Ataque Cibernético Interrumpe Red Eléctrica Ucraniana; La Junta esta Alerta a la Amenaza

Ukraine-cyber-attack

A finales de diciembre de 2015, unos informes surgieron desde Ucrania indicando que las redes de eléctricas de una región habían sido objeto de un ataque cibernético. El ataque estaba dirigido al menos a tres autoridades electricas en la región de Ivano-Frankivsk de Ucrania, desconectando subestaciones de electricidad de la red.

El ataque utilizó un malware destructivo de la familia BlackEnergy, el cual se conoce por haber comprometido ciertas marcas de sistemas de control industrial y se sospecha procedencia en Rusia. Entre otras capacidades, el malware evita que los sistemas se reinicien, destruyendo con eficacia esa sección de la infraestructura de la computadora.

¿Estarán los Servicios Públicos en la Mira?

Debido al ataque en Ucrania y el imperativo creado por la legislación de la UE, tal vez las juntas comenzarán a responder a la amenaza a sus sistemas de control industrial.

Desde hace algún tiempo, en el ataque Stuxnet de la instalación Natanz de enriquecimiento de uranio en Irán, se ha producido una sensación de que los ataques contra objetivos de energía y servicios públicos estaban en curso, pero existía muy poca evidencia que soportara esta teoría. Esta brecha de percepción se ha exacerbado, en los EE.UU. al menos, por un compromiso del Departamento de Seguridad Nacional (US ICS-CERT) para evitar que los detalles de las infracciones que se les comuniquen sean publicados al dominio público.

Esto puede parecer sensato con el fin de promover la presentación de informes, pero le quita la posibilidad a la comunidad de adquirir nuevo conocimiento y la oportunidad de aprender de la mala suerte de los demás. Igualmente, y de mucha más importancia, le puede dar una falsa sensación de bienestar a las juntas directivas en el bajo nivel aparente de incidencia del ciber-ataque.

En Europa, la preocupación por los ataques a los sistemas de control industrial en la infraestructura crítica ha llevado a la reciente aprobación de la Directiva de Seguridad en Redes e Información (NIS), que se ratificara en marzo o abril de 2016. Esta obligará reportar el material de brechas en la red para las organizaciones clasificadas de primer y segundo nivel crítico de infraestructuras críticas los estados-nación.

Esta es la primera vez que Europa ha legislado la seguridad de la red en lugar de una legislación de protección de datos (datos regulados financieramente y datos de identificación personal). La legislación trae consigo sanciones severas en caso de incumplimiento, con multas de hasta 75 millones € o 2% de giro global (el que sea de mayor costo) para los casos más agravados.

¿Prestaran las Juntas Directivas más Atención al Riesgo Cibernético?

Afortunadamente, en un amplio espectro de negocios y creación de riqueza, las juntas están reconociendo y respondiendo a las amenazas cibernéticas. Sin embargo, en las empresas que dependen en gran medida de los sistemas de control industrial, la confianza que brinda la comunidad de ingeniería en los sistemas llamados “air gapped” (medida de seguridad para aislar equipos de redes inseguras) y “man in the loop” (modelo que requiere interacción humana) han creado creado una falsa sensación de seguridad contra los ciber-ataques.

A la luz de este nuevo ejemplo de ataque destructivo en Ucrania y el imperativo creado por la legislación de la UE, tal vez ahora las juntas comenzarán a responder a la amenaza a sus sistemas de control industrial y reforzar la defensa cibernética de su entorno tecnológico del sistema operativo.

 

About Peter Armstrong

Peter Armstrong is Executive Director and Head of Cyber for Willis Towers Watson's FINEX Global. Peter sits on the …
Categories: Ataques Ciberneticos, Español, Servicios Públicos | Tags: , ,

Leave a Reply

Your email address will not be published. Required fields are marked *