in Government, IT & Data security, Industry & utilities
,

Aumenta la legislación sobre amenazas informáticas a servicios públicos                                              

Los sistemas operativos que controlan plantas, refinerías de todo tipo y el flujo eléctrico de las redes de suministro energético – SCADA y DCS [1] – ya están conectadas virtualmente entre sí gracias a métodos de gran complejidad que han borrado las fronteras físicas entre dichas redes.

Cada vez más, estos sistemas se basan en una infraestructura estándar de comunicaciones que si bien aumenta enormemente su eficacia, también las hace más vulnerables frente a ataques malintencionados.

“El nuevo perfil de hacker – sofisticado, educado y con cierto nivel adquisitivo – posiblemente tendrá menos dificultades que antes para penetrar en la red del sistema de una compañía de servicios o suministro energético y quedarse allí dentro sin ser detectado”, se afirma en un informe de PricewaterhouseCoopers.

Usman Sindhu, supervisor de análisis e investigaciones de IDC Energy Insights, cita los ataques informáticos del gusano Stuxnet en 2010 en Irán y el “malware” (software maligno) Night Dragon que afectó a América, Europa y Asia como ejemplos recientes de amenazas avanzadas y persistentes. Sus efectos potencialmente catastróficos (por ejemplo, un apagón masivo) están causando verdaderos quebraderos de cabeza a gobiernos y empresarios.

“La época actual de protección crítica de las infraestructuras arrancó realmente a finales de los 90, cuando los gobiernos se dieron cuenta de que el número de amenazas era cada vez mayor y que ya no bastaba con el control y las defensas de las propias empresas”, explica Sindhu.

Fue entonces cuando la North America Electric Reliability Corporation (NERC) recibió el certificado de la Federal Energy Regulatory Comisión para desarrollar y reforzar las normativas existentes por todo el territorio de Estados Unidos y Canadá.

Esta situación se volvió aún más compleja debido al hecho de que innumerables sistemas que se habían convertido en “redes inteligentes” – gracias al programa de subvenciones Recovery de 2009, destinado a modernizar los sistemas de suministro eléctrico – se encontraron con la desagradable sorpresa de que aquel paso supuso abrir la puerta a toda clase de intrusos.

Estad preparados

En 2011, el London Evening Standard y el New York Times dieron bajas puntuaciones a la preparación de los servicios públicos del Reino Unido y Estados Unidos frente a ataques cibernéticos. Los motivos: la escasa prioridad dada a la protección frente a un fallo general del sistema, la falta de fondos para seguridad en ambos casos, la falta de personal con buena preparación en redes inteligentes e industriales y a la vez en medidas de seguridad sobre el terreno y, por último, los conflictos jurisdiccionales.

Según Sindhu, el congreso estadounidense acaba de introducir 50 proyectos de ley relacionados con los peligros informáticos para proteger a aquellas compañías de servicios eléctricos, petróleo, gas y agua que tienen ramificaciones significativas.

“En primer lugar, las directrices del NERC ya no se consideran suficientes, por lo cual las compañías van a ser las responsables de sostener una sólida arquitectura de seguridad, y habrá un auditor externo testando sus planes de seguridad frente a ataques informáticos.

“En segundo lugar, las empresas tendrán que compartir información sobre incidentes con el Ministerio de Seguridad Interna y con su propio sector. En tercer lugar, las empresas ya están luchando por controlar la seguridad en el desarrollo de sus redes inteligentes, una vez aceptada esta legislación, pero deben hacer un esfuerzo aún mayor. Y en cuarto lugar, la información sobre el consumidor puede ser un tema clave, que conduzca a adoptar resoluciones sobre la notificación de violaciones de privacidad y datos de cara a lograr un ecosistema de red inteligente”, asegura.

Muchos niveles de especialización

Muchos países (entre ellos Canadá, Reino Unido y Australia) están proponiendo ya leyes similares a las del Reino Unido pero, según Sindhu, la mayoría de las propuestas de ley solo abordan la seguridad física de manera indirecta.

Es responsabilidad de los encargados de seguridad de las empresas de servicios ser conscientes de que las redes inteligentes requieren cuatro niveles de especialización interconectada.

Dichos niveles son: los aspectos físicos (cobertura del acceso, cámaras, alarmas, notificaciones en tiempo real), la parte relativa a la seguridad de la red (componentes comunicados entre sí por Internet), los datos que es preciso asegurar constantemente, y por último las aplicaciones que hay que mantener en funcionamiento y bien aseguradas (especialmente, y cada vez más, en dispositivos móviles).

Por tanto, se avecinan cambios globales para las legislaciones que afectan a empresas de servicios públicos, ya sean grandes o pequeñas, públicas o privadas.

 

[1] SCADA – Supervisory Control and Data Acquisition
DCS –  Distributed Control Systems

Por Derek Scheips

Comment

You must be logged in to post a comment.