No es común pensar en la intersección de la ciberseguridad y la sostenibilidad, pero las dos áreas están indisolublemente unidas. Los objetivos de sostenibilidad implican el cambio a fuentes de energía renovables, un uso de energía más eficiente y la integración de tecnología para maximizar la productividad de los recursos energéticos existentes.
Considere que todo esto ocurre en el contexto de una mayor actividad maliciosa de agentes de amenazas contra infraestructuras críticas, como el petróleo, el gas y las redes eléctricas.
Fragilidad de las infraestructuras
Un ejemplo notable, por supuesto, es el incidente del ransomware del oleoducto Colonial que hizo que muchos entraran en pánico con respecto a los precios del petróleo y sirvió como una llamada de atención sobre cuán frágil es nuestro ecosistema actual en lo que respecta a las vulnerabilidades de los proveedores de energía existentes y su infraestructura de apoyo.
En este incidente, actores malintencionados robaron 100 gigabytes de datos en un par de horas y luego infectaron también la red de TI de la organización, lo que provocó que Colonial cerrara sus sistemas para evitar una mayor propagación e impacto. En este caso, los malintencionados exigieron y recibieron más de $4 millones de dólares en rescate, aunque el Departamento de Justicia (DoJ) pudo recuperar más de $2 millones de dólares al final.
IoT aumenta la superficie de ataque
También estamos viendo un aumento en la Internet de las cosas (IoT) y los dispositivos conectados, que brindan conectividad digital a la infraestructura industrial tradicional que muchos no consideraban parte del entorno digital más amplio. Si bien una mayor conectividad brinda una serie de beneficios y capacidades que antes no eran posibles, también trae consigo una mayor superficie de ataque.
La mayoría de los dispositivos IoT carecen incluso de los requisitos básicos de ciberseguridad y, a medida que conectamos más dispositivos, abrimos más vías para que los actores malintencionados comprometan los sistemas conectados o aprovechen los dispositivos IoT para los propios ataques, como en el caso de los ataques de denegación de servicio distribuido (DDoS).
El software de código abierto está abierto al ataque
Otro desafío clave es el crecimiento generalizado y el uso de software de código abierto (OSS), incluso entre los sectores de infraestructura crítica. La investigación muestra que el uso de OSS está generalizado en la infraestructura crítica y que la mayoría de los componentes de OSS contienen al menos una o más vulnerabilidades críticas o altas.
El rápido crecimiento del uso de OSS ahora ha dejado a la industria luchando por descubrir cómo asegurar la cadena de suministro de software, con orientación proveniente de fuentes como NIST, OpenSSF, la NSA y otras en lo que respecta al uso seguro de OSS.
Pensamientos finales
En nuestro cambio hacia fuentes de energía más sostenibles y renovables, tenemos un problema multifacético frente a nosotros. Esto implica proteger la infraestructura frágil y vulnerable existente de incidentes como algunos de los mencionados anteriormente. También implica garantizar que los requisitos clave de seguridad y las mejores prácticas se consideren durante todo el ciclo de vida del desarrollo del sistema de fuentes de energía renovables y sostenibles modernas y sus sistemas de apoyo.
Si no lo hacemos, inevitablemente nos llevará a repetir los errores del pasado en lugar de aprovechar las lecciones aprendidas, a menudo dolorosas.
Los actores maliciosos se han dado cuenta de lo potencialmente rentable que puede ser apuntar a la infraestructura crítica, a través de métodos como el ransomware, así como cuán vulnerables y anticuados son la mayoría de los sistemas de infraestructura crítica heredados. Buscarán fallas iguales o similares en las infraestructuras críticas emergentes, como los sistemas industriales y de energía.
Enfatizar el papel de la seguridad en estos sistemas modernos a medida que se desarrollan puede marcar el comienzo de una era de una infraestructura crítica más estable y resistente, pero requiere trabajo por adelantado para garantizar que así sea.
Autor: Chris Hughes
Artículo original aquí
