberseguridad del 2023» Cioperu.pe. 22/07/2023. (https://cioperu.pe/articulo/37220/10-iniciativas-notables-de-ciberseguridad-del-2023/).
