Por qué es el nuevo objetivo de los ciberdelincuentes Una discusión con Ian Bramson

La cantidad de ataques lanzados contra infraestructura crítica por parte de grupos de estados nacionales se duplicó en el último año, según el 2022 Informe de defensa digital de Microsoft. En el período de julio de 2021 a junio de 2022, los ataques cibernéticos a empresas de infraestructura de TI, servicios financieros, transporte y comunicaciones representaron el 40% de la actividad total en comparación con solo el 20% en el período anterior de 12 meses.

Mathieu Gorge, director ejecutivo de VigiTrust, e Ian Bramson, director global de ciberseguridad industrial de ABS Group, se sentaron para analizar los problemas relacionados con la seguridad de la infraestructura crítica, el papel de OT y TI en la protección de las instalaciones críticas y cómo los líderes de seguridad pueden comunicar estos preocupaciones a los miembros de la junta y aquellos en la suite C.

Seguridad de infraestructura crítica

A raíz de ataques como los contra el Irish Health Service Executive (HSE), Colonial Pipeline y JBS Food, el mundo se ha dado cuenta de la importante amenaza que representa el ransomware para el conjunto de sistemas, redes y activos esenciales que facilitan la vida de un país. sociedad y economía. Este conjunto de instalaciones y proveedores de servicios se conoce comúnmente como "infraestructura crítica" y abarca cosas como sistemas educativos, instalaciones de salud pública, plantas de energía, sistemas de transporte, plantas de tratamiento de agua y servicios de seguridad, entre otros.

El riesgo de seguridad para la infraestructura crítica se ha disparado en los últimos años a medida que las integraciones digitales en entornos heredados abrieron estas instalaciones para ataques. Los actores de amenazas se dieron cuenta rápidamente del potencial de ganancia financiera asociado con la interferencia en estos sectores, lo que llevó a los gobiernos y entidades privadas a intensificar sus discusiones sobre la seguridad de los servicios esenciales.

Infraestructura crítica y ataques de tendencia

Según Ian Bramson, el entorno de amenazas está evolucionando. Los ataques se están volviendo más sofisticados a medida que los actores independientes y respaldados por naciones han cambiado su enfoque de los entornos informativos a los operativos.

Aunque ha habido otros ejemplos en el pasado, como Stuxnet en 2010—ataques como el del Oleoducto Colonial han servido como una señal de advertencia de que los sectores público y privado deben fortalecer su seguridad para tales sistemas. Al mismo tiempo, han despertado el interés de los ciberdelincuentes, ya que han demostrado los beneficios potenciales de ejecutar un ataque tan impactante y a gran escala.

“Hay muchos actores de amenazas que ahora dicen: 'Espera, espera, puedo cerrar un oleoducto'”, explica Bramson. A medida que los ataques se han vuelto más sofisticados y el conflicto de Ucrania intensificó los ataques en los sistemas OT, más y más delincuentes están ganando terreno y adoptando este tipo de ataques. La verdadera pregunta para los ciberespecialistas en la actualidad es “¿Se adaptarán más rápido de lo que podemos evolucionar?

La brecha de conocimiento del liderazgo

En opinión de Bramson, los responsables de la toma de decisiones a nivel de directorio aún no tienen un patrón organizado para abordar estas preocupaciones. Todavía están averiguando quién es responsable de la estructura de seguridad de los entornos de tecnología operativa (OT) de sus organizaciones. Esto se debe a la falta de conocimiento sobre las formas en que los equipos y las políticas de tecnología de la información (TI) y OT interactúan en su organización. Este malentendido dificulta determinar quién es responsable de cada área, quién debe rendir cuentas por los errores y cómo funciona la estructura.

Aunque tanto los profesionales de TI como los de OT están involucrados en la seguridad, sus roles difieren. Mientras que los equipos de TI se centran en el control de datos en función de las políticas de seguridad de la información (confiabilidad, integridad y disponibilidad) y la prevención de violaciones de datos, los equipos de OT son responsables de la seguridad de la información. los libros físicos controles en el entorno. Tienen la tarea de garantizar que las operaciones permanezcan activas y sin compromisos.

Cualquier violación de una red OT puede afectar la infraestructura crítica, interrumpir los servicios públicos, afectar la economía global y poner en riesgo vidas humanas. Esto se convierte en un desafío cuando el énfasis está en TI, y los líderes a nivel de directorio a menudo no tienen una idea clara de este matiz.

Traducir los riesgos de OT y TI para la junta

El enfoque de Bramson al explicar estos riesgos a los miembros de la junta es hablar su idioma. “Cuando los líderes cibernéticos van a la junta, dan mucha información técnica”, explica. “Y es información que la junta no entiende”.

En cambio, sugiere a los CISO y otros especialistas cibernéticos:

• Explique los conceptos cibernéticos como lo harían con un profano. En el lado de OT, por ejemplo, deberían dejar en claro que la amenaza para OT no se trata solo de robar datos. En este caso, los malos están tratando de interrumpir las operaciones que pueden tener un impacto tangible en la seguridad física de las instalaciones y la seguridad de los empleados y miembros de la comunidad en general.
• Mostrar el impacto en los ingresos de la empresa y el riesgo comercial. Por ejemplo, un líder cibernético en una central eléctrica querría enfatizar cómo un ataque cibernético podría afectar la capacidad de una instalación para generar energía y distribuirla de manera segura.
• Demostrar lo que están haciendo para detectar y responder a los incidentes. Explique cómo esas acciones y políticas pueden minimizar el impacto de un ataque.

Acercándose al tablero

Bramson cree que el mejor enfoque para negociar con la junta es mantenerlo simple. Sugiere comenzar por enmarcar la conversación en torno a estas preguntas básicas:

1. ¿Sabemos lo que debemos proteger?
2. ¿Sabemos dónde están los agujeros? ¿Sabemos qué tan malos actores podrían entrar?
3. ¿Podemos ver si alguien ha violado el sistema?
4. ¿Tenemos un plan para sacar a alguien que haya violado el sistema?

Según Bramson: “Poner el problema en esos términos simples puede ayudar a los líderes a nivel de directorio a comprender cuáles son las preguntas correctas, para que los ciberespecialistas puedan impulsar las conversaciones correctas”.