Cómo protegerse contra los ciberataques a las empresas de servicios públicos
Resumen.
Piense en lo que sucedería si un ciberataque derriba la red eléctrica de Nueva York o incluso de una gran parte del país. Como vimos en los cortes de energía de California de 2019, la gente podría arreglárselas durante unas horas, tal vez unos días, pero ¿qué pasaría si el apagón durara una semana o más? Si una población mayor fue atacada por un ciberataque contra una empresa de servicios públicos, ¿es factible o deseable la evacuación de millones de personas? Es hora de prepararse para este tipo de situaciones. Al observar los acontecimientos recientes, como los cortes de California y la tormenta de viento de Wyoming de 2017, nos da una idea de lo que podría ser lo inimaginable y nos muestra lo necesario que es protegernos contra ello.
El otoño pasado, en el norte de California, los Estados Unidos experimentaron su primer apagón prolongado y deliberado a gran escala. Alimentadas por el creciente temor a incendios devastadores debido a sus equipos centenarios, las compañías de servicios públicos de la región cortan la energía a más de 1,5 millones de personas forzando muchas evacuaciones. El impacto fue devastador; Michael Wara, experto en clima y energía de la Universidad de Stanford, estimó el costo a California hasta 2.500 millones de dólares. Para los expertos en ciberseguridad como yo, el apagón fue una señal de lo precaria que es nuestra dependencia de la electricidad y de cuánto debemos temer en los ciberataques.
Piense en lo que sucedería si un ciberataque derriba la red eléctrica de Nueva York o incluso de una gran parte del país. Como vimos en California, la gente podía arreglárselas durante unas horas, tal vez unos días, pero ¿qué pasaría si la interrupción durara una semana o más? Si una empresa de servicios públicos de una zona poblada de alta densidad fue atacada por un ciberataque, ¿es factible o deseable evacuar a millones de personas?
Las preguntas que todos deberíamos hacernos incluyen: ¿Qué hacemos si se rompe la red eléctrica haciendo que los generadores de respaldo de arranque eléctrico sean inutilizables? ¿Cuál es el plan de respaldo del plan de respaldo? ¿Qué pasa con nuestro suministro de alimentos? ¿Nuestro suministro de agua? ¿Nuestras alcantarillas? ¿Nuestros sistemas financieros? ¿Nuestra economía? Responder a estas preguntas requiere una reflexión a nivel de sistema sobre cómo está conectado todo y tener en cuenta las interdependencias. Por ejemplo, los hospitales pueden tener generadores de respaldo. Pero, ¿qué pasa con la línea de suministro para repostar? Si las estaciones de servicio necesitan electricidad para operar las bombas, ¿cuál es el plan?
Planificación para lo inesperado
Todos entendemos que hay ciertas catástrofes que pueden volver a ocurrir, como huracanes o incendios forestales. Pero, ¿cómo te preparas para una catástrofe que nunca ha ocurrido antes? No nos va bien abordar cosas que nunca hemos visto antes.
Considere lo que sucedió en 2017 cuando un área de Wyoming fue golpeado por una fuerte tormenta de viento que derribó muchas líneas eléctricas grandes. Se tardó aproximadamente una semana en restaurar la energía debido a la fuerte nieve y al suelo congelado. Inicialmente, el tratamiento de agua y alcantarillado continuó gracias a los generadores de respaldo. Pero las bombas que transportaban las aguas residuales de las zonas bajas a las plantas de tratamiento situadas en terrenos más altos no estaban diseñadas para tener generadores, ya que podían contener varios días de residuos. Después de tres días sin electricidad, empezaron a retroceder. Luego hubo que cortar el agua para evitar que las aguas residuales acumuladas ingresaran a los hogares, y la ciudad tuvo que ser evacuada. Como portavoz del Jackson Hole Mountain Resort dijo: «Este será probablemente el tiempo más largo que hemos tenido que cerrar... en nuestra historia». Nadie había anticipado tal escenario o secuencia de acontecimientos.
La tormenta de viento de Wyoming y las amenazas de incendio de California proporcionan a los investigadores de ciberseguridad pruebas reales de qué esperar cuando no sabemos qué podría pasar. No nos hemos enfrentado a un ciberataque a gran escala. Basándonos en las conversaciones que he tenido con expertos en la materia, estamos tan poco preparados para un ciberataque importante como lo estaba Wyoming para la tormenta de viento y California para la amenaza de incendio, independientemente de si se habla de nivel regional o de ciudad, o del sector privado. Como me lo describió el profesor Lawrence Susskind, del departamento de Sistemas Urbanos del MIT, «[en un ciberataque de hoy] millones [de personas]... podrían quedarse sin electricidad, sin agua, sin transporte público y sin eliminación de residuos durante semanas (o incluso meses)».
Las semanas y los meses, como sucede, son buenas estimaciones de cuánto tiempo podría tardar en volver a estar en línea después de un ataque a una empresa de servicios públicos. Un ciberataque puede alterar un sistema informático tradicional manipulando el software o borrando datos, pero el equipo físico sigue intacto y, con varios grados de esfuerzo, el software y los datos pueden restaurarse. Pero un sistema ciberfísico, como un generador o un equipo similar de control informático, puede destruirse, es decir, hecho para explotar. La reparación o sustitución de estos sistemas puede llevar semanas o incluso meses, especialmente si muchos se destruyen al mismo tiempo, ya que los sistemas y piezas de repuesto suelen ser escasos y, a menudo, se fabrican a medida.
Evaluación de nuestro riesgo
Algunos me han preguntado por qué no se ha producido un ciberataque tan importante de esta naturaleza. Creo que hay tres condiciones necesarias para que ocurra una: oportunidad, capacidad y motivación.
Oportunidad: Con demasiada frecuencia, las fábricas y las empresas energéticas creen que si no están conectadas directamente a Internet están a salvo de los ataques. Este no es el caso. Hay muchas formas de «saltar» esa brecha para lanzar un ciberataque, como supieron los iraníes cuando su instalación de enriquecimiento de uranio fue atacada por Stuxnet. Confiar en este método de «protección» ha creado oportunidades y oportunidades para ataques en todo el mundo.
Capacidad: Dado que puede haber formas de «entrar», ¿tienen los atacantes la capacidad de hacer daño? También hay mucha capacidad por ahí. Aunque se ha prestado mucha atención a los principales actores estatales, como China, Rusia, Corea del Norte e Irán, la realidad es que un atacante no necesita miles de millones de dólares ni miles de personas. Como yo a veces dicen, «Los buenos están mejorando, pero los malos se están volviendo más malos más rápido». Las herramientas para llevar a cabo los ataques están cada vez más disponibles en el Web oscura a costos decrecientes, incluidas las armas cibernéticas robadas a la NSA y a la CIA. Por ejemplo, el Ataque a la red eléctrica utilizó técnicas de phishing con lanza, control industrial y borrar discos que estaban disponibles en el mercado negro, muchas de ellas robadas previamente a la NSA.
Motivación: Hasta el momento, la motivación ha sido nuestra mayor salvación. ¿Qué gana el atacante al cerrar la red eléctrica de otro país? En el caso de una guerra cinética (por ejemplo, un ataque con misiles), la posibilidad de represalias actúa como un fuerte elemento disuasorio. Los satélites detectan fácilmente el origen del misil, y es probable que pronto se produzcan represalias. Pero esos controles y contrapesos no funcionan tan bien en la guerra cibernética donde la negación plausible, o incluso dirigir la culpa a otra persona, es tan fácil. Como El New York Times reportado recientemente, «Los grupos vinculados a las agencias de inteligencia rusas [...] habían sido descubiertos recientemente aburridos en la red de una unidad de piratería informática iraní de élite y atacando a gobiernos y empresas privadas en Oriente Medio y Gran Bretaña, con la esperanza de que culparan a Teherán por el caos». Confiar en la falta de motivación y suerte no es una forma segura de avanzar.
Cómo prepararse mejor
Hay al menos tres problemas con la forma en que hemos abordado estos temas en el pasado que deben cambiar:
Avanzando mirando por el espejo retrovisor: Es un viejo cliché, pero muy apropiado. Solemos centrar nuestras acciones futuras en respuesta al último ciberataque. Aunque eso ayuda a evitar que se repita en el futuro, lo cual es bueno, hace poco para abordar el ciberataque que nunca hemos visto antes. En algunos casos extraños, los atacantes aprovecharon lo que sabían que su objetivo había hecho para responder a su último ataque cibernético y hacer que su próximo ciberataque fuera aún más efectivo. Tiene que haber un pensamiento visionario: no solo qué tiene sucedió, pero qué podría suceder.
Abrumarse al abordar las causas en lugar de los impactos: Al tratar de pensar y prepararnos para los nuevos ciberataques, a menudo empezamos por pensar en cómo podría originarse el ciberataque. En cambio, debemos centrarnos en lo que podemos hacer para minimizar el daño. Nuestro Método de análisis de ciberseguridad , desarrollado con mi colega Shaharyar Khan, comienza con un enfoque en lo que estamos tratando de prevenir y, a continuación, qué controles o instalaciones pueden minimizar la posibilidad de que se produzca ese resultado. Por ejemplo, como parte de un análisis de ciberseguridad del sistema de servicios públicos central de una empresa, nuestro equipo determinó que un sistema relativamente económico relé con un costo aproximado de 6.000 dólares podría protegerse contra un ciberataque dirigido al regulador automático de voltaje (AVR) de un generador. Esta actualización evitaría daños directos por valor de 11 millones de dólares en el generador, además de evitar daños por interrupciones posteriores en el costo de las reparaciones y la pérdida de ingresos. Por supuesto, si muchos de estos generadores fueran atacados al mismo tiempo, el apagón generalizado resultante sería sustancial y a largo plazo.
Sin tener en cuenta las interdependencias ignoradas y las propiedades únicas de los sistemas ciberfísicos: Basándonos en nuestras experiencias anteriores, la mayoría de las personas, especialmente los ingenieros que trabajan con sistemas físicos, asumen fallos independientes. Es decir, por supuesto, existe alguna posibilidad de que el generador #1, que es un dispositivo mecánico, falle en algún momento, pero es poco probable que el generador #2 falle al mismo tiempo, y es extremadamente improbable que los generadores #1, #2 y #3 fallen al mismo tiempo,. las suposiciones son razonables. Pero un ciberataque que destruya el generador #1 puede destruir fácilmente a todos los demás al mismo tiempo. Nuestra preparación para emergencias no solo debe tener esto en cuenta, sino planificarlo.
Qué arriesgamos al no imaginar lo desconocido
Para ilustrar los riesgos que enfrentamos al no planificar, considere de nuevo los apagones de California de 2019; 248 hospitales estaban en regiones que perdieron energía. «No puedo exagerar la calamidad que estos eventos provocan a nivel de barrio. Cientos de centros de salud no tienen generadores de respaldo», dijo Jack Brouwer, profesor de ingeniería y director del Centro Nacional de Investigación de Pilas de Combustible de la Universidad de California en Irvine. Hacer referencia a la muertes causado por incendios forestales anteriores en California, dijo: «Si estás sin energía durante una hora, está bien, pero durante un par de días — esas vidas cuentan tanto como las que se perderían en un incendio».
Es hora de imaginar lo inimaginable, y los cortes de energía de California nos han proporcionado una pequeña visión de lo que podría pasar si no nos preparamos. A medida que nos enfrentamos a una incertidumbre e inseguridad cada vez más globales, necesitamos un pensamiento más innovador y a nivel de sistema, y un sentido de urgencia para mitigar el impacto de un ciberataque importante antes de que ocurra.
Reconocimiento: Esta investigación fue apoyada, en parte, por fondos de los miembros del consorcio Ciberseguridad del MIT Sloan (CAMS).
— Escrito por Stuart Madnick
