Todos los días, dependemos de la energía para conducir hasta el trabajo, calentar y enfriar nuestras oficinas, realizar nuestros negocios y alimentar Internet. Sin él, seríamos impotentes para continuar con nuestro sustento. Compuesto por suministro de energía, exploración de petróleo y gas, investigación y suministro de energía renovable, energía nuclear y más, el sector energético es fundamental para el éxito industrial de un país.
La naturaleza lucrativa de la industria junto con sus vínculos financieros con el mundo legislativo la convierten en una industria altamente controvertida y bipartidista, así como en un objetivo principal para terroristas y criminales por igual.
Con procesos, redes y organizaciones altamente automatizados y poco protegidos, el sector de la energía es fácilmente vulnerable a los ciberataques. Hay varios tipos de actores de amenazas que implementan ataques dirigidos contra el sector de la energía, cada uno con sus propios motivos ocultos. Si a esto le sumamos pocas inversiones en la gestión de riesgos digitales, este sector industrial corre un gran riesgo.
Indice
Tipos de amenazas que se dirigen a las empresas de energía
Estas son las principales amenazas a las que se enfrentan la empresas energéticas.
Actores de amenazas persistentes avanzadas (APT)
Un estado-nación que compromete con éxito el sector energético abre la puerta al espionaje, la influencia política, el control de la red eléctrica y el robo.
En 2017, el grupo ruso de APT DragonFly 2.0 pirateó y comprometió a empresas de energía estadounidenses y europeas, dando a los actores de la amenaza suficiente control de las redes eléctricas que podrían haber provocado apagones.
En más de 20 casos, DragonFly 2.0 obtuvo acceso a interfaces en las que los ingenieros de energía distribuyeron comandos a los equipos que suministran energía directamente a hogares y empresas. Aunque los ataques de APT se llevaron a cabo en las redes eléctricas de Ucrania en 2015 y 2016 causando apagones, aún no se había descubierto una brecha tan cerca de casa.
En la forma típica de APT, Dragonfly permaneció sin descubrir en las redes de la empresa desde diciembre de 2015. El grupo obtuvo acceso a través de un ataque de phishing, recolectando credenciales de computadoras comprometidas que les permitieron el acceso remoto a máquinas críticas. Esta brecha permitió al grupo APT recopilar capturas de pantalla de los paneles de control de la red eléctrica, posicionándolos para sabotear la infraestructura crítica.
Aunque el grupo nunca actuó con esta capacidad, los investigadores creen que estaban esperando una motivación política para disuadir a Estados Unidos de usar su propia y poderosa guerra cibernética contra Rusia en caso de conflicto armado o contienda política.
Delincuentes cibernéticos
Los ciberdelincuentes están en esto por el dinero, y los grandes ingresos e inversiones en energía y organizaciones de energía hacen que atacarlos sea una obviedad. Ya sea a través de ransomware o ataques de denegación de servicio distribuido (DDoS), los actores pueden obtener acceso a las grandes cantidades de dinero de la industria energética. Desafortunadamente, los ciberdelincuentes aprovechan el sector energético en tiempos de crisis.
En octubre de 2018, el proveedor de servicios públicos de Carolina del Norte ONWASA se vio comprometido por la cepa de malware Emotet en medio de la recuperación del huracán Florence. Después de contratar consultores de seguridad para eliminar el malware rápidamente, ONWASA también se vio afectada por la cepa de ransomware Ryuk solo una semana y media después.
Aunque fueron testigos de su departamento de TI, poco pudieron hacer para contener el virus, ya que se propagó rápidamente por toda la red. El proveedor de servicios públicos se negó a pagar el rescate y trabajó en cambio con el FBI y el DHS para determinar un curso de acción. Afortunadamente, el servicio público de la organización no fue interrumpido por el ataque.
Si una compañía energética tuviera un corte de energía o agua durante un período prolongado de tiempo, el efecto sería exponencial. Una pequeña interrupción en una bomba de agua provoca una cascada de eventos:
- Pérdida de acceso a agua potable segura
- Falta de agua para saneamiento e higiene.
- Detención del tratamiento de aguas residuales
- Falta de medidas preparatorias para reaccionar ante el apagón.
Trasladar estas consecuencias a un área más densamente poblada significa la pérdida de agua potable viable para millones. Un ataque después de un desastre natural resulta muy preocupante para el proveedor de servicios públicos y sus clientes.
Hacktivistas
Con motivaciones similares a las de los grupos APT, los hacktivistas suelen dirigirse a organizaciones que tienen creencias ideológicas diferentes o prácticas comerciales injustas. Debido a la naturaleza altamente politizada y bipartidista de las empresas de energía que extraen recursos naturales y la producción de energía, el sector energético es un objetivo probable para los grupos de piratería ambiental y de recursos naturales.
Aunque no hemos visto un ataque a gran escala por parte de activistas en el espacio energético, es probable que ocurra uno en el futuro, especialmente dada la polarización que está ocurriendo en el clima político. Si se produce un ataque hacktivista, es más probable que utilicen un ataque DDoS.
La baja inversión de la industria energética en tecnología de ciberseguridad podría ser devastadora no solo para las empresas, sino también para los consumidores en su vida cotidiana. Simplemente actualizando los sistemas operativos, las organizaciones pueden evitar verse implicadas en infracciones e interrupciones.
Ataques DDoS
El uso de redes, procesos y controles industriales automatizados se ha disparado en todo el sector energético, y por una buena razón. El uso creciente de Internet de las cosas (IoT) significa una mayor eficiencia energética, ahorros de costes y una mayor confiabilidad del suministro de energía para las empresas de energía.
Aunque el IoT tiene beneficios en el sector energético, amplía la superficie de ataque, lo que brinda a los actores de amenazas muchas más vías para infiltrarse en una red y perpetrar un ataque.
Desafortunadamente, la automatización ha abierto y seguirá abriendo la puerta a los ataques DDoS.
En marzo, un ataque DDoS paralizó la red de una empresa de suministro de energía en el oeste de Estados Unidos durante más de 10 horas. La compañía proporciona suministro de energía a los consumidores en California, Utah y Wyoming. Si bien el ataque, afortunadamente, no comprometió el suministro de energía a los clientes de la empresa, un detalle preocupante surgió en el informe oficial de la organización al Departamento de Energía: el ataque podría haberse evitado si se hubiera parcheado una vulnerabilidad conocida . El ataque probablemente podría haberse evitado si la organización hubiera aplicado una simple actualización de software.
El uso de software obsoleto con parches conocidos es una forma segura de sufrir una infracción: sigue una buena higiene cibernética actualizando y aplicando parches de inmediato. Como gigante industrial, se sabe que el sector energético es lento a la hora de actualizar la infraestructura y el software de procesos, lo que los convierte en un objetivo principal para ataques DDoS y exploits.
Spear Phishing
Ya sabemos que los ataques de phishing afectan a todas las industrias y empresas de todos los tamaños, porque los atacantes saben que tendrán éxito debido a la estrategia persistente y dirigida de los atacantes. Combina esta probabilidad de éxito con el daño potencial resultante, y podrás ver por qué los actores de amenazas atacan al sector energético en particular.
En el caso del sector energético, el phishing se utiliza para causar daño en lugar de una ganancia monetaria. Si tienen éxito, los piratas informáticos pueden obtener credenciales para las redes eléctricas, los pozos de petróleo, los generadores y otras áreas de control sensibles. Estoy seguro de que puedes imaginar el efecto paralizante que esto tendría en todos.
Los spear phishers suelen seguir de cerca a sus objetivos para obtener información valiosa que podría hacer que su ataque sea más exitoso. Los ataques de spear phishing suelen ser perpetrados por organizaciones terroristas o actores patrocinados por el estado y no son aleatorios como la mayoría de las campañas de phishing. Estos se seleccionan de manera más meticulosa para su audiencia prevista para garantizar que la víctima caiga en el anzuelo.
Infracciones de terceros
El estado-nación y los grupos terroristas también se han volcado hacia ataques de terceros para obtener acceso a los Sistemas de Control Industrial (ICS). A medida que estos ICS continúan moviéndose en línea, esto brinda a las organizaciones externas un acceso sin precedentes a estas organizaciones, incluidos proveedores y terceros. El software, el hardware y los servicios que las empresas de energía compran a terceros permiten el acceso a todos los niveles de la organización.
En un ataque de 2017, se introdujo un virus de forma remota en los controladores utilizados en 18.000 plantas de energía en todo el mundo. El virus interrumpió el propósito de los controladores, que es regular el voltaje, la presión y la temperatura en las instalaciones nucleares y de tratamiento de agua. El ataque casi provocó una explosión en Arabia Saudita, y el ataque fue diseñado para causar un daño mayor.
Los ataques de terceros son especialmente preocupantes en el sector de la energía debido a la dependencia de los proveedores: los proveedores externos representan el 80% del gasto presupuestario en las organizaciones de servicios públicos. Tanto los proveedores como las organizaciones deben abordar el riesgo que presentan a través de estos terceros.
Todas las verticales de la industria podrían hacer un mejor trabajo en la gestión proactiva del riesgo cibernético, pero lo que está en juego es aún mayor para el sector energético. Las consecuencias de un ataque generalizado a nuestra infraestructura crítica no solo podrían ser una pérdida para las organizaciones, sino que también podrían ser mortales para quienes usan sus servicios: hospitales, escuelas y organizaciones gubernamentales.
Saber qué vectores de ataque afectan con mayor frecuencia al sector puede ayudar a las organizaciones a defenderse de ellos. La creación de un programa y una cultura de ciberseguridad sólidos brinda a cada miembro de la organización las herramientas necesarias para combatir los ataques, comenzando con la conciencia de ciberseguridad y terminando con la construcción de un programa de ciberdefensa proactivo y sólido.
Protección
Las amenazas cibernéticas y físicas correspondientes a la seguridad de la energía eléctrica y del gas no son insuperables. Un enfoque estructurado que aplique marcos de comunicación, organizacionales y de procesos junto con mejoras técnicas en algunas áreas puede reducir significativamente los riesgos cibernéticos para las empresas de servicios públicos.
Inteligencia estratégica de amenazas
Las empresas de servicios públicos deben adoptar una visión preventiva y proactiva del panorama de amenazas variado y avanzado al que se enfrentan sus empresas y redes.
No es suficiente confiar en la inteligencia de amenazas tácticas, especialmente no en la inteligencia de amenazas proporcionada por los proveedores. En cambio, las organizaciones deben considerar la posibilidad de emplear equipos analíticos que puedan proporcionar una visión holística y proactiva de las amenazas al monitorizar las amenazas en la industria y la región, incluida la inteligencia sobre vulnerabilidades técnicas y los diversos factores (por ejemplo, geopolíticos, económicos, legales) que dan forma al entorno de amenazas.
Especialmente importante para una función de inteligencia estratégica sólida, ya que las amenazas de actores avanzados como los estados-nación están en aumento, es la capacidad de preparar a la organización para casos en los que debe abordar una incógnita conocida, como una herramienta emergente de ransomware o un ataque multifásico coordinado.
Además de utilizar una solución de gestión de eventos e información de seguridad (SIEM) y otras soluciones tácticas que monitorizan y ayudan a las organizaciones a contener, mitigar y erradicar los ataques, las organizaciones deben tener planes de respuesta a incidentes bien diseñados y probados y suficiente memoria muscular institucional de planificar ejercicios para minimizar el impacto de un ataque a gran escala de forma rápida y decisiva.
Un enfoque integrado de la seguridad
Para abordar las vastas brechas geográficas, organizativas y técnicas en sus redes y visibilidad, las empresas de servicios públicos deben adoptar un enfoque integrado de la seguridad. El ritmo y la amplitud de las amenazas actuales hacen que no sea aconsejable permitir que los tubos de escape de la organización disminuyan la velocidad de detección, reacción y respuesta.
Las empresas de servicios públicos deben pensar críticamente, tanto desde el punto de vista de la organización como de las personas, sobre cómo abordar los silos organizacionales que pueden, por razones comerciales válidas, tener requisitos e indicadores muy diferentes.
En términos de liderazgo estratégico, esto significa establecer una agenda y estándares para el programa de ciberseguridad, que se utilizarán e implementarán incluso en las unidades comerciales más dispares. Para respaldar este enfoque cada vez más centralizado, los líderes de cada unidad de negocio o área geográfica con toma de decisiones cibernéticas deben participar en reuniones para garantizar la alineación entre todas las partes interesadas, evitando así situaciones en las que una unidad de negocio implemente protecciones de vanguardia mientras que otra no esté preparada porque carece recursos o un sentido de urgencia.
A nivel táctico y operativo, hemos descubierto que el diseño organizacional funciona mejor cuando los equipos dentro de la organización de seguridad tienen visibilidad, si no autoridad para tomar decisiones, sobre todas las redes y arquitectura de TI y OT, lo que les permite detectar y comunicarse tendencias que pueden indicar un ataque coordinado.
Para permitir un sólido conducto de comunicación bidireccional, también es deseable crear un programa formal que designe a los «campeones de seguridad» dentro de cada unidad de negocio para que sirvan como ojos y oídos de la organización de seguridad y abogar por buenas prácticas de seguridad en el ámbito técnico. y diseños de procesos.
Desde el punto de vista del proceso, incluso las organizaciones con distinciones firmes entre los miembros del equipo de seguridad necesitan un proceso definido y estructurado para permitir una comunicación clara y rápida de la información de seguridad.
La integración y los procesos internos claros entre los equipos son especialmente críticos en el sector de la energía eléctrica y el gas, donde diferentes métodos de producción y partes de la cadena de generación, transmisión y distribución pueden utilizar tecnologías significativamente diferentes. Los campeones de seguridad pueden servir como los ejes de estas capacidades y procesos, asegurando el intercambio de información crítica y organizando la respuesta a incidentes individuales.
Mejores prácticas de ciberseguridad
Las empresas energéticas que buscan desarrollar un programa estratégico de inteligencia de amenazas deben realizar las siguientes acciones:
- Identificar brechas y oportunidades en función del programa de inteligencia de amenazas existente de la empresa, con miras a aumentar el conocimiento de la situación en todos los equipos e identificar áreas donde el intercambio de información se puede mejorar tanto interna como externamente con otras empresas de servicios públicos, proveedores y proveedores de servicios.
- Definir un programa de inteligencia de amenazas sólido, que incluya la identificación de temas, productos y artefactos de inteligencia de amenazas tácticas, operativas y estratégicas, y la cadencia correspondiente para el lanzamiento de cada producto.
- Llevar a cabo una revisión detallada de los habilitadores del programa de inteligencia de amenazas estratégicas, incluido el modelo operativo del equipo de inteligencia de amenazas y las capacidades de intercambio de conocimientos.
- Capacitar a las partes interesadas clave en inteligencia de amenazas sobre las mejores prácticas de desarrollo de productos e intercambio de información.
Además, las mejores empresas de su clase garantizan que el programa de ciberseguridad tenga un modelo operativo subyacente sólido. Es fundamental para el éxito el diseño de un catálogo de servicios de ciberseguridad y el modelo operativo y los flujos de procesos que lo acompañan, identificando roles clave y puntos de contacto entre las partes interesadas y creando medidas de éxito para el programa.
Las medidas de éxito incluyen métricas para actividades técnicas, operativas y relacionadas con procesos, incluido el intercambio de información y comentarios sobre productos de inteligencia estratégicos o de ciberamenazas compartidos.