En els darrers temps s'ha vist com les xarxes elèctriques s'han convertit en un focus d'atacs de ransomware, bàsicament perquè és un entorn que presenta molts objectius. Els actius i sistemes que conformen les operacions de la xarxa elèctrica, han anat evolucionant des de la tecnologia analògica cap a la digital.
Tot i que els propòsits comercials de l'entorn OT són molt diferents als de la IT, ambdós sistemes són dinàmics i canvien amb freqüència de manera que, estan subjectes a les mateixes debilitats i vulnerabilitats del codi i protocols a les quals són susceptibles tots aquests sistemes lògics. S'ha d'acceptar el fet que hi haurà errors en les seves diferents interfícies, funcions i protocols de comunicació i seguretat subjacents.
Per altre banda, l'arribada de les criptomonedes, permeten fer transaccions difícils de rastrejar. Això per si sol ha permès als hackers perseguir objectius més grans. L'electricitat, l'aigua, el transport o la cadena alimentària són serveis bàsics per a milions de persones de manera que, els beneficis econòmics no són l'única motivació. En l'actual entorn global geopolític, aquests hackers també tenir interesos i fins i tot, poden estar directament recolzats per altres que busquen alguna cosa diferent tal com podrai ser: poder, control o avantatge per a les capacitats d'atac no cinètics, d'un estat-nació adversari.
Llavors, què passa amb els mateixos operadors de xarxa elèctrica? A causa de la preocupació per la fiabilitat de la xarxa, històricament han buscat l'estabilitat i per això, s'han resistit als canvis ràpids tecnològics, tret que es considerés absolutament necessari. Per tant, els sistemes formats per elements digitals, cada cop són més complexos tals com: els relés de protecció, els sensors, les HMI, els interruptors, etc. Els que acaben essent els sostenidors i defensors de la xarxa, són sistemes molt complexos amb una infinitat d'objectius per protegir, objectius que estan subjectes a constants canvis i per tant, vulnerabilitats.
Per exemple, als EUA, hi ha un nivell de cooperació i coordinació força bo pel que fa a la ciberdefensa. Cadascun d'ells, contribueix a la preparació per a la ciberseguretat a la seva manera. Però tot i que hi ha una bona cooperació, esdevé un altre repte dels Cyber Attack for Ransome (CAFR) on alguns canvis ens poden portar cap a una millor cooperació orientada a ajudar en l'entorn OT per fer un ús efectiu i segur.
De fet, cal quelcom més enllà dels marcs, estàndards i especificacions disponibles i que era clarament són de naturalesa no digital. És a dir, una comprensió més profunda sobre el procés d'operacions el qual, cada cop és més complex.
Tot i que s'ha prestat molta atenció a la tecnologia de la ciberseguretat, el flux de treball humà i el procés d'operació no han canviat. Tenint en compte les efectives respostes de ransomware, això és un gran error, perquè la ciberseguretat no pot proporcionar tot el que es requereix. Per això cal la ciberhigiene clàssica entesa com: El conjunt de pràctiques basades en tecnologia centrades a mantenir la salut digital i la seguretat de les dades dels dispositius i les xarxes d'una organització. Això pot incloure la confidencialitat de la informació digital, la integritat i l'accés segur, protegint les dades de possibles amenaces cibernètiques.
Aquesta definició acaba essent un tallafocs, llistes de control d'accés a la xarxa, llista blanca d'aplicacions, antivirus, detecció d'intrusions, gestió d'accés a la identitat, etc. Aquestes proteccions són fonamentals per a la resistència als atacs de ransomware, però ho són menys per a una eficaç resposta. Si, de moment es suposa que els hackers reballen per un estat i, han estat explorant i investigant diverses operacions de xarxa durant anys (i ho han fet), una vegada que s'està produint un atac ransomware i sorgeix un rellotge a la pantalla d'un ordinador amb una compte enrere, aquest no és el moment de provar d'esbrinar com van entrar, ni és hora de fer reunions de planificació.
Lo millor contra l'atac, és un pràctic plà de resposta que sigui poc complex i estigui a punt per aplicar i disposar de desencadenants aprovats per indicar quan s'ha d'executar. Els mecanismes de resposta han de contemplar la capacitat de detecció, la d'aïllament ràpid i la recuperació.
Normalment, aconseguir aquestes capacitats no requereix més ciberhigiene, sinó una millor comprensió de les xarxes de comunicacions de l'organització (virtuals i físiques) i del flux de treball de les operacions i els processos de suport.
L'aïllament en qüestió requereix arquitectures de xarxa de dades en nivells i modulars ben dissenyades (físiques i lògiques).
Per que una xarxa de resposta CAFR tingui èxit, cal treballar per una entesa molt més profunda de les pròpies operacions, mentre tenen en compte, el disseny de la xarxa de dades, els recursos humans que realitzen el dia a dia per operar una xarxa conjutament amb els proveïdors i contractistes que aporten components, programari i serveis. Tots ells, requereixen cert nivell d'accés als sistemes. La higiene cibernètica és la meitat de l'equació de defensa-resposta; les persones i el procés són l'altre, i tots dos són necessaris.
Ramon Gallart
Cap comentari:
Publica un comentari a l'entrada