Las implicaciones de la Directiva para Oleoductos y Gasoductos DHS-TSA 2021-1

El Departamento de Seguridad Nacional ha publicado una guía clave para las operaciones del sector del petróleo y gas como consecuencia de las recientes ciberamenazas. A continuación, se presentan tres formas prácticas de desbaratar las rutas de ataque en su infraestructura de OT. 

La industria del petróleo y gas depende, en gran medida, de la automatización para diversas operaciones diferentes entre sí. La orquestación de las operaciones necesarias para encontrar, extraer, refinar, mezclar, colaborar con terceros y, en última instancia, suministrar petróleo y gas, depende de la infraestructura de la tecnología operativa (OT).

Las recientes perturbaciones en los entornos de OT de las infraestructuras críticas, incluyendo el incidente del que fue objeto el oleoducto Colonial, han puesto de manifiesto la susceptibilidad de este tipo de infraestructuras a las vulnerabilidades de ciberseguridad, a las amenazas y a las posibles interrupciones. 

Además, los ataques contra el sector del petróleo y gas incluyen los siguientes:

• Febrero de 2020: un ataque cibernético contra una instalación de gas natural cifró simultáneamente las redes de TI y OT, y bloqueó el acceso a la interfaz hombre-máquina (HMI), los historiadores de datos y los servidores por consulta. El oleoducto se vio obligado a cerrar durante dos días.
• Diciembre de 2018: un contratista italiano de la industria del petróleo y gas fue víctima de un ataque cibernético que afectó a servidores con sede en Medio Oriente, la India, Escocia e Italia.

• Abril de 2018: un ataque cibernético a una red de datos compartidos obligó a cuatro de los operadores de gasoductos de gas natural de los EE. UU. a cerrar temporalmente las comunicaciones informáticas con sus clientes.

• Agosto de 2017: el grupo de hackers Xenotime logró que cerrara una instalación de petróleo y gas natural en Arabia Saudita.


La Directiva para Oleoductos y Gasoductos 2021-1 emitida por la Administración de Seguridad en el Transporte (TSA) del Departamento de Seguridad Nacional (DHS)

El 28 de mayo de 2021, la Administración de Seguridad del Transporte (TSA) del Departamento de Seguridad Nacional (DHS) de EE. UU. emitió la Directiva de Seguridad 2021-1 dirigida concretamente a las operaciones de oleoductos y gasoductos. Si bien se han promulgado anteriormente otros estándares para la industria del petróleo y gas (consulte la lista a continuación), esta directiva se emitió debido a una amenaza de seguridad en curso contra las operaciones de oleoductos y gasoductos en Estados Unidos. Se trata de un importante punto de inflexión en la protección de entornos de infraestructuras críticas que, de otro modo, podrían estar en situación de riesgo.

La Directiva de Seguridad para Oleoductos y Gasoductos 2021-1 orienta a los operadores de este tipo de infraestructura en tres áreas clave:

1. Los propietarios y operadores de oleoductos y gasoductos deben informar los incidentes de seguridad a la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA).

2. Debe asignarse un coordinador de ciberseguridad que esté disponible las 24 horas del día, los siete días de la semana, para coordinar las prácticas de seguridad, cumplir con los requisitos concretos expuestos en la directiva y reaccionar cuando se produzcan incidentes.

3. Las instalaciones de petróleo y gas deben evaluar sus prácticas y actividades actuales relacionadas con la ciberseguridad para responder a los riesgos cibernéticos en comparación con las Directrices de Seguridad para Oleoductos y Gasoductos de 2018 de la TSA, identificar las deficiencias entre sus prácticas actuales de ciberseguridad y las que figuran en dichas directrices, y elaborar planes de corrección para subsanar esas deficiencias. 


Estándares clave para la industria de petróleo y gas

National Institutes of Standards and Technology (NIST) Cybersecurity Framework (CSF): el marco de referencia adoptado por las compañías de todos los sectores industriales. Las compañías del sector del gas natural y del petróleo centran cada vez más sus programas empresariales en el NIST CSF.


Estándar IEC 62443 de la Comisión Electrotécnica Internacional (CEI). Familia de estándares para la seguridad de los sistemas de control industrial (ICS) Adoptado ampliamente por el segmento de producción de la industria del gas natural y del petróleo. Aplicable a todos los tipos de ICS para el sector del gas natural y el petróleo.


Estándar API 1164: contenido exclusivo para oleoductos y gasoductos, que no está cubierto por el NIST CSF ni el estándar IEC 62443.


Modelo de madurez de la capacidad en materia de ciberseguridad del Departamento de Energía: proceso voluntario que utiliza las mejores prácticas aceptadas por la industria para medir la madurez de las capacidades de ciberseguridad de una organización y fortalecer las operaciones.


Estándar ISO 27000 de la Organización Internacional de Normalización: estándar principal que establece los requisitos para un sistema de gestión de la seguridad de la información (SGSI).


Tres prácticas recomendadas clave relacionadas con la seguridad de los activos de OT para reducir el riesgo

Si bien la Directiva DHS-TSA 2021-1 hace hincapié en las necesidades clave de los operadores del sector del petróleo y gas, el mayor desafío para la mayoría de las organizaciones es cómo poner en práctica los tres componentes clave que establece dicha la directiva:

• identificación de riesgos; 

• corrección de las deficiencias en materia de seguridad; y

• la mitigación de los incidentes en caso de que se produzcan. 


Las siguientes son tres mejores prácticas clave relativas a la seguridad de los activos de OT que creemos que deben implementarse de manera exhaustiva y prioritaria para proteger las operaciones de los oleoductos y gasoductos, y conservar su capacidad de recuperación.

1. Obtener visibilidad y conocimientos exhaustivos. La industria del petróleo y gas exige operaciones sincronizadas a través de toda la infraestructura, así como también el acceso a credenciales por parte de un público amplio y heterogéneo. Active Directory (AD) cobra aquí un papel clave y, en el caso del oleoducto Colonial, el ataque de ransomware se aprovechó de este vector de ataque. Las personas que utilizan AD pueden incluir empleados, socios, agentes y subcontratistas autorizados. Los requisitos de acceso pueden extenderse más allá de la planta propiamente dicha hasta otros lugares de perforación u oleoductos alejados o remotos, en todo el mundo. Por consiguiente, es indispensable mantener un control de acceso y de configuración que abarque tanto las instalaciones principales como todas las ubicaciones, independientemente de lo alejadas o dispersas que estén. La solución en materia de seguridad de los activos de OT debe contar siempre con la inteligencia de los dispositivos individuales en todas las ubicaciones, incluyendo, entre otros, los controladores lógicos programables (PLC), los controladores de la interfaz hombre-máquina (HMI), las estaciones de ingeniería, los equipos de red, las puertas de enlace y todos los demás dispositivos críticos para el funcionamiento normal de la red. Es fundamental tener un conocimiento profundo, incluyendo la visibilidad hacia todo tipo de dispositivos, niveles de parches, versiones de firmware e información del plano posterior. También es crítico tener en cuenta los dispositivos inactivos que no se comunican periódicamente a través de la red.
2. Identificar las amenazas. Si bien las operaciones de OT de los proveedores en el sector del petróleo y gas alguna vez estuvieron aisladas de las redes inseguras, hoy en día están conectadas a los activos de TI y permiten el acceso desde cualquier lugar. Esta convergencia genera un entorno que puede afectar a la integridad del proceso de exploración, extracción, refinación y suministro de petróleo. El hecho de que las operaciones de petróleo y gas ya no estén aisladas permite la penetración de los agentes maliciosos en diversas partes del entorno operativo, ya sea del lado de los activos de TI o de OT. Es imprescindible utilizar tres motores de detección para identificar diversos comportamientos sospechosos:
   • El mapeo y la visualización del tráfico permiten identificar los intentos de comunicación procedentes de fuentes externas y emitir alertas sobre ellos, además de determinar aquellos dispositivos que no deberían comunicarse entre sí.

   • La detección de anomalías posibilita delimitar con precisión los patrones de tráfico que son ajenos al funcionamiento normal de la red.
   • La detección basada en firmas permite identificar amenazas conocidas empleadas por los atacantes.

3. Cerrar vulnerabilidades más rápido La mayoría de los entornos en el sector del petróleo y gas contienen una mezcla de dispositivos antiguos que no se encuentran en los entornos de TI. Debido a los diferentes niveles de parches en cada tipo de dispositivo, es difícil mantener un programa de gestión de parches actualizado. Los entornos del sector del petróleo y gas pueden no tener ventanas de mantenimiento frecuentes o suficientemente extensas, por lo que es posible que no se coloquen parches a las vulnerabilidades conocidas durante un tiempo prolongado. Es fundamental mantener percepciones profundas del estado y las características de todos los dispositivos. Esto incluye contar con una correspondencia precisa entre los estados concretos de los dispositivos y la base de conocimientos disponible sobre las vulnerabilidades que tiene exploits asociados. Dada la naturaleza dinámica de los entornos de la industria del petróleo y gas, este cuerpo de conocimientos debe mantenerse sincronizado con las vulnerabilidades recién detectadas. El Índice de Priorización de Vulnerabilidades (Vulnerability Priority Rating, VPR) de Tenable, por ejemplo, puede proporcionar una lista clasificada de vulnerabilidades, desde la más grave hasta la menos grave, con base en diversos factores como la puntuación del Sistema de Puntuación de Vulnerabilidades Comunes (CVSS), la gravedad y la explotabilidad de las vulnerabilidades, y mucho más. 


En resumen

Hoy en día, se sabe que la ciberseguridad de los activos de OT es un ingrediente fundamental para garantizar una infraestructura crítica de la cual depende la sociedad, que sea confiable, eficiente y segura. Usted necesita una visibilidad, seguridad y control totales de todos sus activos operativos. Hoy en día, resulta más importante que nunca adoptar los mejores enfoques en materia de seguridad de los activos de OT, tanto en lo que se refiere al cumplimiento de los estándares existentes así como también de esta nueva directiva del DHS, pero también como parte de la obligación de cuidar a nuestras comunidades. Las condiciones de las amenazas, en constante cambio, obligan a disponer de un profundo conocimiento situacional en tiempo real, tanto en el plano de la red como en el de los dispositivos. El conocimiento situacional debe actualizarse periódicamente y mantenerse sincronizado con las vulnerabilidades, amenazas y deficiencias detectadas en los últimos tiempos. Toda desviación debe registrarse en tiempo real y documentarse. Es indispensable un seguimiento completo en papel, que refleje todos los cambios que se producen en el entorno. La recopilación y el mantenimiento de esta información detallada puede ayudar a acelerar la respuesta ante incidentes, a destacar y priorizar aquellas vulnerabilidades detectadas recientemente, y a demostrar el cumplimiento proactivo, tanto internamente como ante las organizaciones de cumplimiento que lo requieran.

Para obtener más información

• Lea el blog: Ataque de ransomware al oleoducto Colonial: cómo reducir el riesgo en entornos de OT.
• Visite la página de soluciones: Ciberseguridad industrial para proteger las operaciones de petróleo y gas. 

• Descargue el documento técnico: Ciberseguridad de infraestructuras críticas.