El sector del agua se beneficiará de la convocatoria para el endurecimiento cibernético de la infraestructura crítica

Impulsado por los ataques cibernéticos de alto riesgo y la subsiguiente cobertura de la prensa convencional, el gobierno federal se está moviendo hacia nuevos requisitos para la ciberseguridad de la infraestructura crítica.

Un julio Memorándum de la Oficina de Administración y Presupuesto (OMB) (PDF) instó a las agencias de todo el gobierno federal a establecer "estándares de desempeño" de seguridad cibernética específicos para sus respectivas industrias y, lo que es más importante, a presupuestar para la "revisión y evaluación" de la agencia federal de los planes de fortalecimiento cibernético preparados por las organizaciones que deben cumplir esos nuevos estándares.

Necesario: Revisión y Evaluación Federal de Planes

Este nivel de supervisión directa amplía el enfoque que hoy se aplica solo a la infraestructura nacional más crítica, en particular la red eléctrica (regulada por el Departamento de Energía, la Comisión Federal de Confiabilidad Energética y North Amerian Reliability Corp.) y el petróleo y el gas. oleoductos (Departamento de Seguridad Nacional y Administración de Seguridad del Transporte), en toda la gama de industrias de EE. UU. de las que depende la gente, incluidas la venta al por menor, productos farmacéuticos, productos químicos, transporte y distribución, alimentos y bebidas, y muchas otras.

Una industria que probablemente sentirá fuertemente esta actividad regulatoria y verá cambios sustanciales como resultado, es el sector del agua. Muy vulnerables a los ataques cibernéticos, las empresas de servicios públicos de agua necesitan con urgencia estándares de seguridad actualizados y aplicados. De hecho, la administración de Biden insinuó recientemente que la Agencia de Protección Ambiental (EPA, por sus siglas en inglés) está lista para emitir una nueva regla que incluiría la seguridad cibernética en las revisiones de saneamiento de las instalaciones de agua de la nación, más apoyando estándares más altos cuando se trata de ciberseguridad.

Hay mucho en juego: un sistema típico de procesamiento de agua municipal filtra 16 millones de galones de agua cada día, y un pirata informático exitoso podría contaminar todo el suministro de agua de la comunidad. Este no es un miedo hipotético: un grupo de piratas informáticos logró infiltrarse recientemente en un sistema de tratamiento de agua en Oldsmar, Fla. Al jugar con la cantidad de lejía en el agua, pusieron en riesgo a todo un pueblo. Y recientemente, la banda de ransomware Clop apuntó a los Staffordshire del sur servicio de agua en el Reino Unido. Si bien estos ataques no siempre tienen éxito, la gravedad de los riesgos ha quedado muy clara.

A pesar de los intentos anteriores de mejorar los estándares de seguridad para el sector del agua, sigue siendo vulnerable. Incluso Ley de infraestructura de agua de Estados Unidos de 2018 (AWIA), que estableció que las empresas de servicios públicos de agua deben desarrollar planes de respuesta ante emergencias que aborden las amenazas a la seguridad cibernética como parte de un esfuerzo más amplio para mejorar la infraestructura general y la calidad, no cambió significativamente la postura de seguridad cibernética para la industria. El sector abarca 50,000 servicios públicos separados en los Estados Unidos, la mayoría de los cuales son pequeños y administrados por municipios; esta fragmentación, junto con la falta de voluntad general de los operadores para abandonar las prácticas existentes, permitió que se desvaneciera el ímpetu para el cambio.

Pero el precedente nos dice que, cuando se hace bien, las regulaciones federales pueden marcar la diferencia. Ya estamos viendo avances en otro sector vulnerable de infraestructura crítica: petróleo y gas. Siguiendo el alto perfil Hack de Colonial Pipeline en 2021, la Administración de Seguridad en el Transporte (TSA) del Departamento de Seguridad Nacional lanzó rápidamente dos Directivas de seguridad, Con un actualización en 2022, redoblando sus esfuerzos para garantizar una mejor protección de la infraestructura energética en todo el país. Estas directivas enfatizaron la administración de credenciales y el control de acceso, dos cosas que habrían ayudado a bloquear el ataque de ransomware en primer lugar.

A pesar del rechazo inicial de los propietarios y operadores de tuberías, estos requisitos de TSA, los primeros de su tipo, ya están conduciendo a todo el sector hacia un entorno más protegido. Los operadores ahora se están inclinando hacia medidas de seguridad centradas en la proactividad y la prevención de ataques.

El llamado a la prevención de ataques conduce a una mayor protección

La diferencia clave aquí es que el Las directivas de la TSA requieren planes de implementación para ciber Protección, no solo para la detección y respuesta de incidentes. Una vez que los operadores estaban obligados a proteger
ellos mismos, no solo responden a los eventos después del hecho, y una vez que el gobierno federal estaba revisando sus planes de protección cibernética, el sector del petróleo y el gas comenzó a moverse en serio.

Y ahora, con la orientación de la OMB a las agencias, la misma supervisión directa de la protección cibernética también llegará a otros sectores, incluido el agua. En otras palabras, el movimiento dentro del petróleo y el gas es un indicio de lo que vendrá para otras infraestructuras críticas.

El hackeo de Oldsmar de 2021 mostró al mundo lo fácil y devastador que puede ser un ataque a una planta de agua. Independientemente de las normas históricas de la industria, un clara necesidad de una mejor ciberseguridad ha surgido, y parece que el gobierno está preparado para avanzar con más agresividad que nunca. Su amplio impulso hacia una mejor seguridad para la infraestructura crítica está destinado a ser el catalizador que muchos sectores, como el agua, han necesitado desesperadamente.

Los propietarios y operadores de plantas ya no pueden ignorar los riesgos; regulación más estricta es un "cuándo", no un "si". Ahora es el momento de buscar una ciberseguridad mejor y más moderna.