Amenazas de ciberseguridad para la industria del agua de EE. UU.

Amenazas de ciberseguridad para la industria del agua de EE. UU.

En un mundo cada vez más digital, la ciberseguridad es una amenaza importante y relevante tanto para las personas como para las empresas. Los ciberdelincuentes están constantemente ideando nuevas formas de robar información para beneficio personal a través de demandas de explotación o rescate.

Desafortunadamente, se ha convertido en un lugar común escuchar historias de cuentas corrientes agotadas, fotos filtradas y documentos privados que se publican a las masas. En esta era pospandemia, el paso a dinámicas de trabajo híbridas y remotas ha tentado aún más a los actores nefastos. En 2021, la instancia promedio de las filtraciones de datos y los ataques cibernéticos aumentaron más del 15 % año tras año.

Si bien prácticamente todos los aspectos de la vida moderna están en riesgo de ciberdelincuencia, un objetivo sorprendente es la industria de servicios públicos. El agua y la red eléctrica atraen a los delincuentes que buscan causar estragos y pueden poner en riesgo la salud y el sustento de millones de personas.

La estructura de los servicios públicos de agua

En todo el país, hay hasta 70.000 servicios públicos de agua separados en los Estados Unidos, que abarcan tanto los sistemas de agua potable como los de aguas residuales. Muchos de estos sistemas son pequeños, sirven a comunidades de baja densidad y funcionan con presupuestos limitados. La naturaleza fragmentada de la cobertura de los servicios públicos de agua, junto con los bajos presupuestos y la experiencia tecnológica limitada, significa que muchos sistemas están desactualizados y desprotegidos.

Vulnerabilidad y ataques dirigidos al sistema de agua

No es raro recibir correos electrónicos o notificaciones de instituciones bancarias que alertan a los clientes sobre nuevas amenazas de seguridad, particularmente tácticas de phishing. Lo que es único es escuchar de algunas de las instituciones gubernamentales más destacadas, incluido el FBI, la NSA (Agencia de Seguridad Nacional), la EPA (Agencia de Protección Ambiental) y la CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad), con una advertencia muy específica. : los sistemas de agua y aguas residuales en los EE. UU. son el objetivo de los delincuentes.

Relacionado:  Ciberseguridad para petróleo y gas: una descripción general

El catalizador de esto fue un incidente de 2021 es posible que ni siquiera hayas oído hablar. Una planta de tratamiento de agua en Oldsmar, Florida, violó sus sistemas y los piratas informáticos intentaron envenenar el suministro de agua en esta ciudad de 15,000 habitantes. El hacker intentó hacer cambios en los niveles de hidróxido de sodio (también conocido como lejía o soda cáustica), aumentando la concentración a niveles altamente tóxicos.

Los usuarios acceden a los sistemas operativos en las instalaciones de Oldsmar en línea a través de una plataforma de software. Si bien la plataforma debería haberse segregado de la red de TI conectada a Internet, los delincuentes pudieron obtener acceso y controlar el mouse de un administrador de forma remota para realizar cambios en la configuración. Afortunadamente, un usuario vio el movimiento del ratón y alertó a las autoridades, salvando la salud y el sustento de quienes dependen del agua del sistema Oldsmar.

Este es solo un ejemplo de la vulnerabilidad del sistema de agua. Otros incidentes (tanto domésticos como en alta mar) han visto a malos actores violar la seguridad para ajustar los niveles químicos o purgar las aguas residuales sin tratar en espacios públicos y vías fluviales.

Desafíos de seguridad únicos

Si bien los desafíos de ciberseguridad están presentes en todo el sector de servicios públicos, la industria del agua es particularmente vulnerable. Habiendo identificado hace mucho tiempo la necesidad de un enfoque unificado de la seguridad, FERC y NERC han desarrollado un conjunto estandarizado de reglas para asegurar la red eléctrica. Tras el ataque al Oleoducto Colonial el año pasado, la industria del petróleo y el gas también ha tomado nota, reforzando la seguridad. Se rumorea que se anunciará un nuevo conjunto de regulaciones este año.

Relacionado:  ¿Por qué los equipos de imágenes médicas necesitan una mejor ciberseguridad?

Eso deja a la industria del agua particularmente vulnerable. El mismo nivel de regulación y autoridad unificada no se aplica a los servicios públicos de agua, y la naturaleza dispar de la implementación del sistema deja muchas brechas de seguridad potenciales. Las prácticas de ciberseguridad son anticuadas en muchas partes del país, con herramientas de gestión de acceso y monitoreo de identidad más débiles.

A Informe 2019 emitido por la AWWA (Asociación Estadounidense de Obras Hidráulicas) calificó el riesgo cibernético como un riesgo primordial que enfrenta la infraestructura crítica. Identificaron recursos humanos, tecnológicos y financieros insuficientes como las principales barreras para medidas de seguridad integrales y defensas sólidas.

Dado el impacto potencial en la población, los piratas informáticos tienen ventaja cuando violan la seguridad de primera línea. Como tal, el ransomware es una táctica de acceso, que explota estas vulnerabilidades a cambio de pagos considerables. Los informes indican que ataques de ransomware en la industria de servicios de agua están aumentando, poniendo en riesgo a personas de todo el país.

Protección del sector del agua

Dentro del clima de seguridad actual, la El sector del agua tiene un gran camino por delante de ellos para enfrentar los desafíos que se presentan en todo el país. La falta de recursos, experiencia y cohesión a nivel nacional significa que las empresas de servicios públicos deben tomar el asunto en sus propias manos.

Afortunadamente, hay algo de apoyo. A principios de 2022, la EPA solicitó un presupuesto de $4 mil millones para respaldar las actualizaciones de la infraestructura del agua, incluidos los sistemas de agua potable y de aguas residuales. Tomando una pista de NERC y la Directiva de seguridad de tuberías de TSA, la EPA también está desarrollar directivas para la continuidad de la ciberseguridad aplicable a todo el sector. En el momento de redactar este documento, las directivas no exigen protección, pero sí exigen que las entidades informen datos de incidentes, incluida la gravedad y las consecuencias. Si bien algunos pueden argumentar que esto es insuficiente, es un primer paso para introducir la colaboración y la comunicación en la industria.

Relacionado:  Gestión de vulnerabilidades de OT: un enfoque basado en el riesgo

¿Que sigue?

Fundamental para cualquier estrategia de seguridad es comprender los riesgos existentes. Con las brechas actuales en las regulaciones y la falta de un enfoque ampliamente definido para la seguridad cibernética dentro del sector del agua, sería prudente que las entidades individuales tomaran el asunto en sus propias manos.

Designar a una persona o un pequeño equipo para que se haga cargo de la estrategia de seguridad es crucial para las empresas de servicios públicos, sin importar el tamaño. Para muchos, la brecha de conocimiento es grande y la falta de personal experimentado hace que las medidas de seguridad se pierdan. Afortunadamente, las empresas de servicios públicos pueden cerrar esta brecha con un equipo externo de expertos.

Publicaciones Similares