Los profesionales de ciberseguridad enfrentan desafíos importantes en materia de seguridad de TO: informe de Ponemon

El 62 % de las organizaciones en industrias que dependen de la tecnología operativa sufrieron dos o más ataques cibernéticos que afectaron los negocios en los últimos 24 meses, según un informe del Ponemon Institute y Tenable.

Si usted sigue las noticias sobre ciberseguridad tan ávidamente como nosotros, ya sabe que los sistemas de control industrial que sustentan las infraestructuras críticas son vulnerables y están amenazados. Pero ¿qué tan grave es? Tenable le encargó a Ponemon Institute que respondiera a esta pregunta y proporcionara perspectivas sobre los eventos pasados, la preparación y las prioridades futuras. Los datos de 701 encuestados pertenecientes a industrias que cuentan con infraestructura de OT se presentan en el informe "Ciberseguridad en la tecnología operativa: 7 perspectivas que debe conocer". A continuación, se analizan algunos aspectos destacados.

La OT no está bien defendida, y las vulnerabilidades abundan

La visibilidad hacia la superficie de ataque es insuficiente. Solo el 20 % de los encuestados estuvieron de acuerdo o totalmente de acuerdo en que tenían la visibilidad suficiente hacia la superficie de ataque de su organización. Esto es muy preocupante, porque todos los controles/procesos de seguridad dependen de la visibilidad que proporcionan los inventarios de activos completos. Es poco probable que gestione y proteja los activos si ni siquiera los conoce.

La falta de personal y los procesos manuales limitan la gestión de vulnerabilidades. La escasez de profesionales de ciberseguridad está bien documentada. En 2017, Forbes citó a IS Audit and Control Association (ISACA), que predecía una escasez global de 2 millones de profesionales de la ciberseguridad para 2019. Ahora estamos en 2019, y no he observado ningún dato que desmienta la predicción de ISACA. La tan anunciada escasez de personal con habilidades de ciberseguridad se ve agravada por la dependencia de los procesos manuales para evaluar y reparar las vulnerabilidades.

Principales impedimentos para la gestión eficaz de las vulnerabilidades

En una escala de cinco puntos, que va de “totalmente de acuerdo” a “totalmente en desacuerdo”, el siguiente porcentaje de encuestados estuvieron de acuerdo o totalmente de acuerdo con las afirmaciones a continuación.

Fuente: "Ciberseguridad en la tecnología operativa: 7 perspectivas que debe conocer", Ponemon Institute y Tenable, abril de 2019.

Las vulnerabilidades continúan proliferando. La capacidad de evaluar y reparar las vulnerabilidades de manera oportuna es sumamente importante. En los primeros 45 días de 2019, el Equipo de Respuesta ante Emergencias Informáticas y de los Sistemas de Control Industrial (ICS-CERT, por sus siglas en inglés) emitió 45 alertas que describían vulnerabilidades en los sistemas de control¹. Estas vulnerabilidades se aplican a los productos de los principales fabricantes de sistemas de control, entre ellos, ABB, AVEVA, Mitsubishi, Omron, Rockwell, Schneider Electric, Siemens y Yokogawa. Esa cantidad es pequeña en comparación con las 405 vulnerabilidades de TI descubiertas durante el mismo período. Sin embargo, el personal responsable de la seguridad de OT no puede enfocarse únicamente en las vulnerabilidades de OT, dado que la convergencia de TI/OT significa que las vulnerabilidades de ICS y de TI pueden aprovecharse para atacar infraestructuras críticas. 450 vulnerabilidades combinadas de OT y TI en 45 días representa un desafío para muchas organizaciones a la hora de evaluar y reparar. Este ritmo puede continuar o no a lo largo del año, pero incluso si disminuye a la mitad, la cantidad es difícil de manejar sin un proceso automatizado.

La OT está amenazada

Según el informe de Perspectivas de Ciberseguridad en Tecnologías Operativas, los procesos manuales de gestión de vulnerabilidades generan una protección inadecuada contra los ataques cibernéticos. El informe revela que la mayoría de las organizaciones de las industrias que cuentan con infraestructura de OT experimentaron múltiples ataques cibernéticos que han causado filtraciones de datos e interrupciones/tiempos de inactividad significativos en las operaciones de negocios, la planta y los equipos operativos. Durante los últimos 24 meses:

• El 90 % ha sufrido, al menos, un ataque cibernético perjudicial, y el 62 % ha experimentado dos o más. Estos datos se refieren a todos los ataques perjudiciales, no solo a los ataques contra la infraestructura de OT. Los ataques de TI se incluyen porque algunos pueden ocasionar que los atacantes pasen de TI a OT.
• El 50 % experimentó un ataque contra la infraestructura de OT que ocasionó tiempo de inactividad en la planta o los equipos operativos.
• El 23 % experimentó un ataque originado por estados nación. Cerca de una cuarta parte pudo atribuir un ataque a un estado nación. Esta es una preocupación grave, debido al alto nivel de experiencia y financiamiento que pueden proporcionar los estados nación. Los atacantes de estados nación no son “script kiddies”.

¿Cómo puede proceder?

La estudio revela que el 70 % de los encuestados consideran que “Aumentar la comunicación con la alta dirección y la junta directiva sobre las amenazas cibernéticas que enfrenta nuestra organización” es una de sus prioridades de gobernanza para 2019. Si esto se aplica a usted, puede hacer referencia a los datos de la encuesta en las reuniones con el liderazgo ejecutivo mientras analiza la postura de seguridad de su organización en relación con los ataques contra la OT.

Acerca de este estudio

Este informe se basa en una encuesta realizada a 710 tomadores de decisiones de TI y de seguridad de TI en los siguientes sectores: energía y servicios públicos; salud e industria farmacéutica; industria y manufactura; y transporte. Los encuestados eran de los Estados Unidos, Reino Unido, Alemania, Australia, México y Japón, y todos ellos están involucrados en la evaluación y/o gestión de las inversiones en soluciones de ciberseguridad dentro de sus organizaciones. En este informe, se presentan los hallazgos globales unificados.

¹Tenable Research descubrió una vulnerabilidad de ejecución remota de código en InduSoft Web Studio, una herramienta de automatización para los sistemas de interfaz hombre-máquina y SCADA.