por Virginia WrightAndrew OhrtAndy Bochman
Para proteger mejor las infraestructuras críticas de Estados Unidos frente a los ciberataques, el gobierno de Biden pide a las organizaciones que incorporen defensas en el diseño de los sistemas y no dependan únicamente de las protecciones informáticas. Este artículo explica los conceptos de la “ingeniería ciberinformada” y los ilustra con ejemplos del sector del agua.close
•••
En su Estrategia Nacional de Ciberseguridad, publicada el 2 de marzo, el gobierno de Biden pide cambios importantes en la forma en que Estados Unidos da prioridad a la seguridad de los sistemas de software utilizados en infraestructuras críticas. Reconoce que el enfoque de facto -hasta ahora esencialmente “dejar que el comprador se cuide”- deja a las entidades menos capacitadas para evaluar o defender el software vulnerable la responsabilidad de los impactos de las debilidades diseñadas, mientras que los fabricantes de la tecnología no asumen ninguna responsabilidad. La estrategia recomienda un enfoque de seguridad por diseño que incluya responsabilizar a los vendedores de software de mantener un “deber de diligencia” con los consumidores y que los sistemas se diseñen para “fallar con seguridad y recuperarse rápidamente”.
Para las infraestructuras energéticas, la estrategia señala la necesidad de aplicar una “estrategia nacional de ingeniería ciberinformada” para lograr protecciones de ciberseguridad notablemente más eficaces. Este artículo ofrece una visión general de alto nivel de lo que ello implica.
Los ingenieros que construyen nuestros complejos sistemas de infraestructuras aplican normas y procedimientos estrictos para garantizar altos niveles de seguridad y fiabilidad. Sin embargo, la mayoría de estos procedimientos se desarrollaron mucho antes de la llegada de la ciberseguridad moderna, y todavía no guían a los ingenieros para que tengan en cuenta las ciberamenazas, y mucho menos para que diseñen defensas de ciberseguridad en esos sistemas.
A través de su iniciativa de ingeniería ciberinformada, la Oficina de Ciberseguridad, Seguridad Energética y Respuesta a Emergencias (CESER) del Departamento de Energía pretende remediarlo. Con la ayuda de los Laboratorios Nacionales, el CESER se esfuerza por enseñar a los ingenieros a diseñar sistemas que eliminen las vías de ciberataque y mitiguen su impacto.
Al principio de la fase de diseño del sistema, los ingenieros pueden identificar las funciones críticas del sistema y averiguar cómo diseñarlas de forma que limiten los efectos de la interrupción digital o el uso indebido. Combinada con una sólida estrategia de seguridad informática, esta ingeniería ciberinformada ofrece la oportunidad de proteger los sistemas de forma mucho más eficaz que la seguridad informática por sí sola.
Gestión del ciberriesgo
Diseño centrado en las consecuencias
La tarea más importante de cualquier organización es garantizar que sus funciones más críticas nunca se interrumpan. Los ingenieros están formados para diseñar sistemas resistentes, utilizando técnicas específicas para identificar y prevenir los modos de fallo tradicionales. Sin embargo, esto no protegerá a un sistema contra un ciberataque sofisticado. Esto se debe a que los adversarios suelen aprovecharse de la funcionalidad innata de un sistema para hacer que funcione de forma no deseada, como provocar el desbordamiento de un depósito o conectar o desconectar repetidamente la alimentación para dañar activos críticos e interrumpir las operaciones.
En la práctica de la ingeniería ciberinformada, el primer paso que dan los ingenieros es identificar las funciones y subsistemas relacionados con el potencial de provocar consecuencias catastróficas si un adversario inteligente las utiliza de forma indebida. Después, como describiremos a continuación, pueden identificar métodos para prevenir un ataque, detener las consecuencias negativas o limitar su impacto.
Por ejemplo, supongamos que una empresa municipal de suministro de agua está considerando un nuevo servicio basado en la nube para supervisar y controlar (es decir, poner en marcha y parar) una estación de bombeo crítica y remota. La tecnología en la nube haría que las operaciones fueran mucho más eficientes y ahorraría mucho trabajo. En una revisión ciberinformada del diseño, se pidió a los miembros del equipo de diseño que imaginaran las peores consecuencias de un ataque. Identificaron un escenario en el que un atacante podría penetrar en el servicio en la nube y utilizarlo para controlar a distancia las bombas, afectando posiblemente a la fiabilidad del flujo o a la seguridad del suministro de agua. Los responsables de la empresa consideraron que se trataba de un riesgo demasiado elevado y, en consecuencia, retrasaron los planes para adquirir las capacidades basadas en la nube hasta que el equipo pudiera establecer una forma de reducir este riesgo a casi cero.
Controles de ingeniería
Cuando se identifican las consecuencias de alto impacto de un posible ciberataque en la fase de diseño, los ingenieros tienen el poder de ajustar los parámetros del sistema físico en respuesta. Pueden seleccionar tecnologías con características que presenten menos riesgo en caso de uso indebido. Pueden cambiar el funcionamiento de los procesos o ajustar las capacidades y tolerancias para reducir el daño que pueden causar las consecuencias negativas. También pueden introducir validaciones y controles adicionales para garantizar los resultados esperados.
Como estas protecciones pueden incorporar barreras físicas u otros elementos en un proceso industrial, proporcionan una protección adicional contra los ciberataques cuando se utilizan con las tecnologías tradicionales de ciberdefensa. Pueden incorporar protecciones que frustren las vías y limiten las consecuencias de los ataques.
Los miembros del equipo de diseño de la empresa revisaron las características de las bombas de agua a las que un atacante podría acceder a través del servicio basado en la nube. Identificaron que la peor consecuencia sería que un atacante pusiera en marcha y parara las bombas a distancia con demasiada rapidez. Determinaron que la instalación de un relé de retardo analógico de 50 dólares en el controlador de la bomba ralentizaría los comandos de arranque y parada remotos, lo que impediría que un atacante que obtuviera acceso remoto dañara el sistema. La empresa optó por incorporar esta protección y procedió a la adquisición de la tecnología de ahorro en la nube.
Defensa Activa
Cuando un sistema de infraestructura es atacado por un adversario, los operadores del sistema y los especialistas en tecnología de la información deben trabajar juntos para garantizar el funcionamiento continuado de las funciones críticas del sistema y, al mismo tiempo, defender el sistema del ataque. A menos que estas acciones se planifiquen, documenten y practiquen con antelación, este proceso puede ser, en el mejor de los casos, ineficaz o, en el peor, totalmente ineficaz cuando se produzca un ataque.
En consecuencia, la ingeniería ciberinformada exige que los ingenieros planifiquen enfoques de respuesta que permitan que el sistema global siga funcionando, aunque quizá no a pleno nivel, incluso cuando los elementos o características críticos queden fuera de servicio. Trabajan en equipo con especialistas en tecnología de la información para desarrollar estrategias de respuesta a medida que se diseña, desarrolla, prueba y opera el sistema. Realizan regularmente ejercicios para practicar los procedimientos de respuesta documentados y medir su eficacia. En lugar de permanecer pasivos en caso de ciberataque, los ingenieros y operadores se convierten en parte activa del equipo de respuesta.
La mayoría de las empresas municipales de agua dependen de un sistema automatizado de control y adquisición de datos (SCADA) para controlar sus funciones operativas. Este sistema tiene una programación que maximiza la eficiencia y eficacia del sistema de agua y supervisa las operaciones del sistema mucho mejor de lo que podría hacerlo cualquier ser humano. Los equipos de ingeniería y operaciones formados en conceptos básicos de ingeniería cibernética desarrollan procedimientos a seguir en caso de ataques a sus sistemas SCADA y realizan ejercicios periódicos con sus equipos de TI, ingeniería y operaciones, simulando escenarios en los que la automatización no está disponible o no es fiable. Los ejercicios periódicos permiten al personal de operaciones desarrollar las habilidades necesarias para manejar los sistemas de agua manualmente, en caso necesario, con el fin de mantener un servicio seguro y fiable para los clientes.
Los propietarios de sistemas de energía, agua y otras infraestructuras críticas deben estar continuamente preparados para hacer frente a ciberataques que vulneren sus defensas electrónicas externas. Añadir medidas defensivas basadas en la ingeniería mejora su capacidad de resistir y prevenir las consecuencias catastróficas de los ciberataques. La estrategia nacional de ingeniería ciberinformada proporciona los medios para educar a los ingenieros, desarrollar herramientas y aplicar estos métodos de ciberdefensa a las infraestructuras actuales y futuras. Identificando las posibles consecuencias catastróficas de los ciberataques antes de que se produzcan y eliminando la capacidad de los adversarios para conseguir los resultados negativos que pretenden, podemos mejorar notablemente la ciberdefensa de las infraestructuras que realizan algunas de las funciones más críticas de la nación.
_
Virginia Wright es gerente del programa de Ingeniería Cibernética (CIE) del Laboratorio Nacional de Idaho (INL). Dirige la aplicación en el INL de la Estrategia Nacional de Ingeniería Cibernética desarrollada por el Departamento de Energía de EE.UU.
Andrew Ohrt dirige el área de resiliencia de West Yost Associates. Dirige la asociación de West Yost con el Laboratorio Nacional de Idaho y la Asociación Americana de Obras Hidráulicas para llevar la ingeniería cibernética al sector del agua y las aguas residuales.
Andy Bochman es estratega sénior de redes en el Laboratorio Nacional de Idaho, donde proporciona orientación estratégica a los líderes gubernamentales e industriales sobre cuestiones en la intersección de la seguridad energética y la resiliencia climática.