Un ataque de ransomware obligó a cerrar el gasoducto de combustible más grande de EE. UU. Durante seis días en mayo y provocó escasez de gasolina en varios estados del sureste. A su paso, los funcionarios estadounidenses han buscado reforzar las defensas de una industria que durante años ha tenido menos reglas de ciberseguridad en comparación con otros sectores de infraestructura crítica.
La Administración de Seguridad del Transporte, que tiene autoridad reguladora sobre la ciberseguridad de los oleoductos, emitió recientemente una directiva que requeriría que los oleoductos reporten rápidamente los ataques a una división de seguridad cibernética del Departamento de Seguridad Nacional. La administración de Biden también ha ordenado a las agencias que mejoren sus esfuerzos para detectar ataques y fortalecer sus asociaciones con industrias privadas, y varios proyectos de ley relacionados con la seguridad cibernética están avanzando en el Congreso.
Mientras tanto, Joseph Blount, director ejecutivo de Colonial Pipeline Co., el objetivo del ataque de mayo, ha defendido su decisión de pagar un rescate de $ 4.4 millones en criptomonedas a los perpetradores del ataque, diciendo que necesitaba todas las herramientas a su disposición para restaurar los 5.500 sistemas de oleoductos de millas. La Oficina Federal de Investigaciones durante años ha aconsejado a las empresas que no paguen cuando son atacadas con ransomware, un tipo de código que toma como rehenes a los sistemas informáticos para el pago, porque respalda un mercado criminal en auge. El Departamento de Justicia dijo el mes pasado que recuperó alrededor de $ 2.3 millones en la criptomoneda.
El ataque al Colonial Pipeline mostró la vulnerabilidad de la vasta infraestructura energética del país y ha provocado un debate sobre cómo Estados Unidos y la industria del petróleo y el gas pueden proteger mejor la infraestructura crítica contra los ataques.
EDL habló con tres expertos en ciberseguridad de petróleo y gas sobre cómo las empresas, los reguladores y los formuladores de políticas pueden promover la seguridad de la infraestructura energética del país. Jim Guinn es director general global de ciberseguridad en energía, productos químicos, servicios públicos y minería en Accenture Security. Suzanne Lemieux es gerente de seguridad de operaciones y política de respuesta a emergencias del grupo comercial energético American Petroleum Institute. Chris Bronk es profesor asociado de sistemas de información y seguridad de sistemas de información en la Universidad de Houston. Aquí hay extractos editados de la conversación:
WSJ: ¿Cómo pueden las empresas y el gobierno hacer que la industria energética sea más resistente contra los ciberataques?
Suzanne Lemieux
Foto:
WSJ
SRA. LEMIEUX: Necesitamos tener un mejor proceso de intercambio de información de las agencias gubernamentales a las empresas privadas. En este momento está llegando mucha inteligencia que simplemente no llega a los operadores del sector privado que la necesitan para hacer mejores defensas para sus sistemas. Hemos visto una directiva de seguridad de la TSA que requiere la notificación de incidentes. Queremos asegurarnos de que haya un proceso implementado por parte del gobierno para anonimizar y compartir esa información con el sector para que sepamos cuáles son las amenazas actuales. Se necesitan meses para desclasificar las cosas. Necesitamos mejorar realmente su postura para compartir con el sector privado.
SEÑOR. BRONK: Ha habido una verdadera manía por la inteligencia cibernética y mucho énfasis en el intercambio de información. Pero el problema fundamental es lograr que la comunidad de inteligencia mueva la información. Desclasificar la inteligencia y enviarla rápidamente a entidades que no tienen la capacidad de procesar información clasificada es simplemente imposible. No va a mejorar. Cuando ocurrió el hackeo de la red eléctrica de Ucrania en 2015, esperamos meses para que Seguridad Nacional nos diera una evaluación final, y fue esencialmente algo que otras personas inteligentes habían elaborado mucho antes.
Comparte tus pensamientos
¿Cómo cree que podemos asegurar nuestra infraestructura energética? Únase a la conversación a continuación.
Si una industria quiere protegerse, tendrá que adoptar un conjunto de actividades relacionadas con la industria. Este tiene que ser el tipo de evento para el que una organización se prepara con regularidad, en el que se ejercita.
WSJ: Para los oleoductos y gasoductos, no hay equivalente a North American Electric Reliability Corp., o NERC, que regula partes de la ciberseguridad del sector de servicios públicos e impone multas a las empresas que no cumplen con ciertos estándares. ¿Debería el gobierno de EE. UU. Crear un organismo similar para garantizar que las empresas de petróleo y gas tengan estándares mínimos?
SRA. LEMIEUX: La industria del petróleo y el gas es muy diferente por muchas razones del sector eléctrico. Las empresas de servicios públicos no tienen los problemas antimonopolio ni los mercados competitivos que tenemos en la industria del petróleo y el gas. Hay una cadena de suministro muy larga en petróleo y gas, muchas estructuras de empresas diferentes, desde operadores propietarios individuales hasta empresas integradas, y mucha complejidad que consideramos mucho más difícil de cubrir con un estándar o una regulación. No quisiéramos ver un enfoque monolítico para esto, porque simplemente no funcionaría.
La TSA tiene autoridad reguladora para regular la ciberseguridad de las tuberías. En el pasado han optado por hacerlo a través de pautas, en las que la industria trabajó con ellos. Estamos escuchando que la TSA emitirá una segunda directiva y que algunas de estas directivas tendrán multas si se determina que las infringe. Existe la idea errónea de que los operadores no tomarán medidas para protegerse contra las amenazas cibernéticas a menos que los reguladores lo exijan. Eso pasa por alto el hecho de que las empresas de todas las industrias tienen un incentivo comercial para proteger sus datos y operaciones de actores malintencionados.
Chris Bronk
Foto:
WSJ
SEÑOR. BRONK: La directiva TSA no es un reglamento radical. Básicamente dice, consulte con el gobierno federal. Cuando miras la gran lucha por tener la capacidad de hacer ciberseguridad en el gobierno federal, TSA está realmente muy abajo en la escalera. La pregunta es si creará algo que se parezca mucho al plan de protección de infraestructura crítica de NERC. Eso depende del secretario de Transporte, Pete Buttigieg, que se centra en la renovación de la infraestructura. Allí no hay dientes. Pero con cada uno de estos incidentes, aumentará la capacidad para la elaboración de normas y la regulación.
La industria ha tenido una increíble aversión a la regulación. La industria del petróleo y el gas nació de la ruptura de Standard Oil. El gobierno cambió radicalmente la industria y creo que probablemente dejó una profunda huella en la cultura de las empresas que fueron sucesoras de Standard Oil.
SEÑOR. GUINN: Es necesario que haya estándares a los que nos adherimos, para el control de seguridad mínimo. Todo el mundo debería tener una línea de base. Si logra una resiliencia más allá de eso, debe ser incentivado por ello, no penalizado. Si esto se convierte en un ejercicio de auditoría, tendrá menos éxito.
WSJ: ¿Qué más pueden hacer las agencias estadounidenses para mejorar las políticas públicas sobre ciberseguridad energética?
Jim Guinn
Foto:
WSJ
SEÑOR. GUINN: Una empresa de energía integrada puede ocuparse de la energía eólica, solar, de petróleo y gas, refinación, oleoductos, trenes y terminales. Si miras todo eso, ¿a cuántas agencias diferentes tienes que responder si tienes una situación material? El Departamento de Energía, Seguridad Nacional, la Administración de Seguridad de Materiales Peligrosos y Oleoductos, la Guardia Costera. Son tantos que hay confusión. Cada dólar que gasta en la coordinación entre todas esas agencias es $ 1 que podría haber gastado para volverse más ciberresiliente. Me encantaría ver que hubiera una sola entidad que pueda ayudar a la industria energética.
WSJ: ¿Por qué están aumentando los ataques de ransomware contra la industria energética?
SEÑOR. GUINN: Porque muchas organizaciones están pagando los rescates. El informe de nuestro equipo de inteligencia de amenazas sobre la industria energética, es decir, todo lo que está fuera de los servicios públicos, descubrió que cuando se compara el año 2020 completo con los primeros cinco meses de 2021, hubo un aumento del 42% en los ataques de ransomware conocidos públicamente contra las empresas de energía. Pasó del 19 del año pasado al 27 de enero a mayo.
Tenemos energía pasando de la décima industria más objetivo el año pasado al número cuatro este año. Una vez que una industria comienza a pagar, los ataques aumentan. En el año transcurrido desde que comenzó la pandemia, en marzo de 2020, se cancelaron, redujeron o aplazaron ocho de cada 10 programas de ciberseguridad de tecnología operativa. Saben que deben tener resiliencia cibernética. Pero cuando los precios de las materias primas se vuelven tan difíciles, tan rápido, debe tomar una decisión comercial sobre qué gastos podría detener. Esa es una tormenta perfecta.
Servicios de Internet y publicación de software
Servicios bancarios y financieros
Electrónica industrial / equipos electrónicos
Gobierno – estatal y local
Construcción, materiales y recursos naturales
Servicios de Internet y publicación de software
Servicios bancarios y financieros
Electrónica industrial / equipos electrónicos
Gobierno – estatal y local
Construcción, materiales y recursos naturales
WSJ: ¿Cuál es su postura sobre si las empresas deberían o no pagar los rescates?
SEÑOR. BRONK: Muchos de estos rescates son un error de redondeo para las empresas. Es como la escena de Austin Powers donde el Dr. Evil dice «vamos a retener el rescate mundial por $ 1 millón», y todos dicen que no es mucho dinero. Los rescatadores van donde están los pagos. Y estos rescatadores se han vuelto bastante profesionales. El resultado de pagar el rescate y obtener las llaves para desbloquear tus cosas ha mejorado mucho. Pero aún así, cada rescate que se paga está legitimando esta actividad comercial ilegal.
SEÑOR. GUINN: Cuando se trata de infraestructura crítica, todas las empresas deben decidir si pagarán. Cuando le pregunta a las empresas de energía si tiene un plan de respuesta a incidentes cibernéticos, la respuesta suele ser sí. Pero, ¿tiene una estrategia y unos imperativos comerciales establecidos para determinar qué lo impulsará a pagar? La mayoría dice que no. No querrás enfrentarte a esa decisión en medio de un evento real. Necesitas ponerlo sobre la mesa. Necesitas ejercitarlo. Necesitas debatirlo internamente. Debe poder averiguar cuáles serían sus protocolos para determinar si pagaría o no.
El Sr. Eaton es un reportero del Wall Street Journal en Houston. Puede ser contactado en collin.eaton@wsj.com.
Copyright © 2020 Dow Jones & Company, Inc. Todos los derechos reservados. 87990cbe856818d5eddac44c7b1cdeb8
Fuente: WSJ