La iniciativa de infraestructura crítica 'Shields Ready' aborda ciberataques inevitables

El gobierno de Estados Unidos ha emitido una serie de recetas para preparar a los operadores de infraestructura crítica para desastres, ataques físicos y ciberataques, con énfasis en la capacidad de recuperarse de interrupciones en el futuro.

La iniciativa, denominada “Shields Ready”, tiene como objetivo convencer a 16 sectores de infraestructura críticos identificados para que inviertan en reforzar sus sistemas y servicios contra cualquier interrupción, sin importar la fuente. El esfuerzo, encabezado por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y la Agencia Federal para el Manejo de Emergencias (FEMA), supone que se producirán ataques y desastres y pide a los operadores de infraestructura crítica que se preparen para mantener los servicios en funcionamiento.

La interconexión de los 16 sectores de infraestructura críticos y la cadena de suministro de la que dependen significa que la preparación es fundamental, dijo Jen Easterly, directora de CISA.

"Las entidades de infraestructura crítica de nuestra nación, desde escuelas hasta hospitales e instalaciones de agua, deben tener las herramientas y recursos para responder y recuperarse de las interrupciones", dijo. dijo en un comunicado. "Al tomar medidas hoy para prepararse para incidentes, la infraestructura crítica, las comunidades y las personas pueden estar mejor preparados para recuperarse del impacto de las amenazas del mañana y del futuro".

Los peligros para la infraestructura crítica han aumentado en los últimos años, con interrupciones causadas por desastres graves (como los incendios forestales en California y la pandemia de coronavirus) y ataques cibernéticos. En los últimos cinco años, por ejemplo, la empresa farmacéutica Merck sufrió una interrupción importante debido al ciberataque NotPetya en 2017, mientras que este año su competidor Pfizer sufrió un tornado en un importante almacén que provocó interrupciones en el suministro de determinados medicamentos. Y, como es sabido, en mayo de 2021, el operador de oleoductos estadounidense Colonial Pipeline sufrió un ataque de ransomware, cerrando sus servicios durante una semana, lo que provocó escasez de gas en todo el sureste de Estados Unidos.

Una campaña anterior, conocida como “Shields Up”, se centró en convencer a las organizaciones de infraestructura crítica para que tomaran medidas defensivas en reacción a inteligencia sobre amenazas específicas. Shields Ready se trata de prepararse para lo peor en todos los ámbitos, dice Michael Hamilton, cofundador y CISO de Critical Insight, una consultora de ciberseguridad.

"El mensaje oculto aquí es que está por llegar, y mirando alrededor del mundo, no es tan difícil de predecir", dice, señalando las advertencias periódicas del FBI y CISA al control industrial y a los proveedores de infraestructura crítica. "No es difícil sumar dos y dos y decir que el nivel de amenaza de interrupción de la infraestructura ha aumentado".

Iniciativas políticas para escudos listos

Un problema para la iniciativa es que muchas de las recomendaciones actuales son voluntarias e informativas. Desde noviembre ha sido designado “Mes de la Resiliencia y la Seguridad de las Infraestructuras Críticas”, CISA publicó un kit de herramientas para proveedores de infraestructura crítica, un documento de 15 páginas que cubre amenazas específicas, desafíos de seguridad y ejercicios de autoevaluación. La agencia también publicado el Marco de Planificación de la Resiliencia de la Infraestructura (IRPF) y guías sobre cómo desarrollar una cadena de suministro resiliente y cómo responder a un ciberataque.

Aún así, el esfuerzo carece de fuerza regulatoria, dice Tom Guarente, vicepresidente de asuntos gubernamentales de Armis, una empresa de seguridad de tecnología operativa (OT).

"De lo que realmente parece tratarse es de generar resiliencia en términos de comenzar con la conciencia situacional, hablando de la importancia de compartir información entre entidades del sector público y privado", dice. “Dicen que hay un conjunto de herramientas, pero el conjunto de herramientas parece estar compuesto principalmente de pautas, ya sabes, documentos PDF. Así que la respuesta corta es: no sé qué resultará de la campaña Shields Ready”.

Sin embargo, es probable que sea imposible elaborar directrices generales bajo el paraguas de Shields Ready para los 16 sectores de infraestructura crítica, por lo que no sorprende que el esfuerzo inicial carezca de detalles, dice Danielle Jablanski, estratega de ciberseguridad de OT en Nozomi Networks, un proveedor de ciberseguridad para OT. redes. Cada sector de infraestructura crítica tiene un Agencia de Gestión de Riesgos Sectoriales (generalmente el Departamento de Seguridad Nacional, pero en algunos casos el Departamento de Energía, Defensa, Salud y Servicios Humanos o Transporte es la SRMA designada) que establecerá pautas y requisitos específicos del sector.

“Creo que hoy el gobierno está más en modo de auditoría”, dice. "Es importante recordar que la infraestructura crítica no es monolítica, no existe un plan, programa o conjunto de controles de seguridad único que beneficie a los 16 sectores por igual".

Fomento de la seguridad de las infraestructuras críticas: ¿zanahoria o palo?

Esos esfuerzos, en su mayor parte, parecen tener un toque ligero para lograr que los ejecutivos de la industria se unan. Debido a que la seguridad sigue siendo un centro de costos (el impuesto de hacer negocios), las empresas naturalmente quieren minimizar esos gastos, razón por la cual probablemente serán necesarias acciones punitivas para implementar muchas de las recomendaciones, dice Hamilton de Critical Insight.

Responsabilizar a los ejecutivos por el desempeño de su empresa durante un desastre o un ciberataque, como los cargos contra el CISO de SolarWinds – ya ha sido un duro despertar para la industria, dice.

"Después de haber informado a senadores, generales y gobernadores, descubrí que puedes hablar todo lo que quieras sobre los rusos aterradores, las cadenas de suministro, los desbordamientos de buffer y la inyección SQL, y simplemente te pondrán los ojos en blanco", dice Hamilton. “Pero tan pronto como dices 'negligencia ejecutiva', tienes audiencia. Eso es exactamente lo que está haciendo el gobierno: van a considerar que el liderazgo ejecutivo es negligente y eso está atrayendo la atención de todos”.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/ics-ot/shields-ready-initiative-inevitable-cyberattacks