Es hora de hacer que la ciberseguridad estricta para las empresas de infraestructura sea obligatoria


El 7 de mayo, se instaló un sistema de tuberías que transportaba casi la mitad del combustible utilizado en la costa este de los Estados Unidos. paralizado por un gran ciberataque. El cierre de cinco días del Oleoducto Colonial resultó en una escasez generalizada de combustible y compras de pánico cuando Virginia, Carolina del Norte y Florida declararon el estado de emergencia.

El ataque destaca cuán vulnerable es la infraestructura crítica, como las tuberías de combustible, en una era de crecientes amenazas a la seguridad cibernética. En Australia, creemos que ha llegado el momento de hacer obligatorio que las empresas de infraestructura crítica implementen medidas serias de ciberseguridad.

Daños colaterales

El riesgo de ataques cibernéticos a la infraestructura crítica no es nuevo. A raíz de los hechos del 11 de septiembre de 2001, investigar demostró la necesidad de abordar los riesgos de seguridad global mientras analizamos los problemas de vulnerabilidad y protección de la infraestructura crítica. También propusimos sistemas para garantizar la seguridad en la infraestructura crítica de la cadena de suministro, como puertos marítimos y prácticas, incluida la gestión de envío de contenedores.

El aumento de los ataques de «ransomware», en los que los atacantes se apoderan de datos importantes de los sistemas de una organización y exigen un rescate por su devolución, ha aumentado el riesgo. Estos ataques pueden tener consecuencias no deseadas.

La evidencia sugiere que el cierre colonial fue el resultado de un ataque de este tipo, dirigido a sus datos. Parece que la empresa cerrar la red de tuberías y algunas otras operaciones para evitar que el software malintencionado se propague. Esto resultó en una cascada de efectos no deseados en toda la sociedad y daños colaterales.

De hecho, es posible que los atacantes se hayan sorprendido por la magnitud del daño que causaron y ahora parecen han cerrado sus propias operaciones.

Hemos visto cómo la infraestructura crítica de la cadena de suministro puede verse gravemente interrumpida como daño colateral. Debemos considerar la gravedad de las consecuencias de un ataque directo.

Los eventos en los EE. UU. También plantean otra pregunta importante: ¿qué tan vulnerable es nuestra infraestructura crítica de la cadena de suministro en Australia?

La infraestructura crítica es un objetivo atractivo

La sociedad australiana depende de muchas cadenas de suministro nacionales e internacionales. Estos están respaldados por una infraestructura crítica de la cadena de suministro que a menudo se administra mediante sistemas de comunicación e información avanzados e interconectados. Esto los convierte en objetivos atractivos para los atacantes cibernéticos.

Los marcos de riesgo cibernético a menudo se derivan de enfoques tradicionales de gestión de riesgos, que abordan problemas de un posible ataque cibernético. comorutinaconvencionalriesgo. Estos enfoques de gestión de riesgos sopesan los costos de prevenir un ciberataque con los costos y la probabilidad de una infracción.

En algunas industrias, esta evaluación tendrá en cuenta el costo de una base de clientes perdida que quizás nunca regrese. Sin embargo, los proveedores de servicios críticos como transporte, atención médica, electricidad, agua y alimentos ven poco riesgo de perder clientes.

Después del incidente de Colonial, los clientes regresaron a las estaciones de servicio tan pronto como pudieron y continuaron comprando combustible. Por lo tanto, las industrias críticas pueden percibir un menor costo de una infracción que las empresas de otras industrias porque sus clientes regresarán.

Es hora de cumplir

Los esfuerzos nacionales de Australia en materia de seguridad cibernética están coordinados por el Centro australiano de seguridad cibernética (ACSC) bajo los auspicios de la Dirección de Señales de Australia. El ACSC trabaja con organizaciones del sector público y privado para compartir información sobre amenazas y orientación sobre las mejores prácticas de seguridad.

Documentos ACSC como el Ocho esenciales proporcionar orientación a las organizaciones sobre las medidas de seguridad básicas. Estos se complementan con recursos más completos que incluyen el Manual de seguridad de la información del gobierno australiano.

Sin embargo, nuestra investigación ha demostrado que las mejores prácticas no se siguen de forma universal, incluso por parte del gobierno australiano propios sitios web.

La falta de conocimiento no es el problema. Las mejores prácticas de seguridad son generalmente bien entendidas y documentadas por ACSC. La ACSC también proporciona orientación específica para sectores e industrias críticas, como marco de seguridad desarrollado para el sector energético.

El desafío aquí es que estas son solo pautas. Las empresas pueden elegir si seguirlas o no.

Lo que Australia necesita es un programa de cumplimiento de seguridad cibernética. Esto significaría hacer obligatorio que las empresas que administran infraestructura crítica, como puertos o oleoductos, sigan algún tipo de reglas.

Un primer paso podría ser exigir a estas empresas que cumplan con las directrices existentes y que exijan la certificación de una línea de base de seguridad cibernética.

Lecciones de los Estados Unidos

El gobierno de Estados Unidos respondió al ciberataque colonial con un orden ejecutiva para mejorar la seguridad cibernética y las redes del gobierno federal. La orden propone una serie de medidas para modernizar los estándares y mejorar el intercambio de información y los requisitos de presentación de informes. Se trata de medidas valiosas, muchas de las cuales ya están dentro del alcance de las funciones existentes de la ACSC de Australia.

Otra medida de la orden de Estados Unidos es el establecimiento de una Junta de Revisión de Seguridad Cibernética independiente. Australia también podría establecer una asociación entre el gobierno y la industria para supervisar la seguridad cibernética. Un organismo similar ya regula la aviación: el Autoridad de seguridad de la aviación civil.

Dicha organización proporcionaría análisis e informes sólidos de incidentes cibernéticos. También compartiría información con administradores de tecnología de la información, desarrolladores de software y hardware, administradores públicos, administradores de crisis y otros.

Las amenazas a la seguridad cibernética crean altos niveles de incertidumbre para el sector público y privado. Los ataques que alteran la infraestructura crítica de la cadena de suministro tienen un impacto generalizado en la sociedad y el comercio.

Un programa de cumplimiento de la seguridad cibernética puede ser económicamente costoso, pero sería una inversión valiosa dado el impacto social de un ciberataque exitoso.La conversación

Este artículo de Richard Oloruntoba, Profesor asociado de gestión de la cadena de suministro y jefe de gestión de la cadena de suministro, Universidad Curtin y Nik Thompson, Profesor Asociado de Sistemas de Información, Universidad Curtin, Se vuelve a publicar de La conversación bajo una licencia Creative Commons. Leer el artículo original.



Fuente: TNW

Compartir:

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos y para fines de afiliación y para mostrarte publicidad relacionada con sus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Ver Política de cookies
Privacidad