Navegando por la ciberseguridad con NERC CIP como la estrella del norte
Trabajar en el sector de servicios públicos de electricidad de infraestructura crítica le da a una persona una perspectiva única sobre cuántas piezas del rompecabezas encajan para brindar servicios ininterrumpidos a una población amplia. Mi experiencia personal como ingeniero de software en la industria eléctrica me introdujo a los matices que la persona promedio no considera cuando enciende un interruptor de luz. Cuando me mudé al espacio de la ciberseguridad, se abrió un ámbito completamente nuevo.
Las arenas movedizas de la ciberseguridad, junto con las regulaciones, están sembrando las semillas de grandes cambios, no solo en el sector eléctrico, sino en todos los servicios públicos. Sin embargo, cuando se busca dirección en la protección del sector de servicios públicos, el modelo más maduro es el presentado por North American Electric Reliability Corporation (NERC), en concreto, la Protección de Infraestructuras Críticas (CIP) guía. El NERC CIP es el más maduro de los modelos de control de servicios públicos y acaba de cumplir 20 años.
Parte de lo que hace que NERC CIP sea relevante para las verticales críticas de la industria en su conjunto es que se desarrolló a partir de la atención que generó el gran corte de energía de la costa este de 2003. La comprensión de que el malware acecha en los sistemas que brindan capacidad de comando y control a una entidad externa y era un gran riesgo para nuestra infraestructura y seguridad y había que hacer algo para abordar ese riesgo. Los acontecimientos recientes en la gestión del agua, la producción de alimentos y la seguridad de las tuberías han arrojado una luz brillante sobre cómo hacer que estos sectores también sean más seguros. ¿Qué mejor manera de crear una nueva guía que tomar prestado lo que funciona de una fuente existente?
Por qué se creó más orientación para la infraestructura crítica
La necesidad de más orientación en otros sectores alcanzó un punto de inflexión en el último año. Tanto los ataques a la cadena de suministro como las guerras comerciales conducen a nuevas respuestas de protección, incluida la Directiva de seguridad del sistema de tuberíasla Directiva de seguridad de operadores ferroviarios y aeroportuariosy el Plan de agua/aguas residuales de 100 días. Todo esto tiene como objetivo hacer que la seguridad de estos sistemas críticos sea más completa.
Sin embargo, todavía son los primeros días de estos nuevos mecanismos de protección. Por ejemplo, la Directiva de seguridad del sistema de tuberías sigue siendo voluntaria. Además, la Administración de Seguridad del Transporte (TSA), autora de la directiva, ha ido tan lejos como para recomendar que la gestión de tuberías debe considerar NERC CIP como el marco a seguir. Asimismo, la TSA busca imponer multas por infracciones, imitando a NERC CIP, pero en menor medida. Este es un enfoque muy agresivo, ya que mueve el cumplimiento de voluntario a obligatorio.
Las preguntas que surgen de todo esto no son diferentes a muchas de las otras preguntas que rodean a otras regulaciones. Es decir, ¿la orientación está dirigida a la tecnología de la información (TI), o la tecnología operativa (TO), o ambas, y la orientación intenta lograr la seguridad o el cumplimiento? Además, cada una de las verticales de infraestructura crítica anteriores se encuentra bajo una jurisdicción diferente de las Agencias de Gestión de Riesgos del Sector (DOE, EPA, TSA, etc.) y no centralmente bajo CISA. Por lo tanto, la estructura de jurisdicción balcanizada magnifica la complicación de los asuntos de gastos adicionales debido a la redundancia, la puntualidad de la implementación y la coherencia de las políticas, los procedimientos y el cumplimiento de la seguridad cibernética para proteger toda la infraestructura crítica. Tácticamente, también están las preguntas típicas sobre auditoría y cumplimiento, como cómo y quiénes serán los guardianes. Después de veinte años de NERC CIP, la rápida aparición de estas nuevas directivas puede verse como revolucionaria, pero también muy necesaria. Se ha demostrado una y otra vez que las empresas no brindan niveles satisfactorios de seguridad del sistema sin regulaciones efectivas.
Predicciones y Recomendaciones
Algunas organizaciones en la infraestructura crítica han estado practicando seguridad que va más allá de los requisitos recomendados, y comenzaron en este camino antes de las nuevas directivas. Algunos porque era económico hacer el mismo monitoreo en Gas/SCADA y Agua/Aguas Residuales que hacen en sus entornos NERC/CIP, otros porque los costos de asegurarse contra infracciones están comenzando a tener un efecto. Muchos de los ataques de los últimos años, como el ransomware y el robo de propiedad intelectual, no van a desaparecer, ya que son demasiado rentables para que los delincuentes los resistan y demasiado costosos para que los servicios públicos los ignoren.
La mejor recomendación es comenzar con el seguimiento de activos. Solo después de una contabilidad precisa de los activos de una organización, se pueden tomar otras medidas para proteger cualquier sector, incluida la evaluación de vulnerabilidades, la segmentación de redes, la gestión de cambios y la gestión de registros. Lo más importante de todo esto es la medición de la configuración y la detección de cambios. No se puede saber si algo ha cambiado sin una medición inicial precisa (una línea de base).
Si su organización está examinando recientemente la guía y el marco que funciona mejor, hay muchos para elegir, incluidos los que ofrece el Instituto Nacional de Estándares y Tecnología, (NIST 800-53), el Centro para la Seguridad en Internet (Controles de la CEI), y la Comisión Electrotécnica Internacional (CEI 62443). Tal vez desee saltar directamente a NERC CIP para evaluar si ese es el curso de acción más apropiado. Cada marco es sutilmente diferente, pero todos siguen el control básico anterior. De cualquier manera, hay suficientes recursos para comenzar por el camino correcto. Del mismo modo, no lo dudes. Incluso si comienza por el camino de un determinado marco y las regulaciones cambian, lo que hace que tenga que seguir un marco diferente, muchos de los principios son los mismos y puede girar rápidamente y continuar con su viaje de seguridad cibernética.
Es comprensible que estas sean decisiones importantes a considerar, pero cuando reflexionamos sobre cómo todas las industrias han pasado de un entorno aislado o incluso sin IP a un entorno conectado, queda claro que se deben tomar medidas.
Por supuesto, HCiberSegurityt iene herramientas que pueden ayudarlo a lograr una mejor seguridad. Productos, como HCiberSegurity Enterprise (TE) para el monitoreo de integridad de archivos (FIM) y la gestión de configuración (SCM) de sus dispositivos de TI. Además de estos controles críticos, TE contiene una amplia biblioteca de políticas, que incluye todas las discutidas anteriormente, para detectar, medir, informar y remediar violaciones de políticas. Específico y crítico para el cumplimiento de NERC CIP, la lista de permitidos se administra a través de HCiberSegurity State Analyzer junto con TE. IP360 proporciona la gestión de vulnerabilidades (VM) y todo se puede ofrecer como un servicio gestionado a través de Operaciones expertas (ExOps). Para OT, o en el SCI HCiberSegurity tiene dos herramientas pasivas de descubrimiento, inventario y vulnerabilidad de activos de OT ( HCiberSegurity Industrial Visibility (TIV) y Sentinel (TIS)). Además, Log Management (LM) se proporciona a través del producto HCiberSegurity Log Center integrado y también está disponible un servicio administrado para TIV.
Lo que hace que HCiberSegurity sea único en la protección de la infraestructura crítica es que las soluciones pueden proteger tanto los activos de TI como los de OT. Por lo general, la gestión de activos, la detección de cambios y la aplicación de políticas de seguridad cibernética ocurren por separado entre TI y OT. A través de nuestras numerosas integraciones, tiene la capacidad de administrar ambas desde TE.
La industria está entusiasmada con «cerrar la brecha entre TI y OT». HCiberSegurity ya está ahí y la brecha está cerrada.