Cómo hacer que la infraestructura crítica sea más segura: queda un largo camino por recorrer

Hacer que la infraestructura crítica sea más segura en Ars Frontiers. Haga clic aquí para la transcripción.

En el período previo a Ars Frontiers, tuve la oportunidad de hablar con Lesley Carhart, directora de Respuesta a Incidentes en Dragos. Conocido en Twitter como @hacks4pancakes, Carhart es un veterano en la respuesta a incidentes cibernéticos que afectan la infraestructura crítica y ha estado lidiando con los desafíos de asegurar los sistemas de control industrial y la tecnología operativa (OT) durante años. Por lo tanto, parecía apropiado que ella opinara sobre lo que se debe hacer para mejorar la seguridad de la infraestructura crítica tanto en la industria como en el gobierno, particularmente en el contexto de lo que está sucediendo en Ucrania.

Mucho de esto no es territorio nuevo. “Algo que hemos notado durante años en el espacio de la ciberseguridad industrial es que personas de diferentes organizaciones, tanto militares como terroristas de todo el mundo, se han estado posicionando previamente para hacer cosas como sabotaje y espionaje a través de computadoras durante años”, explicó Carhart. . Pero este tipo de cosas rara vez llaman la atención porque no son llamativas y, como resultado, no reciben la atención de quienes tienen los hilos del dinero para inversiones que podrían corregirlos.

Como resultado, dijo Carhart, las organizaciones que buscan beneficiarse de la explotación de la tecnología industrial han pasado años “tratando de desarrollar su capacidad para que, cuando surja una situación geopolítica, les resulte fructífero hacerlo, [they would] ser capaz de atacar los sistemas de infraestructura utilizando cibernéticos”.

Un ejemplo de estas capacidades es Pipedream, “una colección de herramientas que podrían usarse para entrometerse potencialmente en los sistemas de control industrial y causar un impacto en ciertos tipos de sistemas”, señaló Carhart. Pipedream fue descubierto por profesionales de la seguridad antes de que pudiera usarse para causar daño, pero demuestra que “las personas se están posicionando para hacer cosas en el futuro”, dijo Carhart. “Han aprendido a lo largo de los años, y ciertamente en los últimos meses, que las operaciones de sabotaje, espionaje e información pueden ser increíblemente valiosas como elemento de la guerra tradicional… para desmoralizar a los enemigos, sembrar confusión y disidencia, y también impactar en los críticos. servicios que utiliza una población civil mientras también se enfrenta a un conflicto armado”.

Las personas que intentan defender las redes industriales están haciendo mucho, y se está trabajando mucho para mejorar la seguridad de los sistemas industriales y prepararse para los problemas. Pero, “algunas industrias cuentan con muchos más recursos que otras” para esas tareas, señaló Carhart. Los servicios públicos de propiedad municipal no están en la misma posición en cuanto a recursos que las grandes corporaciones con vastos recursos de seguridad cibernética. La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. y otras organizaciones están tratando de ayudar a proporcionar los recursos que necesitan los servicios públicos municipales y otros más pequeños. Pero cuánto puede hacer CISA en el futuro para proteger a estas organizaciones y otros proveedores estatales y locales de infraestructura crítica es una pregunta abierta.

La tecnología operativa tiene un ciclo de vida mucho más largo que la TI “normal”. Hablamos sobre lo que eso significa, tanto desde el punto de vista de asegurar OT existente como de encontrar a las personas que hagan el trabajo crítico para establecer y mantener esa seguridad. Si bien se están produciendo algunas mejoras en la seguridad a medida que Windows 10 se abre paso en los sistemas integrados y otros OT, dijo Carhart, “probablemente veremos Windows 10 durante otros 30 años en esos entornos”, y junto con eso, muchas de las mejoras de seguridad. retos a los que TI se ha enfrentado durante años.

Imagen del listado por gremlin / Getty Images

Leave a Reply

Your email address will not be published.