por Virginia Wright,
La administración de Biden está pidiendo a las organizaciones que construyan defensas en los diseños de sistemas, en lugar de confiar solo en las protecciones de TI.
• • •
En su Estrategia nacional de ciberseguridad publicado el 2 de marzo, la administración de Biden pide cambios importantes en la forma en que los Estados Unidos priorizan la seguridad de los sistemas de software utilizados en las infraestructuras críticas. Reconoce que el enfoque de facto (hasta ahora básicamente «hay que tener cuidado con el comprador») hace que las entidades que son menos capaces de evaluar o defender el software vulnerable sean responsables del impacto de las debilidades diseñadas, mientras que los fabricantes de la tecnología no asumen ninguna responsabilidad. La estrategia recomienda un enfoque de seguridad desde el diseño que incluya hacer que los proveedores de software sean responsables de cumplir su «deber de cuidado» con los consumidores y que los sistemas se diseñen para «fallar de forma segura y recuperarse rápidamente».
Para la infraestructura energética, la estrategia destaca la necesidad de implementar un «estrategia nacional de ingeniería ciberinformada» para lograr protecciones de ciberseguridad notablemente más eficaces. Este artículo ofrece una descripción general de lo que eso implica.
Los ingenieros que construyen nuestros complejos sistemas de infraestructura utilizan normas y procedimientos estrictos para garantizar altos niveles de seguridad y fiabilidad. Sin embargo, la mayoría de estos procedimientos se desarrollaron mucho antes de la llegada de la ciberseguridad moderna y aún no guían a los ingenieros a considerar las ciberamenazas, y mucho menos a diseñar defensas de ciberseguridad en esos sistemas.
Mediante su iniciativa de ingeniería ciberinformada, la Oficina de Ciberseguridad, Seguridad Energética y Respuesta a Emergencias (CESER) del Departamento de Energía busca solucionarlo. Con la ayuda de los laboratorios nacionales, CESER se esfuerza por educar a los ingenieros sobre cómo diseñar sistemas que eliminen las posibilidades de los ciberataques y mitiguen sus impactos.
Al principio de la fase de diseño del sistema, los ingenieros pueden identificar las funciones críticas del sistema y averiguar cómo diseñarlas de manera que se limiten los impactos de la disrupción digital o el uso indebido. Combinada con una sólida estrategia de seguridad de IT, esta ingeniería ciberinformada ofrece la oportunidad de proteger los sistemas con mucha más eficacia que la seguridad de IT por sí sola.
El Laboratorio Nacional de Idaho fue pionero en el desarrollo de conceptos de ingeniería con información cibernética y está trabajando con el CESER para educar a otros miembros de la industria, el mundo académico y el gobierno sobre cómo aplicar estos conceptos a los desafíos del mundo real. En este artículo, describiremos algunos de los principios básicos e ilustraremos cómo se ponen en práctica mediante un relato ficticio de una empresa municipal de agua.
Diseño centrado en las consecuencias
La tarea más importante de cualquier organización es garantizar que sus funciones más importantes nunca se vean interrumpidas. Los ingenieros están capacitados para diseñar sistemas resilientes y utilizan técnicas específicas para identificar y prevenir los modos de fallo tradicionales. Sin embargo, esto no protegerá un sistema contra un ciberataque sofisticado. Esto se debe a que los adversarios suelen aprovechar la funcionalidad innata de un sistema para hacer que funcione de una manera no deseada, como provocar que un tanque se desborde o encender o apagar la energía repetidamente para dañar los activos críticos e generar disrupción las operaciones.
En la práctica de la ingeniería ciberinformada, el primer paso que dan los ingenieros es identificar las funciones y los subsistemas relacionados que pueden tener consecuencias catastróficas si un adversario inteligente los utiliza indebidamente. Luego, como describiremos a continuación, pueden identificar métodos para prevenir un ataque, detener las consecuencias negativas o limitar su impacto.
Por ejemplo, supongamos que una empresa de agua municipal está considerando la posibilidad de crear un nuevo servicio basado en la nube para supervisar y controlar (es decir, arrancar y detener) una estación de bombeo remota crítica. La tecnología en la nube haría que las operaciones fueran mucho más eficientes y ahorraría una cantidad importante de mano de obra. En una revisión del diseño con información cibernética, se pidió a los miembros del equipo de diseño que imaginaran las peores consecuencias de un ataque. Identificaron una situación en la que un atacante podría penetrar en el servicio en la nube y utilizarlo para controlar las bombas de forma remota, lo que podría afectar a la fiabilidad del flujo o a la seguridad del suministro de agua. Los líderes de la empresa de servicios públicos consideraron que se trataba de un riesgo demasiado alto y, como resultado, retrasaron sus planes de adquisición de las capacidades basadas en la nube hasta que el equipo pudiera encontrar una forma de reducir este riesgo casi a cero.
Controles diseñados
Cuando se identifican las consecuencias de alto impacto de un posible ciberataque en la fase de diseño, los ingenieros tienen la facultad de ajustar los parámetros físicos del sistema en respuesta. Pueden seleccionar tecnologías con funciones que representen menos riesgo si se utilizan indebidamente. Pueden cambiar el funcionamiento de los procesos o ajustar las capacidades y las tolerancias para reducir el daño que pueden causar las consecuencias negativas. También pueden introducir validaciones y controles adicionales para garantizar los resultados esperados.
Como estas protecciones pueden incorporar barreras físicas u otros elementos en un proceso industrial, proporcionan protección adicional contra los ciberataques cuando se utilizan con las tecnologías de ciberdefensa tradicionales. Pueden incorporar protecciones que frustren las vías y limiten las consecuencias de los ataques.
Los miembros del equipo de diseño de la empresa de servicios públicos analizaron las funciones de las bombas de agua a las que un atacante podría acceder a través del servicio basado en la nube. Identificaron que la peor consecuencia se produciría si un atacante iniciara y detuviera las bombas de forma remota demasiado rápido. Determinaron que instalar un relé analógico de 50 dólares en el controlador de la bomba ralentizaría los comandos de arranque y parada remotos, lo que evitaría que un atacante que obtuviera acceso remoto dañara el sistema. La empresa de servicios públicos decidió incorporar esta protección y procedió a la aprovisionamiento de la tecnología en la nube que ahorra costes.
Defensa activa
Cuando un adversario ataca un sistema de infraestructura, los operadores del sistema y los especialistas en tecnología de la información deben trabajar juntos para garantizar el funcionamiento continuo de las funciones críticas del sistema y, al mismo tiempo, defender el sistema del ataque. A menos que estas acciones se planifiquen, documenten y practiquen con antelación, este proceso puede ser, en el mejor de los casos, ineficiente o, en el peor, totalmente ineficaz cuando se produce un ataque.
En consecuencia, la ingeniería ciberinformada exige que los ingenieros planifiquen enfoques de respuesta que permitan que el sistema en general siga funcionando, aunque quizás no a todo su nivel, incluso cuando los elementos o funciones críticos queden fuera de servicio. Forman equipo con especialistas en tecnología de la información para desarrollar estrategias de respuesta a medida que se diseña, desarrolla, prueba y opera el sistema. Realizan ejercicios con regularidad para practicar los procedimientos de respuesta documentados y medir su eficacia. En lugar de permanecer pasivos en caso de un ciberataque, los ingenieros y los operadores pasan a formar parte activa del equipo de respuesta.
La mayoría de las empresas de agua municipales dependen de un sistema automatizado de supervisión, control y adquisición de datos (SCADA) para controlar sus funciones operativas. Este sistema cuenta con una programación que maximiza la eficiencia y la eficacia del sistema de agua y supervisa las operaciones del sistema mucho mejor que cualquier humano. Los equipos de ingeniería y operaciones capacitados en conceptos básicos de ingeniería con información cibernética desarrollan procedimientos a seguir en caso de ataques a sus sistemas SCADA y realizan ejercicios periódicos con sus equipos de IT, ingeniería y operaciones para simular escenarios en los que la automatización no está disponible o no es fiable. Los ejercicios regulares permiten al personal de operaciones desarrollar las habilidades necesarias para operar los sistemas de agua manualmente, si es necesario, a fin de mantener un servicio seguro y fiable a los clientes.
Los propietarios de sistemas de energía, agua y otros sistemas de infraestructura crítica deben estar preparados continuamente para hacer frente a los ciberataques que infrinjan sus defensas electrónicas externas. Añadir medidas defensivas impulsadas por la ingeniería mejora su capacidad de resistir y prevenir las catastróficas consecuencias de los ciberataques. La estrategia nacional para una ingeniería ciberinformada proporciona los medios para educar a los ingenieros, desarrollar herramientas y aplicar estos métodos de ciberdefensa a las infraestructuras actuales y futuras. Al identificar las posibles consecuencias catastróficas de los ciberataques antes de que se produzcan y eliminar la capacidad de los adversarios de lograr los resultados negativos que pretenden, podemos mejorar notablemente la ciberdefensa de las infraestructuras que desempeñan algunas de las funciones más importantes del país.
_
JL