1 31 Table of Contents 33 108

Facility Management and Services 018

32 S MART SECURITY ARTÍCULO TÉCNICO E l pasado 19 de marzo, Reu- ters hacía público un ciberata- que contra Norsk Hydro, uno de los mayores productores de alumi- nio del mundo. La compañía noruega se vio obligada a cerrar varias plantas de extrusión de metales y productos laminados, y al mismo tiempo operar manualmente sus gigantescas fundicio- nes. El culpable de todo esto fue Loc- kerGoga, un ransomware que ya había atacado con anterioridad a la francesa Altran y a las químicas estadouniden- ses MPM Holdings y Hexion. A diferencia de otros ataques re- cientes, como Industruyer/Crashove- rride o Triton, LockerGoga no está dirigido específicamente para siste- mas industriales (es un malware orien- tado a plataformas Windows, por lo que podría afectar a múltiples secto- res), pero su efecto sobre equipos y redes de control y automatización y control (SSACI) supone un signifi- cativo impacto enorme para la pro- ducción. El hecho de que un inmen- so porcentaje de los ataques se re- gistraran en el sector industrial no es algo casual, ya que, para las empresas que operan en este sector, cualquier interrupción o anomalía que afecte a la producción supone pérdidas enor- mes. Obviamente, un gran incentivo para el pago de un rescate. Recomendaciones Los escenarios de malware que pue- de afectar a los sistemas industria- les son muy variados. De hecho, he- mos visto ya nuevos escenarios com- binados, como en el caso del grupo Sandworm Team, que combina téc- nicas manuales y malware a medida. Ante este escenario cambiante y cada vez más peligroso, las organizaciones industriales requieren incrementar sus medidas de ciberseguridad a ni- vel global, con estrategias de defen- sa en profundidad y abarcando todas las funciones (por ejemplo, como las define el NIST). Una vez conseguido todo esto, existen algunas recomen- daciones que cabe detallar: A nivel de identificación , es reco- mendable realizar evaluaciones de seguridad a nivel técnico, de gober- nanza y de cumplimiento, incluyen- do los procedimientos y metodolo- gías de trabajo. Se han de evaluar los procedimientos de prestación de servicios, mantenimiento de sis- temas, acceso a los dispositivos, in- ventariado, etcétera, para identifi- car las vulnerabilidades y potencia- les amenazas. En el ámbito de la detección , es con- veniente el despliegue de solucio- nes de detección de anomalías en el comportamiento de los sistemas in- formáticos de automatización y con- trol, la monitorización continua y su integración en un Centro de Ope- raciones de Ciberseguridad para su investigación. Igualmente, es funda- mental estar al tanto de las últimas alertas de ciberseguridad sobre inci- dentes y vulnerabilidades que afec- ten a los sistemas de automatización y control. Desde la perspectiva de la pro- tección , será necesario implantar de medidas de control de accesos, tanto físicos como lógicos, que de- ben aplicar por extensión a emplea- dos y empresas de mantenimiento y a subcontratas. Y, por supuesto, la seguridad física habrá de aplicarse también con la idea de soportar la ciberseguridad. La implementación de soluciones de control de acceso remoto y el despliegue de redes pri- vadas virtuales son otros elementos a tener en cuenta, y, por supuesto, habrá de contemplarse la segmen- tación y segregación de la red, so- luciones antimalware basadas en lis- tas, cifrado en almacenamiento y en tránsito, autenticación criptográfica en los mensajes, etc. Y, por supues- to, hay que tener en cuenta que la formación y concienciación del per- sonal son esenciales. Las fases de respuesta y recupe- ración ante incidentes son cada vez más críticas. Desde la perspec- tiva de la respuesta, es importan- te disponer de personal capacita- do y cualificado que haya diseña- do y sepa poner en marcha estra- tegias de mitigación y contención, así como de realizar forenses en el ámbito industrial. En el caso de la recuperación, se recomienda que esté soportada por medidas basa- das en la alta disponibilidad, redun- dancia y las copias de seguridad (in- cluidas las estrategias de control), de manera que sea posible restau- rar la operativa en muy poco tiem- po tras un incidente. Norsk Hy- dro, por ejemplo, ha seguido una estrategia de recuperación basada en restaurar los equipos afectados desde los servidores de respaldo, lo que indica la importancia de es- tas medidas. Elyoenai Egozcue Responsable de Ciberseguridad para Sistemas de Control Industrial en S21sec Ataques contra infraestructuras industriales: cuatro aspectos esenciales a tener en cuenta

RkJQdWJsaXNoZXIy MzA3NDY=