Todas las infraestructuras de información crítica (ICI) en Singapur deben transformarse continuamente para mantenerse al día con el cambiante panorama de amenazas y esto significa ir más allá de las prácticas de ciberseguridad “genéricas”. Requiere un fuerte enfoque en la seguridad de la tecnología operativa (OT), que abarque los conjuntos de habilidades adecuados y prácticas de ciberseguridad específicas de OT para los operadores de CII.
El año pasado, Singapur modificó su estrategia de ciberseguridad para enfatizar la OT y proporcionó pautas sobre las habilidades y competencias técnicas que las organizaciones de OT necesitaban. El país define los sistemas OT para incluir sistemas de control industrial, gestión de edificios y control de semáforos que monitorean o cambian el estado físico de un sistema, como los sistemas ferroviarios.
La Agencia de Seguridad Cibernética de Singapur (CSA) ha impulsado la necesidad de que los operadores de CII refuercen la ciberseguridad de los sistemas OT, donde los ataques podrían plantear riesgos físicos y económicos.
La necesidad de eficiencias y funcionalidades había impulsado la convergencia de los sistemas de TI y OT, estos últimos tradicionalmente diseñados como infraestructuras independientes y no conectados a redes externas ni a Internet.
Los sistemas OT ya no operan en entornos tan aislados y ahora se ejecutan en una superficie de ataque más amplia y están abiertos a posibles ciberataques que pueden tener un impacto en el mundo real.
Cuando se le preguntó qué sectores de las ICI necesitaban más una transformación de la ciberseguridad, CSA señaló que, dado que el panorama de amenazas evolucionaba constantemente, cada sector de las ICI debería “adaptar y transformar” continuamente sus procesos para combatir las amenazas existentes y emergentes.
Las industrias CII varían en tamaño, función y dependencia de la tecnología, todo lo cual da forma a sus respectivas estrategias de ciberseguridad, dijo el portavoz de CSA a .
Añadió que algunos sectores aprovecharon la OT y la TI junto con la IoT (Internet de las cosas), y esto no solo introdujo desafíos adicionales específicos de la industria, sino que también aumentó aún más la superficie que debía protegerse contra las amenazas cibernéticas.
Según Keith Lunden, gerente de análisis de Mandiant Intelligence de Google, en comparación con los activos de TI, los activos de OT habían experimentado una cantidad muy limitada de actividades de amenaza, principalmente debido a las tradicionales brechas de aire y la segmentación de la red interna que minimizaba los incidentes de malware convencional.
“Sin embargo, esto también sirvió para minimizar los impulsores de los esfuerzos de ciberseguridad de OT, [so] En lugar de actividades de amenaza, los requisitos regulatorios han sido el principal impulsor de los esfuerzos de seguridad de OT”, señaló Lunden. “En consecuencia, las industrias no reguladas, como el agua y las aguas residuales, son las que más necesitan una transformación”.
Añadió que estas industrias deberían desarrollar contramedidas de ciberseguridad basadas en riesgos basadas en los estándares de la industria.
El fundador y director ejecutivo de Group-IB, Dmitry Volkov, también subrayó la necesidad de que todos los sectores de las ICI mejoren constantemente su postura en materia de ciberseguridad, ya que su capacidad para operar sin interrupciones era fundamental para la seguridad nacional.
Dijo que sectores como la salud, el transporte y el gobierno eran objetivos frecuentes, y señaló cómo un ataque de ransomware había llevado al gobierno de Costa Rica a declarar el estado de emergencia por primera vez en abril. Los piratas informáticos habían extraído más de un terabyte de datos, violando 27 ministerios en el ataque.
Los sectores de automatización de edificios y petróleo y gas también ven altos porcentajes de computadoras ICS (sistema de control industrial) donde se bloquean objetos maliciosos, según Vitaly Kamluk, director de investigación y análisis global de Kaspersky para Asia-Pacífico.
Las tasas de bloqueo para estas industrias continuaron estando por encima del promedio global, dijo Kamluk, señalando que un mayor uso de recursos en línea y correo electrónico entre las empresas de automatización de edificios podría haber resultado en que el sector liderara a otros en la variedad de ataques de malware bloqueados.
Lunden dijo que los ciberdelincuentes habían logrado avances significativos en el arte operativo en los últimos años, con el ransomware emergiendo como un modelo de negocio efectivo y dando como resultado una gran cantidad de incidentes de seguridad que afectan las infraestructuras críticas, que a menudo incluyen entornos OT.
Señalando los ataques patrocinados por el estado, dijo que Mandiant seguía viendo adversarios deseosos de explotar características inseguras inherentes al diseño de OT.
“[These] “El objetivo es aprovechar maliciosamente la funcionalidad nativa de los dispositivos OT, en lugar de explotar las vulnerabilidades en estos sistemas”, señaló. “Como resultado, esperamos que el malware patrocinado por el estado dirigido a estas características de OT siga siendo una amenaza en el futuro previsible, ya que Es mucho más difícil rediseñar estos dispositivos, en lugar de simplemente parchear las vulnerabilidades en ellos”.
Las cadenas de suministro aumentan la amenaza potencial de OT
Además, las cadenas de suministro en algunos sectores de OT, como el manufacturero y el marítimo, suelen ser expansivas e involucrar a múltiples partes.
Y puede resultar un desafío proteger las cadenas de suministro, dijo CSA, señalando que las organizaciones asumen riesgos cibernéticos desconocidos de proveedores externos, ya que no tienen una visibilidad completa de su cadena de suministro. “Las organizaciones sólo pueden ser tan fuertes como su eslabón más débil”, afirmó el portavoz.
Señaló el programa CII Supply Chain de CSA, que describe cinco iniciativas fundamentales para ayudar a estos sectores a abordar los desafíos de la cadena de suministro cibernética en diferentes capas, incluidas las organizativas, sectoriales, nacionales e internacionales. El programa incluye un conjunto de herramientas, un manual, un esquema de certificación y un centro de aprendizaje.
En particular, todos los sectores CII y OT deberían mejorar su visibilidad, ya que las organizaciones no podrían asegurar y defender activos que no sabían que existían, dijo Fabio Fratucello, CTO de CrowdStrike Asia-Pacífico Japón.
Sin visibilidad, tampoco tenían detección de amenazas ni protección contra adversarios que trabajarían para localizar puntos ciegos, dijo Fratucello. Para abordar estos desafíos, dijo, CrowdStrike había presentado su Falcon Discovery para IoT para ayudar a los clientes a comprender las relaciones interconectadas entre sus activos de TI, OT e IoT, y mitigar los riesgos potenciales en estos entornos.
“Una vez que las organizaciones tienen una comprensión más profunda de su superficie de ataque, están mejor equipadas para tomar decisiones más informadas y basadas en riesgos al cerrar la brecha entre los entornos OT y las operaciones de TI”, señaló. “Es importante que las organizaciones miren tanto externa como internamente para comprender las vulnerabilidades de seguridad. Esto incluye los riesgos a través de la cadena de suministro, que en algunas industrias puede ser una cadena increíblemente compleja y larga”.
Citando una investigación de CrowdStrike, dijo que el 48% de las organizaciones de Asia y el Pacífico habían experimentado al menos un ataque a la cadena de suministro en los últimos años, mientras que el 60% no podía afirmar que todos sus proveedores de software habían sido examinados.
Para gestionar mejor sus ecosistemas de terceros y salvaguardar sus infraestructuras, Volkov sugirió que los sectores de OT adoptaran el aislamiento y la segregación de TI, OT y procesos humanos y garantizaran la integridad de sus componentes de infraestructura.
Una plataforma de inteligencia de amenazas también identificaría a los atacantes potenciales y cómo estaban atacando las infraestructuras OT, dijo, y agregó que indicaría áreas de compromiso para que éstas pudieran ser tapadas y mejorar la postura de seguridad.
Los sectores de OT deben evaluar la superficie de ataque externa de sus proveedores y trabajar en estrecha colaboración con sus proveedores externos para garantizar aún más que tengan implementadas todas las medidas de seguridad necesarias, como un equipo de respuesta a incidentes.
Cerrando las brechas en la seguridad de OT
Ante la creciente demanda de roles que requieren competencias en TI y OT en medio de una mayor conectividad entre ambos dominios, CSA dijo que desarrolló el Marco de Competencia en Ciberseguridad de OT para ofrecer pautas sobre la identificación de conjuntos de habilidades y capacitación para sus ingenieros. También traza las trayectorias profesionales de estos ingenieros, afirmó el portavoz.
El portavoz agregó que la CSA estableció el código de prácticas de ciberseguridad para establecer prácticas de ciberseguridad obligatorias específicas de OT para los operadores de CII.
“Estos se centran en la segmentación de la red, la gestión de parches, la detección y el monitoreo continuo con el objetivo de reducir la probabilidad de que los actores de amenazas exploten las vulnerabilidades del software y se afiancen en los sistemas OT”, dijo. “Dota a los propietarios de sistemas OT con el conocimiento para mitigar las amenazas cibernéticas emergentes de manera más efectiva”.
Cuando se le preguntó sobre el papel de las regulaciones en OT, dijo que la Ley de Ciberseguridad de Singapur proporcionó un marco para la designación de 11 sectores de ICI, mientras que el código de práctica estipulaba estándares básicos de ciberseguridad y medidas que estos propietarios de ICI deberían implementar para garantizar su resiliencia.
Señaló que el código de práctica se mejoró recientemente para ayudar a las ICI a fortalecer aún más su resiliencia cibernética y sus defensas contra amenazas cibernéticas sofisticadas y ser más ágiles a la hora de responder a los riesgos emergentes de ciberseguridad.
La revisión del código también mejoró la coordinación entre el gobierno de Singapur y los sectores privados, de modo que se pudieran descubrir las amenazas cibernéticas e iniciar la respuesta de manera oportuna, dijo el portavoz de la CSA.
“Cada sector de ICI se enfrenta a riesgos de ciberseguridad que son específicos de sus terrenos digitales, como la migración a la nube o el uso de tecnologías 5G”, señaló, destacando la importancia de la seguridad OT. “Las prácticas de ciberhigiene que son genéricas en sectores críticos no podrían abordar riesgos tan específicos”.
Kamluk dijo que era importante establecer estándares industriales que exigieran a las empresas crear bases de seguridad en sus sistemas. Sin embargo, si bien son esenciales, las regulaciones son solo un componente de un enfoque holístico de la seguridad OT.
La colaboración también es clave para integrar todos los elementos dentro de la seguridad, dijo, instando a las organizaciones a unirse y adoptar un enfoque concertado hacia la seguridad como sector. Una hoja de ruta clara proporciona un plan rector en el que todos pueden trabajar y esto puede aliviar las fricciones dentro del sector, añadió.
Con un plan y sistemas implementados, deben realizarse reuniones periódicas para sectores específicos y mantenimiento de rutina. Estos “controles de salud” garantizarán que los posibles obstáculos y amenazas se detecten tempranamente y que los actores del sector puedan recalibrarse y seguir siendo resilientes, dijo Kamluk.
Volkov señaló que las nuevas leyes o enmiendas a las existentes deben estar “basadas en datos” y apuntar a abordar las debilidades identificadas durante los simulacros de ciberseguridad que involucran a varias partes.
Lunden dijo: “Las regulaciones deben basarse en el desempeño, en lugar de ser prescriptivas. Esto puede brindar a los propietarios de sistemas OT flexibilidad al implementar contramedidas de ciberseguridad. También deben adaptarse para aplicarse solo a los activos OT más críticos de una organización, ya que no todos OT debe considerarse igual.
“Los reguladores deberían aprender de las experiencias de otros organismos reguladores que han mejorado la eficacia de sus regulaciones con el tiempo”, añadió.
En julio, Singapur amplió su programa de etiquetado de ciberseguridad para incluir dispositivos médicos, específicamente aquellos que manejan datos confidenciales y pueden comunicarse con otros sistemas.
Cuando se le preguntó si el esquema de etiquetado podría ampliarse aún más para incluir sistemas y aplicaciones OT, el portavoz de la CSA dijo que actualmente no había planes para hacerlo.
Señaló que la iniciativa tenía como objetivo proporcionar una mayor transparencia para los productos de IoT orientados al consumidor, algo que no lo eran los dispositivos OT. Este último generalmente desempeñaba funciones más críticas, como garantizar la prestación de servicios esenciales, dijo, añadiendo que CSA ofrecía otros esquemas de certificación como el Common Criteria Scheme para facilitar la evaluación de la seguridad de los productos de TI.