Un informe reciente de los congresistas Edward Markey (demócrata por
Massachusetts) y Henry Waxman (demócrata por California) hace referencia
a más de una docena de compañías de servicios públicos que reconocieron
que están experimentando ataques cibernéticos diarios y persistentes sobre sus redes de energía (APT).
Aunque estadísticamente similar a las empresas de otros sectores, hay
una mayor preocupación debido a que un ataque cibernético en el sector
de la energía EE.UU. tiene el potencial de ser económicamente devastador
y conducir a la pérdida de vidas.
Las normas de cumplimiento de North American Electric Reliability Corporation (NERC) prohiben conectar redes críticas de cara a los consumidores o en redes administrativas pero el crecimiento de este tipo de conexiones no deja de crecer y las organizaciones se comenzaron a dar cuenta que el cumplimiento de una regulación no es igual a tener seguridad realmente implementada. El cumplimiento es un gran motivo para comenzar a hablar seguridad, pero las organizaciones tienen que ir más allá.
Por ejemplo:
- ¿Existe la necesidad de estar conectado a Internet para recibir las actualizaciones antivirus?
- Si no están conectados a Internet ¿estos sistemas están realmente protegidos?
- Si están conectados a Internet, ¿están protegidos contra otros ataques en línea?
Una tubería, por ejemplo, tiene una variedad de puntos de control a
los cuales potencialmente se puede acceder de forma remota o manual. La
posibilidad de ataque al sector de energía de EE.UU, corromper un
proceso de refinación, detener un taladro o causar un apagón existe. Lo
único que falta es la motivación necesaria.
La arquitectura de red y hardware detrás de gran parte de la infraestructura energética se desarrolló antes de que ataques cibernéticos sofisticados sean una realidad. No es una simple cuestión de tirar unos cuantos millones de dólares para que los problemas desaparezcan. Son necesarios grandes cambios y no todos son de naturaleza tecnológica. La cultura de seguridad tiene que cambiar.
El temor es que se necesitará un evento catastrófico para impulsar la adopción generalizada de soluciones de seguridad más eficaces
La arquitectura de red y hardware detrás de gran parte de la infraestructura energética se desarrolló antes de que ataques cibernéticos sofisticados sean una realidad. No es una simple cuestión de tirar unos cuantos millones de dólares para que los problemas desaparezcan. Son necesarios grandes cambios y no todos son de naturaleza tecnológica. La cultura de seguridad tiene que cambiar.
El temor es que se necesitará un evento catastrófico para impulsar la adopción generalizada de soluciones de seguridad más eficaces
0 comentarios:
Publicar un comentario