Industrial cybersecurity in public systems. Today, the water.

Ampliamente hemos hablado de la importancia de los sistemas críticos de un país, y como este ha de protegerlos, vamos a poner un artículo de como están haciendo foco en la protección de un bien clave, como lo es el agua que llega a nuestras casa.

El siguiente texto es la traducción de un artículo de Nozomi Networks, una empresa enfocada a la seguridad IIOT. Que trata del memorando publicado por la EPA (Enviroment Protection Agency) de USA, ordenando a los sistemas públicos de gestión de las aguas, que analicen sus sistemas de ciberseguridad OT/ICS.

Artículo original en este enlace.

El agua es uno de los recursos más abundantes y preciados de la Tierra, sin embargo, las operaciones cada vez más digitales y en red que suministran agua potable limpia y segura han experimentado cierta negligencia en lo que respecta a las mejores prácticas de ciberseguridad de hoy en día. Según la Asociación Estadounidense de Obras Hidráulicas , EE. UU. tiene aproximadamente 52 000 sistemas dispersos de agua potable, muchos de los cuales sirven a comunidades pequeñas y medianas con una población inferior a 50 000 habitantes.

La ciberseguridad de los sistemas públicos de agua (PWS) varía y depende en gran medida hoy en día de las evaluaciones caso por caso de los recursos de TI y OT: presupuestos, herramientas y personal. En 2022, las entidades gubernamentales y los profesionales de la seguridad comenzaron a sugerir un camino a seguir para asegurar el sector del agua: una mejor comprensión del panorama de riesgos y la preparación de los PWS, cooperación público-privada, soluciones innovadoras y mayor financiación, compromisos comunitarios y educación pública.

¿Qué es el Memorando de Ciberseguridad de la EPA?

Un memorando de marzo de 2023 de la Agencia de Protección Ambiental busca incluir la identificación de deficiencias de ciberseguridad como parte de las encuestas sanitarias periódicas. El objetivo de las encuestas sanitarias es garantizar que los estados identifiquen deficiencias significativas en los sistemas públicos de agua y corrijan aquellas que podrían afectar el agua potable segura.

El memorando señala que “el uso de tecnología operativa, incluidos los sistemas de control industrial como SCADA, en la producción y distribución de agua potable se ha generalizado entre los PWS de todos los tamaños y tipos. Estos sistemas de control han permitido a los PWS reducir el personal en el sitio y operar los procesos del sistema de recolección, tratamiento y distribución de manera más eficiente. En particular, permiten el monitoreo y la operación remota por parte de personal externo, incluidos terceros”.

Las encuestas sanitarias evaluarán los sistemas y tecnologías utilizados en/para el agua:

  • Fuente
  • Tratamiento
  • Sistema de distribución
  • Almacenamiento de agua terminada
  • Bombas, instalaciones de bombas y controles
  • Monitoreo, informes y verificación de datos
  • Gestión y operación del sistema, y
  • Cumplimiento del operador con los requisitos estatales

El memorando requiere que los sistemas públicos de agua revisen y evalúen específicamente las brechas de seguridad cibernética asociadas con la tecnología operativa o los componentes del sistema de control industrial de sus operaciones utilizadas para producir y distribuir agua potable segura. A menudo denominado «análisis de la joya de la corona», los propietarios y operadores reciben instrucciones de revisar «las prácticas y controles de seguridad cibernética necesarios para mantener la integridad y el funcionamiento continuo de la tecnología operativa del PWS que podría afectar el suministro o la seguridad del agua proporcionada a los clientes». .”

¿Cómo monitoreará la EPA los niveles de ciberseguridad?

Utilizando una lista de verificación de seguridad cibernética que refleja los Objetivos de rendimiento de seguridad cibernética intersectorial de CISA , el cumplimiento del nuevo requisito implica lo siguiente:

  1. Si el PWS usa un ICS u otra tecnología operativa como parte del equipo o la operación de cualquier componente requerido de la encuesta sanitaria, entonces el estado debe evaluar la idoneidad de la seguridad cibernética de esa tecnología operativa para producir y distribuir agua potable segura.
  2. Si el estado determina que una deficiencia de seguridad cibernética identificada durante una encuesta sanitaria es significativa, entonces el estado debe usar su autoridad para exigir que el PWS aborde la deficiencia significativa.

Las deficiencias de seguridad cibernética para el descubrimiento y la remediación incluyen ampliamente:

  • La ausencia de una práctica o control.
  • La presencia de una vulnerabilidad que tiene un alto riesgo de ser explotada, ya sea directa o indirectamente, para comprometer una tecnología operativa utilizada en el tratamiento o distribución de agua potable.

Los propietarios de activos pueden enviar preguntas o solicitar una consulta con un experto en la materia (SME) remoto. La EPA ha prometido que una SME responderá a la persona que pregunta, sugiriendo un tiempo de espera de dos días hábiles para las respuestas. La EPA señala que “El servicio de asistencia técnica no será una línea de emergencia para reportar incidentes cibernéticos y no servirá como un recurso para la respuesta a incidentes cibernéticos o los esfuerzos de recuperación”.

Los incidentes cibernéticos que tienen como objetivo los sistemas de agua pueden tener impactos de largo alcance. En el primer día, la interrupción de los suministros críticos de agua puede tener efectos en cascada en las instalaciones médicas y de atención médica, la producción y el procesamiento de alimentos y agricultura, la energía, el gobierno, la seguridad y el transporte. Los servicios públicos de agua se enfrentan a graves amenazas de seguridad cibernética de sistemas operativos cada vez más automatizados y vulnerables que son objetivos fáciles para los malos actores. Tener un sólido programa de seguridad cibernética para las empresas de agua es de vital importancia para mantener la resiliencia.

Los fundamentos de la prevención

  • Revisar y revisar los controles de acceso
  • Auditar y hacer cumplir las políticas de contraseñas
  • Esté alerta ante nuevos intentos de phishing
  • Parche lo que puedas
  • Explorar en busca de vulnerabilidades, internas y externas
  • Revise el acceso de terceros a su gente, procesos y tecnología
  • Evaluar las dependencias de la cadena de suministro
  • Planifique con anticipación

Pasos de Nozomi Networks para mejorar la ciberseguridad de los servicios públicos de agua

  • Descubrimiento e inventario de activos
  • Escaneo de vulnerabilidades y mapeo de redes
  • Inteligencia de amenazas e indicadores conocidos de compromiso
  • Análisis de datos sofisticados y conocimiento de la situación

La plataforma de Nozomi Networks anticipa los riesgos de ciberseguridad en sus sistemas operativos a través de inteligencia de activos, evaluaciones de vulnerabilidades y detección de anomalías. Nuestra función de descubrimiento de activos ofrece alertas y evaluaciones de riesgo priorizadas. La información sobre el tráfico de su red expone rápidamente las vulnerabilidades para ayudarlo a enfocar los esfuerzos de cumplimiento y administración de riesgos cibernéticos.

Recursos adicionales:

Leave a comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.

en_GBEnglish