Boletines

Boletines
Hits: 95

Para la ciberseguridad OT, se está acabando el tiempo extra

Star InactiveStar InactiveStar InactiveStar InactiveStar Inactive
 
La tecnología operativa (OT) es el hardware y el software que detecta o provoca un cambio, mediante la supervisión y/o el control directos de equipos, activos, procesos y eventos industriales. Por su diseño, la OT sustenta muchas funciones de infraestructuras críticas y suele presentar características y aplicaciones propias de un espartano.

 

Los sistemas OT suelen basarse en despliegues muy personalizados y específicos, como la supervisión y el control remotos del flujo de petróleo y gas, el tratamiento de aguas, los sistemas SCADA y las operaciones ferroviarias. Los sistemas OT también suelen basarse en protocolos propietarios y tienden a desplegarse con funciones especialmente limitadas, con un mínimo de sobrecarga o adornos.

Desde el punto de vista de la seguridad, los sistemas OT no suelen ser compatibles con el malware tradicional. Dado que los sistemas OT son tan limitados, se benefician de un concepto llamado "seguridad a través de la oscuridad", que se refiere a sistemas cuya seguridad no se basa en el cifrado ni en ninguna otra medida técnica, sino en las herramientas y aplicaciones que utilizan.

Aunque la seguridad a través de la oscuridad sigue siendo una característica importante de los sistemas OT, el hecho de no aplicar suficientes salvaguardias técnicas y estructuras de gobernanza constituye una base para la responsabilidad legal (es decir, investigaciones reguladoras o demandas judiciales). Las entidades implicadas en el apoyo a infraestructuras críticas están sujetas a un estándar de seguridad más elevado que las entidades del sector privado.

Aumenta la regulación del sector ferroviario

Ha sido un año difícil para el sector ferroviario. De septiembre a noviembre de 2022, empresas de la India, Dinamarca y el Reino Unido sufrieron ciberataques que interrumpieron el servicio de transporte y provocaron retrasos y paradas. En octubre de 2022, un jurado declaró a BNSF Railway responsable de 228 millones de dólares como resultado de las violaciones de la Ley de Privacidad de Información Biométrica de Illinois.

Los transportistas ferroviarios son uno de los siete subsectores clave del sector del transporte. A principios de este mes, se evitó una huelga nacional porque habría infligido un daño económico de hasta 2.000 millones de dólares al día, equivalente a "medio millón de camiones fuera de servicio ".

Además, un transportista acordó adoptar salvaguardias que incluyen una mayor seguridad física para los centros de control y agujas de los ferrocarriles, basándose en un informe de la semana pasada de la Oficina del Inspector General. En cuanto a los controles de ciberseguridad, la Administración de Seguridad en el Transporte (TSA) publicó el año pasado dos directivas de seguridad con requisitos y plazos detallados.

Directivas de seguridad de diciembre de 2021 y octubre de 2022

Mientras que la primera directiva se aplica a las compañías ferroviarias de pasajeros, la segunda incluye a ciertas compañías ferroviarias de mercancías "sobre la base de una determinación del riesgo", y señala que "incluso las interrupciones menores en los sistemas ferroviarios críticos pueden dar lugar a una escasez temporal de productos que puede causar un daño significativo a la seguridad nacional ... con efectos dominó en toda la economía".

Los requisitos clave detallados en la directiva de octubre de 2022 consideraban "la creciente sofisticación de personas, organizaciones y gobiernos nefastos". Además de los planes de implantación de la ciberseguridad y los programas de evaluación, se requieren políticas y procedimientos para mitigar el acceso a los sistemas y supervisarlos una vez implantada la seguridad.

En cuanto a los requisitos del plan y el programa, la TSA exige que las entidades cubiertas describan detalladamente las medidas específicas que se tomarán para:

  • Aplicar políticas y controles de segmentación de la red;
  • Implementar medidas de control de acceso para asegurar y prevenir el acceso no autorizado;
  • Aplicar políticas y procedimientos de supervisión y detección continuas.
  • Reducir el riesgo de explotación de sistemas sin parches.

Para estas medidas, debe presentarse un calendario que muestre cuándo se aplicarán. Además, debe presentarse un plan anual que describa cómo las entidades cubiertas evaluarán de forma proactiva y periódica la eficacia de las medidas mencionadas. Una vez aprobados por la TSA, el plan y el programa serán utilizados por la TSA para supervisar el cumplimiento.

Todo ello deberá presentarse a la TSA antes de febrero de 2023 y deberá contemplar los más de cincuenta requisitos técnicos a los que se refiere la directiva. Además, en noviembre, el Departamento de Seguridad Nacional (DHS) y la TSA publicaron un Aviso Anticipado de Propuesta de Reglamentación para evaluar la base actual de ciberseguridad para el transporte ferroviario y cómo puede mejorar el sector.

La TSA solicita comentarios sobre las prácticas actuales que reflejen una comprensión tanto de la ciberseguridad como de las cuestiones operativas de la aplicación de la gestión de riesgos cibernéticos y sus costes para el sector privado. La TSA está recopilando estos comentarios para orientar futuras directivas con expectativas alcanzables y todos los comentarios deben enviarse antes del 17 de enero de 2023.7

Para todos los sectores de infraestructuras críticas, especialmente las OT que están conectadas a sistemas de tecnología de la información, las agencias gubernamentales están buscando enfoques detallados y específicos de la industria por parte de las entidades cubiertas mientras consideran las directivas de la TSA y las mejoras pendientes para el subsector ferroviario. En 2023, las organizaciones que pertenezcan a cualquiera de los dieciséis sectores de infraestructuras críticas deberían esperar requisitos como los de las directivas de la TSA. Esperamos ver esto a través de la regulación, las interpretaciones del derecho administrativo y las actualizaciones de los marcos de seguridad de adhesión común, como el Marco de Ciberseguridad del NIST.

También esperamos que las organizaciones que operan en infraestructuras críticas sean objeto de un escrutinio más minucioso a medida que se ultime la normativa. A la hora de determinar dónde debe establecerse el estándar por las normas propuestas, esperamos que las capacidades de ciberseguridad y privacidad de datos de las organizaciones se evalúen en relación con sus cohortes.

Las organizaciones tendrán que estar preparadas para dar cuenta de su gestión del riesgo de ciberseguridad. Es poco probable que las políticas anteriores aborden adecuadamente los próximos procedimientos previstos por los reguladores. Las organizaciones deben evaluar de cerca sus programas y controles de ciberseguridad y revisarlos de forma rutinaria.

Las organizaciones también deben revisar y actualizar sus planes de respuesta a incidentes, evaluaciones de riesgos y programas escritos de seguridad de la información para identificar y mejorar las áreas de riesgo pasadas por alto. En relación con esto, a medida que las industrias trabajen internamente para incorporar estos nuevos requisitos, esperamos que los acuerdos contractuales tengan que ser revisados o renegociados.

Fuente: https://www.jdsupra.com/legalnews/for-ot-cybersecurity-extra-time-is-2377700/

Rating:
( 0 Rating )

Búscar

Últimas Noticias

Información

CSIRT CELEC EP

Respuesta a Incidentes de Ciberseguridad (Análisis, Gestión, Coordinación) de nuestra Comunidad Objetivo.

Dirección: Panamericana Norte Km 7 Cuenca-Ecuador

Zona horaria: América / Guayaquil (GMT-0500)

Teléfono: +593 02 2900400  Ext: 3119

 

Últimas Noticias

Csirts Ecuador

Acceso Rápido

Search