Español
English
Français
Deutsch
Italiano
Português
日本語
한국어
Русский
Hogar
Jan 31, 2024
Cómo el hackeo del oleoducto Colonial galvanizó a una nación en riesgo
Un año después de que piratas informáticos criminales violaran Colonial Pipeline Co., los temores de otro gran ciberataque se están extendiendo por toda la industria energética. El ataque de ransomware del 7 de mayo de 2021 fue el más perturbador
Un año después de que piratas informáticos criminales violaran Colonial Pipeline Co., los temores de otro gran ciberataque se están extendiendo por toda la industria energética.
El ataque de ransomware del 7 de mayo de 2021 fue el más perturbador en la historia de Estados Unidos. Esto provocó el cierre de casi la mitad del suministro de gasolina y combustible para aviones entregado a la costa este. Y obligó a las empresas y agencias gubernamentales estadounidenses a considerar más directamente los riesgos que conlleva hacer tan poco durante tanto tiempo para proteger la infraestructura crítica.
Las colas en los surtidores de gasolina y la preocupación por la escasez de energía desde la Oficina Oval hasta el Capitolio recalcaron el efecto desastroso que un ataque de piratas informáticos con refugio seguro en Rusia podría tener sobre el estadounidense promedio.
"El evento Colonial fue un evento galvanizador y catalizador tanto para la industria como para el gobierno", dijo Scott Gorton, director ejecutivo de política de superficie de la Administración de Seguridad en el Transporte.
El ataque a Colonial por parte de un grupo llamado DarkSide se produjo después de que una campaña de ciberespionaje más amplia con vínculos con Rusia irrumpiera en las redes de todo el gobierno federal y las empresas estadounidenses. El sofisticado ataque a SolarWinds Corp. a principios de 2020 tuvo un alcance histórico y una amenaza a la seguridad nacional. Sin embargo, para la mayoría de los estadounidenses era una abstracción.
Pero Colonial fue diferente.
Poco después de que los ejecutivos de Colonial cerraran el grifo de combustible de 5,500 millas para garantizar que los piratas informáticos no causaran daños mayores, fotos en las redes sociales mostraban a personas acumulando gasolina.
"Lo que hizo fue impactar al consumidor promedio en el surtidor", dijo Mary Brooks, miembro residente de ciberseguridad y amenazas emergentes en R Street Institute. “Sabemos que a los electores les importa lo que sucede en el surtidor. Al Congreso le importa lo que sucede en el surtidor”.
En los 12 meses transcurridos desde entonces, después de años de patear la lata, el gobierno federal actuó. El Congreso ordenó que las empresas que operan infraestructura informen a las autoridades federales cuando sean pirateadas. La administración Biden impuso mandatos para asegurar los oleoductos y gasoductos, incluidos algunos de los 3 millones de millas de gasoductos naturales en Estados Unidos.
Inmediatamente después de Colonial, el presidente Joe Biden llegó a un acuerdo de apretón de manos con el presidente ruso Vladimir Putin para poner fin a los ataques dirigidos contra la infraestructura estadounidense.
Eso desapareció rápidamente cuando Rusia invadió Ucrania en febrero. Nuevamente surgieron temores de que Putin apuntara a las empresas energéticas estadounidenses y europeas. Desde entonces, defender la infraestructura energética estadounidense contra la amenaza rusa ha sido una fuente constante de acercamiento de la administración Biden a las empresas energéticas, tanto públicas como privadas.
Los expertos dicen que existen muchas analogías en la industria sobre lo que se debe hacer para fortalecer la ciberseguridad energética.
“Yo comparo Colonial Pipeline para la ciberseguridad con lo que San Bruno fue para la integridad del gas natural”, dijo Kimberly Denbow, directora general de seguridad y operaciones de la American Gas Association.
Se refería a la explosión de un gasoducto en 2010 que destruyó casas en un vecindario de San Bruno, California, en las afueras de San Francisco.
En cuanto a los derrames de petróleo, el derrame del Exxon Valdez en 1989 fue un acontecimiento galvanizador, señaló. El colapso del oleoducto BP Deepwater Horizon en 2010 inició un proceso, aunque exitoso, de exigir más a las empresas que perforan en las profundidades del océano.
"Colonial Pipeline pudo decir: 'Oye, les hemos estado contando todo lo cibernético que está sucediendo en las noticias, y ahora está afectando directamente su bolsillo y su tanque'", dijo Trey Herr, director de Cyber Statecraft del Atlantic Council. Iniciativa.
Desde hace un par de años se viene generando impulso para la política cibernética. Los esfuerzos se vieron amplificados por el hackeo de Colonial y probablemente consolidaron la eventual aprobación del proyecto de ley de notificación cibernética y un memorando de seguridad nacional sobre la ciberseguridad del sistema de control industrial, señalaron los expertos.
Colonial fue un “llamado de atención” para las empresas que tal vez no hubieran visto la piratería como un riesgo comercial crítico, dijo Eric Goldstein, subdirector ejecutivo de ciberseguridad de la Agencia de Seguridad de Infraestructura y Ciberseguridad.
El ataque a Colonial rápidamente generó presión pública en torno a la falta de regulaciones obligatorias de ciberseguridad para el sector de oleoductos. Y condujo a una conversación más amplia sobre las regulaciones para infraestructura crítica más allá del petróleo y el gas natural.
En ese momento, la industria de los oleoductos estaba renovando sus medidas voluntarias de ciberseguridad. Después de Colonial, los oleoductos se enfrentaron a una serie de directivas de seguridad emitidas por la TSA. Los nuevos mandatos exigían la notificación de violaciones importantes en un plazo de 24 horas y una serie de prescripciones de ciberseguridad.
Las directivas de seguridad encontraron críticas generalizadas por parte de expertos de la industria y la ciberseguridad, quienes señalaron que las directivas no tenían en cuenta cuán diferentes son los sistemas industriales de las redes informáticas corporativas.
Se espera que la TSA emita una segunda directiva de seguridad revisada que aborde algunas de las cuestiones.
Gorton de la TSA dijo que la agencia reemplazará algunas de su lista de verificación de medidas de seguridad con medidas basadas en el desempeño o los resultados. Los mandatos revisados se emitirán antes de que expire el segundo a finales de julio.
La industria de los oleoductos dice que está controlando las amenazas a la seguridad, pero hay problemas sobre cuestiones relacionadas con el dinero. Los seguros a menudo no cubren el coste de un ciberataque.
Kinder Morgan Inc., que posee más de 80.000 millas de infraestructura de oleoductos, dijo en una presentación reciente a la Comisión de Bolsa y Valores que “no hay garantía de que un seguro adecuado contra sabotaje cibernético y terrorismo estará disponible a tarifas que creemos que son razonables en el futuro cercano. .”
"Es posible que nuestro programa de seguros no cubra todos los riesgos y costos operativos y que no brinde cobertura suficiente en caso de reclamo", informó Kinder Morgan. "No mantenemos cobertura de seguro contra todas las pérdidas potenciales y podríamos sufrir pérdidas por riesgos no asegurables o no asegurados o en cantidades que excedan la cobertura de seguro existente".
Energy Transfer LP, otro importante operador de oleoductos, advirtió que los costos de un ciberataque “pueden no estar cubiertos por cualquiera o todas nuestras pólizas de seguro aplicables o exceder los límites de cobertura de ellas”.
Colonial aún enfrenta el escrutinio regulatorio. En vísperas del aniversario del ataque de ransomware, la Administración de Seguridad de Materiales Peligrosos y Oleoductos del Departamento de Transporte emitió una multa de $1 millón por el “enfoque ad hoc” de Colonial para reiniciar el sistema de oleoductos después del cierre inicial el año pasado.
Ningún plan de comunicación interna, dijo el regulador, "creó el potencial de mayores riesgos para la integridad del oleoducto, así como retrasos adicionales en el reinicio, exacerbando los problemas de suministro y los impactos sociales".
En un comunicado, Colonial dijo que su "enfoque de operar manualmente nos brinda la flexibilidad y la estructura necesarias para garantizar operaciones seguras continuas a medida que nos adaptamos a eventos no planificados".
Los defensores de la ciberseguridad industrial han advertido durante años que los piratas informáticos no tienen que entrar en la sala de control para detener las operaciones de una empresa de energía, ya que la tecnología de la información (TI) se está integrando cada vez más con los sistemas de tecnología operativa (OT).
"Desde la perspectiva de las lecciones aprendidas, reveló a muchas empresas que no comprenden la interacción entre TI y OT", afirmó Rob Caldwell, director de sistemas de control industrial y seguridad OT de la empresa de seguridad Mandiant.
Ben Miller, vicepresidente de investigación y desarrollo de Dragos Inc., una empresa de ciberseguridad industrial, dijo que el ransomware sigue siendo una preocupación importante debido a esta interdependencia.
El ataque a Colonial podría haber sido mucho peor si el malware hubiera entrado en la tecnología de la sala de control del oleoducto. "Los eventos de ransomware afectan las operaciones de OT con regularidad y eso pasa desapercibido", dijo Miller.
Los piratas informáticos de Colonial utilizaron un antiguo inicio de sesión remoto para violar las redes, lo que, según los expertos, decía mucho sobre el riesgo de no tomar medidas de seguridad básicas.
Danielle Jablanski, estratega de ciberseguridad de Nozomi Networks, dijo que “hay varias formas de impactar o interrumpir la continuidad del negocio. Ya sea que se trate de un único punto de falla, un incidente en la cadena de suministro o algo así como una interrupción de TI que puede paralizar algo en el lado de OT”.
Para el sector de oleoductos y la infraestructura crítica en general, señalan los expertos, la respuesta a la pregunta “¿Estamos más seguros ahora?” A menudo es simple: depende.
Colonial aumentó la conciencia entre los ejecutivos de alto nivel. Cada vez más personas en niveles superiores de las organizaciones están prestando atención a la ciberseguridad. Pero algunas empresas todavía luchan con la dotación de personal y la falta de recursos para defenderse adecuadamente.
Además, las inversiones llevan tiempo y, en el caso del petróleo y el gas natural, no es tan sencillo como descargar un parche o instalar un servicio de cortafuegos. La aprobación a través de comisiones de servicios públicos es un aspecto importante para determinar si los fondos pueden siquiera utilizarse.
"Tenemos una inversión significativa en ciberseguridad en general, pero cuando nos fijamos en estos entornos especializados, como OT, o algunos de estos tipos de sistemas auxiliares que se encuentran en los límites de TI, la inversión es escasa", dijo Marty. Edwards, vicepresidente de seguridad de tecnología operativa de la firma de ciberseguridad Tenable.
"En general, creo que hemos progresado", continuó, "pero al mismo tiempo, también sé que no estamos avanzando lo suficiente y con la suficiente rapidez".
El periodista Mike Lee contribuyó.