La ola sin precedentes de ataques cibernéticos de alto perfil contra empresas de agua de Estados Unidos durante el año pasado ha continuado.
En un incidente, piratas informáticos proiraníes irrumpieron en el PLC de una empresa de agua del área de Pittsburgh y desfiguraron la pantalla táctil con un mensaje antiisraelí, lo que obligó a la empresa a volver control manual de su sistema de regulación de presión de agua. Un operador de agua y aguas residuales para 500 comunidades norteamericanas temporalmente conexiones rotas entre sus redes de TI y OT después de que el ransomware se infiltrara en algunos sistemas de back-end y expusiera los datos personales de sus clientes. Los sitios web de los clientes y la red de telecomunicaciones de la empresa de agua regulada más grande de los Estados Unidos han sido eliminados. Está oscuro después de un ciberataque en octubre..
Estas son sólo algunas de las historias más aterradoras que recientemente han provocado temores sobre la seguridad física de los sistemas de agua potable y aguas residuales. Los ciberataques han provocado advertencias y directrices de seguridad de la Agencia de Seguridad de Infraestructura y Ciberseguridad. (CISA)EL Casa BlancaEL FBI y Oficina del Director de Inteligencia Nacional (ODNI)), EL Agencia de Protección Ambiental (EPA)y el Agua ISAC (Centro de Análisis e Intercambio de Información).
La mayoría de los ataques se han dirigido a los objetivos más vulnerables, es decir, pequeñas empresas de agua sin conocimientos ni recursos de seguridad, en ataques principalmente oportunistas. Mientras tanto, los ciberataques a grandes empresas de servicios públicos como Veolia y American Water han afectado a los sistemas informáticos, no a los sistemas operativos, y ninguno de ellos ha interrumpido realmente los servicios de agua. En general, los ciberataques al agua parecían tener como principal objetivo “espiar y erosionar la confianza”, dice Gus Serino, presidente de I&C Secure y ex ingeniero de control de procesos de la Autoridad de Recursos Hídricos de Massachusetts.
Ahora ha comenzado la carrera para proteger el sector del agua –particularmente las pequeñas empresas de servicios públicos más vulnerables– de nuevos ataques cibernéticos. Muchas grandes empresas de servicios de agua ya han «intensificado su juego» asegurando sus redes OT, y otras comenzaron a construir sus infraestructuras de seguridad hace años, señala Dale Peterson, presidente de la consultora de seguridad ICS/OT Digital Bond. “Mi primer cliente en el año 2000 fue una empresa de agua”, recuerda. «Algunos [large utilities] He estado trabajando en esto durante mucho tiempo. »
El desafío es proteger a las pequeñas empresas de servicios públicos, sin sobrecargarlas con una infraestructura de seguridad costosa e innecesaria. Las herramientas que requieren experiencia y gastos generales no funcionan en sitios donde ni siquiera hay soporte de TI dedicado, y mucho menos conocimientos de ciberseguridad. Peterson dice que las recomendaciones gubernamentales para sistemas sofisticados de monitoreo de seguridad son simplemente excesivas para la mayoría de las pequeñas empresas de servicios públicos. Estas pequeñas empresas tienen prioridades mayores y más tangibles, afirma, como reemplazar tuberías viejas o dañadas en su infraestructura física.
Riesgo cibernético ICS/OT: ¿algo en el agua?
Al igual que otras industrias ICS/OT, las empresas de agua de todos los tamaños han equipado sistemas de controladores lógicos programables (PLC) y equipos OT previamente aislados con acceso remoto, para que los operadores puedan monitorear y administrar fábricas remotas de manera más efectiva, para controlar o verificar bombas de agua. alarmas, por ejemplo. Esto pone en riesgo los equipos tradicionalmente aislados.
“Arrancan y paran bombas, ajustan cambios, responden a alarmas o fallas. [in] un sistema. Se conectan de forma remota para mirar las pantallas SCADA/HMI y ver qué está mal o tomar medidas correctivas”, dice Serino de I&C Secure, que trabaja en estrecha colaboración con las empresas de agua. Dice que es raro que estos sistemas estén segmentados adecuadamente y que las VPN «no siempre» se utilizan para un acceso remoto seguro.
Los proveedores de PLC como Siemens construyen cada vez más características de seguridad en sus dispositivos, pero las plantas acuáticas generalmente no utilizan este equipo de nueva generación.
«Aún no he visto PLC seguros implementados» en pequeños sitios de agua, dice Serino. “Aunque hay máquinas nuevas, sus funciones de seguridad no están activadas. Así que si tu [an attacker] Puede entrar y acceder al dispositivo en esa red, puede hacer cualquier cosa que pueda hacer en un PLC.
Debido a que muchos integradores de sistemas ICS/OT que tradicionalmente instalan sistemas OT tampoco implementan seguridad en los equipos y software que instalan en las redes de servicios de agua, estas redes a menudo permanecen expuestas, con puertos abiertos o credenciales predeterminadas. «Necesitamos ayudar a los integradores a crear [and installing] Los equipos SCADA para estas utilidades garantizan su seguridad”, afirma Chris Sistrunk, líder técnico de la consultoría ICS/OT de Google Cloud Mandiant y ex ingeniero senior de Entergy.
Las credenciales predeterminadas son una de las vulnerabilidades de seguridad más comunes que se encuentran en las redes OT, así como en los dispositivos industriales expuestos a la Internet pública. El grupo de piratería Cyber Av3ngers, con sede en Irán, pirateó fácilmente los PLC Unitronics Vision Series fabricados en Israel en ese momento. Autoridad Municipal del Agua de Aliquippa (así como otras empresas de servicios públicos y organizaciones de agua), simplemente iniciando sesión con credenciales de fábrica de controladores fácilmente identificables.
La buena noticia es que algunos grandes integradores de sistemas, como Black & Veatch, están trabajando con grandes empresas de agua para integrar la seguridad en sus nuevas instalaciones OT. Ian Bramson, vicepresidente de ciberseguridad industrial global de Black & Veatch, dice que su equipo trabaja con empresas de servicios públicos que ven la seguridad como una cuestión de seguridad física. «Buscan construir [security] y no encerrarlo”, explica, para evitar consecuencias para la seguridad física debido a controles deficientes de seguridad cibernética.
Limpieza del agua a través de la ciberseguridad
Al mismo tiempo, existen muchos recursos gratuitos de ciberseguridad para empresas de agua con escasez de recursos, incluidos El top 12 de Agua-ISAC Fundamentos de seguridad y evaluación de seguridad gratuita de la Asociación Estadounidense de Obras Sanitarias (AWWA) herramienta para servicios de agua esto les ayuda a mapear sus entornos al marco de ciberseguridad del NIST. Kevin Morley, gerente de relaciones federales de AWWA y experto en ciberseguridad de las empresas de servicios públicos, dice que la herramienta incluye un estudio de la tecnología de la empresa de servicios públicos y luego proporciona una lista priorizada de controles de seguridad que la empresa de servicios públicos debe adoptar y abordar, centrándose en el riesgo y la resiliencia.
«Crea un mapa de calor» de las debilidades y riesgos de seguridad de la empresa de servicios públicos, afirma. Esto ayuda a dotar a una empresa de servicios públicos de un caso de negocio para la ciberseguridad en el proceso de presupuestación. «Pueden acudir a los dirigentes y decirles: ‘hicimos este análisis y esto es lo que encontramos'», explica.
También hay un nuevo programa de voluntariado electrónico que ayuda a las empresas de agua rurales. La Asociación Nacional de Agua Rural se asoció recientemente con DEF CON para conectar a expertos voluntarios en ciberseguridad con empresas de servicios públicos que necesitan asistencia en ciberseguridad. Seis empresas de servicios públicos de Utah, Vermont, Indiana y Oregón incluyen una cohorte inicial DEF CON personalizada proyecto franklin, donde expertos voluntarios en seguridad de ICS/OT evaluarán su postura de seguridad y los ayudarán a asegurar y proteger sus sistemas OT contra amenazas cibernéticas.
Sistrunk de Mandiant, que se desempeña como experto cibernético voluntario para algunas pequeñas empresas de servicios públicos, destaca tres medidas de seguridad principales y fundamentales que las pequeñas (y grandes) empresas de servicios públicos deberían seguir para mejorar sus defensas: adoptar autenticación multifactor, especialmente para el acceso remoto a sistemas OT; almacenar copias de seguridad fuera de línea o con un tercero de confianza; y tener un plan de respuesta escrito sobre a quién llamar en caso de un ataque cibernético.
Serino también recomienda un firewall. «Consiga un firewall si no tiene uno, configúrelo y bloqueelo para controlar los flujos de datos entrantes y salientes», dice. Es común que los cortafuegos de una empresa de agua estén mal configurados y se dejen completamente abiertos al tráfico saliente, señala: «Si un adversario puede entrar, podría establecer su propia persistencia y comando y control, reforzando así el perímetro» para ambos lados. y el tráfico entrante es significativo.
También recomienda el registro centralizado de los sistemas OT, especialmente para grandes empresas de agua con recursos para respaldar las operaciones de registro y detección: «Tener la capacidad de detectar un problema para poder detenerlo antes de que logre el objetivo final de causar un impacto. »
