Un ciberataque exitoso en un banco suele ser «solo» dinero. Y por supuesto sobre los datos personales. En caso de un ciberataque a la tecnología operativa, podrían estar en juego vidas. Estamos hablando de centrales eléctricas, plantas de agua, gestión térmica, pero también hospitales y laboratorios.
Si un ciberataque paralizara la industria automotriz eslovaca, las pérdidas serían astronómicas. Sin embargo, basta imaginar un ataque a una pequeña fábrica en un valle «hambriento» oa una empresa familiar que funciona desde hace dos décadas.
deudas del pasado
Marián Klačo, Head of Information Security de Volkswagen Eslovaquia, dice que las tecnologías operativas utilizadas no resuelven el problema de la ciberseguridad, y lo explica enseguida. “En la producción, se trataba principalmente de la disponibilidad y no del secreto o la seguridad de sus ingredientes, pero incluso este es un fenómeno que ya se superó.
La digitalización, la necesidad de monitoreo en línea de los procesos de producción, el mantenimiento predictivo y la llegada de los servicios en la nube han unido los mundos de la seguridad de TI y OT. Sin embargo, al mismo tiempo, las amenazas que en el pasado estaban en el dominio del entorno de TI también se han producido en las tecnologías operativas.
ya no se puede parar
Los atacantes de hoy se enfocan en causar daño físico, que es el resultado directo del daño al proceso de fabricación. Y todavía tienen muchas oportunidades.
Cada año, se implementan una serie de dispositivos IoT que carecen o no tienen funciones de seguridad. Esto conducirá a más y más ataques DDoS.
Guardia de seguridad experimentado OT David Dvořák de la empresa auditorio.es Identifica los entornos industriales como altamente vulnerables a los ataques de las cadenas de suministro, por ejemplo, a través de software económico o de telecomunicaciones.
El director de seguridad de la información de Stredoslovenská Distribučná, Tibor Paulen, ya ve las consecuencias en Eslovaquia: «Los gerentes de los sectores industriales comienzan a darse cuenta de que, en situaciones específicas, la automatización y la digitalización de sus procesos tecnológicos no solo traen ventajas, sino también riesgos».
sorpresa general
Si envía una pregunta sobre la seguridad de los OT a los profesionales de la industria eslovacos, la mitad de ellos se «afrontarán» o se disculparán. O no existen. La falta de profesionales de ciberseguridad que se especialicen en seguridad de aplicaciones operativas es una realidad muy apremiante.
Sin embargo, este año hubo una sorpresa: los encuestados informan que la seguridad de las aplicaciones operativas está cada vez más en la mira de las organizaciones, y que cada vez más líderes de empresas con un entorno industrial consideran importante la ciberseguridad. Sin embargo, como agrega inmediatamente David Dvořák, aún no ha alcanzado la masa crítica.
Entusiasmo limitado
Roman Čupka, consultor sénior de Progress Software, también confirma las opiniones de sus colegas. “Observo las inversiones en los pilares centrales de la seguridad del entorno OT”. Hay segmentación y monitoreo de redes industriales y también un esfuerzo por aprender la seguridad de los dispositivos finales.
Sin embargo, estos son solo pasos parciales y no reflejan las necesidades generales de asegurar este entorno. Ejemplos específicos son hospitales, plantas de calefacción y plantas de agua que merecen más atención. Muchas organizaciones sufren de deuda técnica, y si no pueden utilizar las inversiones del plan de recuperación o los fondos europeos, es muy triste.
Sin embargo, Roman Čupka todavía ve deficiencias fundamentales en la concienciación sobre ciberseguridad. «La presión legislativa no ayudará si no alertamos a los profesionales e ingenieros de OT para que acepten los riesgos potenciales asociados con este problema».
todos hablan de eso
La nueva Directiva sobre Seguridad de Redes y Sistemas de Información NIS2 es la legislación más enfática. Como señala el Director del Centro Nacional de Ciberseguridad SK-CERT, Rastislav Januta, el número de sujetos obligados también aumentará en el ámbito de las empresas manufactureras de diversos sectores.
Se estima que habrá cientos o miles de nuevas personas obligatorias en Eslovaquia el próximo año, que estarán sujetas a las obligaciones existentes y nuevas en virtud de la Ley de Seguridad Cibernética.
Esto afecta, por ejemplo, a la investigación, la producción de dispositivos médicos y medicamentos, pero también a la producción, procesamiento y distribución de alimentos, la producción de computadoras, equipos eléctricos para vehículos y otros equipos de transporte. Algunos de ellos ya están discutiendo sobre la falta de fondos y trabajadores calificados.
Algo para sus propias filas
No encontraremos los especialistas necesarios en el campo de la ciberseguridad y la seguridad OT aquí incluso hasta la modificación de la ley de ciberseguridad. Las empresas manufactureras tendrán que cambiar de preparación. Los profesionales de TI y TO necesitan colaborar y comunicarse más en todos los niveles.
“Incluso la inclusión de un gerente de seguridad cibernética en la estructura de gestión de la empresa habla de prioridades de gestión que deben respetarse”, comparte su experiencia Jana Puškáčová, Directora del Departamento de Seguridad de la Información de MOL IT & Digital GBS Slovakia. Sin el apoyo y la participación de la alta dirección, los propietarios de activos y procesos, así como los operadores del sistema, incluso las mejores recomendaciones son en vano.
El rol del Gerente de Seguridad es y seguirá siendo administrar los riesgos de seguridad. Sin embargo, en el contexto del valor comercial agregado, este valor agregado debe comunicarse claramente.
Seamos honestos
El ciclo de vida de las tecnologías de TI es de dos a tres años, en el caso de las tecnologías operativas de dos a tres décadas. En el pasado, estos entornos operaban más o menos por separado y, a veces, eran difíciles de entender.
Las tecnologías y los recursos humanos con más años de servicio a menudo no pueden y están dispuestos a adaptarse a las últimas soluciones y procedimientos de seguridad. La implementación también se relaciona con la necesidad de un conocimiento íntimo del entorno, como resultado de lo cual los proyectos de seguridad para tecnologías operativas pueden llevar más tiempo y requieren una preparación del entorno que afecta a las propias tecnologías.
En conclusión, prácticamente
Si Marián Klačo va a crear una lista de medidas tecnológicas para sus compañeros, además del mencionado hash de redes OT, es necesario desactivar aplicaciones o servicios innecesarios, eliminar contraseñas preestablecidas, administrar y parchear vulnerabilidades. Sin embargo, no debe olvidarse que la medida básica sigue siendo la gestión de activos.
Además de las herramientas especializadas, el experto en ciberseguridad Josef Balint de Allison Slovakia nos recuerda que debemos garantizar el cumplimiento de los estándares de la industria. En el sistema de seguridad subyacente, las empresas deben prestar atención al inventario automatizado regular de dispositivos y sus vulnerabilidades, el monitoreo continuo de las redes y la detección de amenazas y anomalías en tiempo real.
El reto actual es Garantía de visibilidad En redes operativas y de TI interconectadas, automatización manual de procesos, gestión de vulnerabilidades, análisis forense y capacidades de respuesta a incidentes, incluida la alerta temprana. Porque no será más fácil.
