Un alarmante 70% de las organizaciones de infraestructuras críticas sufrieron brechas de seguridad en el último año, incluidas las de agua, petróleo y gas, y las eléctricas. Un número casi igual de elevado, el 64%, prevé uno o más ataques graves el año que viene.
Amenazas internas en organismos públicos y grandes empresas
En las entradas anteriores de esta serie, destacamos los riesgos de las amenazas internas para las empresas estadounidenses y cómo responden a ellas. Mientras que la amenaza de información privilegiada en organismos gubernamentales y grandes empresas es un problema conocido con estrategias de mitigación algo implementadas, se sabe menos sobre la amenaza de información privilegiada a infraestructuras críticas de EE.UU., como la depuración de aguas o las centrales nucleares. Para ilustrar la naturaleza de las amenazas, permítanme ofrecerles dos ejemplos extraídos de un informe del Departamento de Seguridad Nacional:el informe Insider Threat to Utilities.
- En abril de 2011, un único empleado de una planta de tratamiento de aguas habría apagado manualmente los sistemas operativos de una empresa de aguas residuales de Mesa, Arizona, en un intento de provocar que una acumulación de aguas residuales dañara los equipos y creara una acumulación de gas metano. Los dispositivos de seguridad automáticos impidieron la acumulación de metano y alertaron a las autoridades, que detuvieron al empleado sin incidentes.
- En enero de 2011, un empleado recién despedido de una empresa de gas natural estadounidense supuestamente irrumpió en una estación de control de su antiguo empleador y cerró manualmente una válvula, interrumpiendo el servicio de gas a casi 3.000 clientes durante una hora.
¿Cuál es el riesgo de que se produzcan incidentes similares y más peligrosos en un futuro próximo?
Las amenazas internas a las infraestructuras críticas no son nuevas: pensemos en el espionaje y el sabotaje durante la Guerra Fría. Sin embargo, los parámetros han cambiado significativamente.
Mientras que en los tiempos de la Guerra Fría la amenaza consistía en el acceso físico privilegiado y los conocimientos especializados, junto con el espionaje y las habilidades terroristas, el conjunto actual de amenazas potenciales es mucho mayor debido a la "desperimetrización" de las infraestructuras críticas estadounidenses. La globalización y la externalización desdibujan cada vez más las fronteras entre los intrusos y los adversarios externos.
A menudo utilizados para reducir costes, los proveedores, contratistas y socios comerciales de confianza no verificados obtienen un acceso privilegiado a las instalaciones de infraestructuras críticas. El uso de servicios cloud , trabajo remoto y tecnologías Web en organizaciones de infraestructuras críticas agrava aún más el problema si estas prácticas no se tratan y protegen de manera especial. Así, la amenaza para una depuradora de agua local ya no es sólo un espía extranjero durmiente con acceso físico privilegiado, sino empleados y contratistas remotos de confianza cuyos nombres de usuario y contraseñas privilegiados pueden ser robados en la cloud.
Existe poca información acerca de las cifras recientes y el impacto de los incidentes con información privilegiada maliciosa en infraestructuras críticas en Estados Unidos y en el extranjero. La mayor parte de la información no se hace pública, e incluso fuentes de confianza como el Equipo de Preparación para Emergencias Informáticas de Estados Unidos (CERT ) sólo tienen acceso limitado a casos y escenarios de amenazas reales.
Sin embargo, el Departamento de Seguridad Nacional (DHS) ha empezado recientemente a publicar informes de Estimación de Riesgos Nacionales (NRE) en los que se examinan los riesgos derivados de los ataques malintencionados con información privilegiada. Como afirma el último informe, "la limitada disponibilidad de datos sobre amenazas internas significa que existe incertidumbre asociada a las evaluaciones de riesgo NRE."
El NRE se basa en un análisis estructural de las aportaciones obtenidas de expertos en la materia del gobierno federal y del sector privado. Para el análisis estructural, se han seleccionado 31 escenarios de amenazas internas con consecuencias a nivel nacional y se han evaluado sus consecuencias y probabilidad.
Mientras que los expertos consideran que escenarios catastróficos como "la interrupción de las transacciones financieras internacionales" o "la introducción de un producto químico tóxico en el suministro de leche estadounidense" tienen una probabilidad bastante baja, en torno al 10% o menos, consideran que escenarios con consecuencias menos graves como "el fraude organizado a Medicare y Medicaid" tienen una probabilidad de casi el 100%. La probabilidad media de todos los escenarios en todos los sectores de infraestructuras se evaluó en torno al 15%.
¿Cuáles son las mayores vulnerabilidades y cómo solucionarlas?
El Equipo de Preparación para Emergencias Informáticas de Estados Unidos (CERT) realizó 53 evaluaciones in situ de instalaciones de infraestructuras críticas de todo el país para identificar vulnerabilidades y se han detectado tres vulnerabilidades principales.
La primera y más común es la falta de segmentación de las redes internas junto con deficiencias en las protecciones perimetrales de los enclaves virtuales y físicos. La segmentación de redes consiste en dividir una red informática en subredes, cada una de las cuales constituye un segmento o capa de red que hace que los recursos internos sean mucho menos accesibles desde el exterior.
La segunda vulnerabilidad es la falta de protecciones fronterizas en las redes internas, lo que significa que hay muy pocos o ningún cortafuegos entre zonas, y los conjuntos de reglas de cortafuegos son mínimos y carecen de auditoría/verificación.
La tercera es que el acceso remoto ha sido identificado como principal punto de entrada de ataques debido a una mala elección y diseño de los protocolos de acceso remoto. El CERT sugiere túneles VPN y una zona de seguridad restringida (DMZ) para las conexiones con el fin de eliminar este riesgo.
En resumen, el hecho de que estas vulnerabilidades fáciles de solucionar existan en infraestructuras críticas es bastante sorprendente. Los agujeros de seguridad descritos son bien conocidos, y las contramedidas y protocolos adecuados se adoptan de forma estándar en casi todas las redes de otras organizaciones, y deberían serlo aún más en el caso de las infraestructuras críticas. Esperemos que los CISO responsables tomen medidas.
Este artículo se publica como parte de IDG Contributor Network.