Caso de uso de

Servicios públicos

Adoptar Zero Trust para evitar riesgos de infraestructura crítica

Las empresas de servicios públicos son muy vulnerables a los ataques cibernéticos, pero un enfoque estructurado de Zero Trust puede reducir los riesgos y los impactos en tal escenario.

El problema

El riesgo de un ciberataque contra un servicio público, como los proveedores de energía, agua y gas, es inmediato. Preocupa a las autoridades gubernamentales por su fuerte impacto.

El 2021 mostró un crecimiento exponencial en los ataques de ransomware, dirigidos a empresas y gobiernos de todo el mundo, causando pérdidas e incertidumbre significativas. Sin embargo, cuando un ciberataque afecta a un proveedor de infraestructura crítica, el potencial de interrupción es mayor. Los medios están llenos de historias sobre cómo los ataques cibernéticos han impactado a las industrias en todo el mundo. Esto sigue aumentando, empujando a las organizaciones a adoptar soluciones de defensa.

Otros dos casos en noviembre de 2021 no tuvieron el mismo final. La empresa norteamericana Delta-Montrose Electric Association (DMEA), de Colorado, perdió 25 años de datos tras un ciberataque. El ataque derribó la mayoría de sus servicios de red internos, lo que afectó al servicio de asistencia, el procesamiento de pagos, los sistemas de cobro y otras herramientas.

En noviembre de 2021, la empresa australiana CS Energy sufrió un ciberataque que su director ejecutivo describió como una tendencia creciente y preocupante. Según el Daily Telegraph, el ataque fue interrumpido en el último minuto, justo antes de impactar en dos grandes plantas de carbón. De haber tenido éxito, el ataque habría cortado el suministro eléctrico de 1,4 a 3 millones de hogares.

En mayo de 2021, el caso más sonado fue el del oleoducto Colonial, desconectado tras un ataque de ransomware. El oleoducto de 5500 millas entrega combustible a las refinerías de toda la costa del Golfo hasta Nueva Jersey. Suministra casi la mitad de la gasolina y el diésel que se consumen en la costa este de Estados Unidos. Según GasBuddy, un porcentaje significativo de las estaciones de servicio de Virginia, Georgia, Carolina del Norte y Carolina del Sur se quedaron sin combustible. El ataque se interrumpió después de que se pagara una recompensa de 4,5 millones de dólares a los hackers.

El riesgo está aquí, ahora

Aunque la mayoría de las empresas de servicios públicos son conscientes de los riesgos de seguridad cibernética, existen inconsistencias de inversión para proteger sus activos. El riesgo cibernético puede aumentar a medida que se acelera la transformación digital, y un ejemplo es una demanda creciente y compleja para implementar medidores inteligentes. Las organizaciones deben abordar los riesgos de inmediato.

Varios proveedores de energía tienen muchas unidades de negocio para generar y distribuir sus recursos. Algunas políticas permiten que la TO utilice la tecnología IoT (Internet de las cosas), ya que las soluciones de gestión no están bien probadas, desde el punto de vista de la seguridad, para monitorear las operaciones, que pueden contener vulnerabilidades graves. Sumado a una fuerza laboral grande y distribuida, contratistas que necesitan acceso a sistemas críticos en empresas de servicios públicos, la falta de una política de acceso aumenta la fragilidad de estas organizaciones. Los ataques a la cadena de suministro pueden provenir de esos puntos débiles.

El diseño organizacional funciona mejor cuando el equipo de ciberseguridad tiene visibilidad en las redes de TO y TI. Permite a los líderes pensar en la arquitectura para prevenir ataques cibernéticos a los activos de la empresa. Una infraestructura elemental exige conectividad con una cadena de suministro de Internet. Además, los sistemas de TO pueden exigir la conexión con la red de TI para la recopilación y el mantenimiento de datos, por nombrar algunos.

¿Cómo aborda todos estos riesgos?

Zero Trust:
más que una solución

No existe una solución única que se ajuste a todos los tamaños y resuelva todos los problemas, pero Zero Trust reduce significativamente los riesgos. Zero Trust está dejando la etapa de «tendencia» para convertirse en una estrategia de seguridad cibernética para cualquier negocio. El 80 % de las organizaciones, según la investigación de App Gate, adoptará Zero Trust en 2022, y el 96 % cree que implementarlo neutralizará los ataques cibernéticos.

Los líderes se están tomando en serio a Zero Trust.

Al contrario del pensamiento habitual, un proveedor de suministro de energía en América Latina adoptó recientemente una visión innovadora sobre la seguridad, utilizando el concepto Zero Trust. Y más organizaciones del mercado de servicios públicos van en la misma dirección, definitivamente.

La investigación de Symmetry Systems y Osterman Research publicó un informe de 125 tomadores de decisiones de TI y seguridad de organizaciones medianas y grandes que detallan cómo implementarán Zero Trust. El 53 % dijo que el ransomware era su peor problema y motivador, y esperaba que la arquitectura mejorara la protección de la seguridad cibernética y bloqueara las violaciones de datos en un 144 %.

La arquitectura Zero Trust cambia la forma en que las organizaciones conciben sus redes de TI y TO. En el modelo anterior, todos los equipos y dispositivos estaban en la misma red y eran confiables entre sí. La premisa del concepto Zero Trust no se basa en nada: redes, máquinas o usuarios, que requieran autenticación en tiempo real de quién o qué accede a los datos.

Los dispositivos móviles, los servicios en la nube y el crecimiento exponencial del trabajo desde casa plantean un desafío para el modelo Zero Trust. Aumenta la complejidad de la adopción. Sin embargo, incluso en un espacio comercial conservador como el suministro de energía, centrarse en los puntos más débiles y críticos elimina los generadores de vulnerabilidades.

Según la investigación de varias firmas de consultoría en los últimos años, las principales vulnerabilidades son:

  • Robo de credenciales
  • Falta de una gestión adecuada de dispositivos y sistemas.
  • Sin cifrado de datos

A través de una plataforma integrada, la empresa latinoamericana de suministro de energía adoptó, como parte de su estrategia Zero Trust, una estrategia sin contraseña para garantizar el no repudio de los usuarios, evitando el robo de credenciales, una técnica habitual para el phishing y el malware.

Una vez que el usuario se autentica en la gestión de activos de TI críticos (servidores, sitios web, bases de datos, servicios en la nube, certificados y más), se gestiona desde un punto único. Los usuarios acceden a sus recursos —solo los que necesitan para sus tareas, los menos privilegiados— sin conocer las credenciales. Este enfoque agrega una capa de seguridad, guiando a los usuarios para que alcancen los recursos solo a través de la plataforma de Gestión de activos críticos. En una configuración más robusta, los administradores pueden configurar los recursos para que sean accesibles solo dentro de la solución, evitando el acceso directo desde Internet. Esta capa adicional evita ataques cibernéticos como DDoS (distributed denial-of-service, en español, ataque de denegación de servicio).

Todo el acceso de los usuarios a los sistemas, locales o remotos, se produce a través de un túnel seguro y auditado. Este método de acceso elimina el riesgo de VPN (Virtual Private Network, en español, red privada virtual), que resulta ser un vector de ataque en varios escenarios recientes. Las VPN también generan administración de TI por casualidad debido a la creación y distribución de certificados, contraseñas, instalación de software de cliente, por nombrar algunos.

La solución adoptada permite la gestión de la red de TO, especialmente los nuevos dispositivos que demandan conexión a Internet. La plataforma maneja los elementos de TI y TO con el mismo enfoque, cumpliendo con Zero Trust. Estos dos mundos tienden a vivir en el mismo entorno para satisfacer la transformación digital en curso, administrados desde una consola única para facilitar la administración.

La arquitectura Zero Trust no se limita a la fuerza laboral, sino que es esencial para los contratistas y proveedores que acceden a los sistemas internos de TI y TO. Las organizaciones deben prestar atención a la cadena de suministro como superficie de ataque de ciberseguridad. Administrarlo es un tema crítico, y Zero Trust puede ayudar.

El evento más notable de la cadena de suministro de seguridad cibernética ocurrió a principios de 2020. Cuando los hackers entraron silenciosamente en la red de SolarWind para inyectar un código malicioso en su software, todo comenzó. En ese momento, varias organizaciones en todo el mundo usaban el sistema Orion para administrar sus redes. SolarWind tenía 33.000 clientes que usaban Orion, según documentos de SEC; e informó que 18.000 fueron afectados por el código malicioso. Dado que SolarWind tiene muchos clientes de alto nivel, incluidas compañías Fortune 500 y agencias gubernamentales de EE. UU., las infracciones tuvieron un impacto significativo.

David Kennedy, un ex infante de marina que dirigió las misiones militares de seguridad cibernética de EE. UU. y la Agencia de Seguridad Nacional (NSA, por sus siglas en inglés), le dijo a CNBC que una amenaza para la cadena de suministro es algo que lo mantiene despierto por la noche. Según él, este tipo de ataque tiene el potencial de congelar las operaciones mundiales.

Todas las tácticas anteriores tienen como objetivo las operaciones de la organización, la protección de datos confidenciales. También tiene como objetivo cumplir con las regulaciones de privacidad de datos (como la LGPD de Brasil y las recientes regulaciones de IoT del Reino Unido y los EE. UU.), además de las mejores prácticas de ciberseguridad del mercado.

¿Qué viene después?

Las estrategias de ciberseguridad, como Zero Trust, son un trabajo continuo, nunca se deben detener. Es necesario seguir buscando y mejorando, ya que las mejores prácticas de seguridad son imprescindibles, debido a que los ciberdelincuentes siempre están presionando y explorando vulnerabilidades.

El cumplimiento de la normativa de protección de datos es también una exigencia constante. Permite a las organizaciones llevar a cabo sus negocios principales, alineados con la legislación internacional, al tiempo que eleva el nivel para dificultar la explotación por parte de los delincuentes de Internet.

Además de la resiliencia de la seguridad cibernética, la implementación de la arquitectura Zero Trust por parte de la empresa latinoamericana de suministro de energía cubrió los requisitos de cumplimiento de la LGPD (Ley General de Protección de Datos) de Brasil. La plataforma puede auditar, registrar, anotar sesiones de recursos y más. Su próximo paso es proteger los dispositivos heredados de IoT y TO, utilizando la misma estrategia.

Retorno de la inversión con Zero Trust

Reducción del riesgo de violación de datos

La reducción del riesgo de violación de datos puede llegar hasta un 50 %

Economía

En empresas medianas y grandes, los ahorros pueden llegar a $ 20 por empleado por mes. La Auditoría avanzada puede reducir hasta en un 25 %.

Eficiencia

Las llamadas de soporte técnico se pueden reducir hasta en un 50%. La agilidad para entregar nueva infraestructura se puede reducir hasta en un 80 %.

RGPD – Resumen de multas y sanciones

2019

Gaseluce

€ 8.500.000

Base jurídica insuficiente para el tratamiento de datos

2021

Enel

€ 8.500.000

Base jurídica insuficiente para el tratamiento de datos

2021

RAPT

€ 8.500.000

Incumplimiento de los principios generales de tratamiento de datos

¿Cómo funciona?

¿Cómo funciona?