Home El costo del tiempo de inactividad Cómo pueden las empresas petroleras y de gas estar a la altura de las normas de infraestructura de seguridad cibernética del DHS mientras cosechan las promesas de la digitalización

Cómo pueden las empresas petroleras y de gas estar a la altura de las normas de infraestructura de seguridad cibernética del DHS mientras cosechan las promesas de la digitalización

por Stratus Tecnologías

Las empresas de petróleo y gas se enfrentan a algunos de los retos de infraestructura de ciberseguridad más acuciantes de la era moderna. “Hay dos tipos de empresas en esta industria”, según Corie Allemand, Global Lead of O&G en Stratus, “las que han sido hackeadas, y las que saben que han sido hackeadas”.

La vulnerabilidad de todos los sistemas a los ciberataques está comprobada por innumerables ejemplos, desde el notorio hackeo de Stuxnet hace una década hasta la reciente violación de Colonial Pipeline. Abordar los innumerables desafíos de la infraestructura de seguridad cibernética es una tarea difícil, que se ve agravada por los requisitos reglamentarios cada vez más estrictos que pueden volverse rápidamente inmanejables dentro de las arquitecturas de automatización industrial y las redes tradicionales de OT de legacy . En un reciente seminario web con Xage Security, nuestros expertos desvelan las nuevas directivas del DHS para la infraestructura de ciberseguridad en O&G, sus implicaciones en el mundo real para los operadores, y los conceptos de alto nivel Edge Computing conceptos de alto nivel que hacen que el viaje de transformación digital parezca casi demasiado fácil.

Cómo hemos llegado hasta aquí: lecciones del gusano Stuxnet

Hace 10 años, Stuxnet fue el primer hackeo de un sistema de automatización industrial, abriendo los ojos al mundo sobre cómo los hackers pueden acceder y controlar los sistemas de IA y falsear los datos dentro de ellos, a pesar del airgap entre la red de OT y la web. En aquel momento, se creía que este enfoque de airgap creaba redes de confianza que sólo serían vulnerables desde el interior e imposibles de acceder desde el exterior de Internet. Por desgracia, esta suposición no podía ser más errónea.

Según el libro de 2015 Industrial Network Security, de Eric D. Knapp y Joel Thomas Langill, “Stuxnet demostró que muchas suposiciones sobre las ciberamenazas industriales eran erróneas, y lo hizo utilizando un malware mucho más sofisticado que todo lo visto hasta entonces.” Seis años después, mientras las empresas de petróleo y gas se embarcan en sus viajes de digitalización, esta afirmación sigue siendo cierta.

El virus Stuxnet se coló en la llamada red protegida en la que los profesionales de las tecnologías de la información y la comunicación confiaban en aquel momento. A pesar de que la intención de los hackers era acceder al entorno de una organización y completar una misión delictiva, lo cual lograron, su creación sacudió al mundo, mutando y devastando las infraestructuras críticas de las naciones una por una. “Se extendió por todo el mundo”, afirma Allemand en el reciente seminario web, “la verborrea virus es muy, muy precisa”.

Stuxnet demostró a la industria que no se puede confiar en ninguna red, por muy alejada que esté de la red mundial. Esta constatación cambió el curso de la automatización industrial, acelerando la digitalización de muchos sectores, incluido el de petróleo y gas. Este viaje de transformación digital está en curso, y es especialmente crítico para las empresas de petróleo y gas, ya que puede aumentar los perfiles de riesgo de las organizaciones y fortalecer su postura de seguridad.

Las dos caras de la digitalización para las empresas de petróleo y gas

Introducir una mayor digitalización en los entornos de automatización industrial es una trampa en varios sentidos. Mientras que las tecnologías emergentes como Edge Computing introducen nuevas herramientas y capacidades que mejoran la toma de decisiones y protegen la seguridad de los operarios y los datos, también plantean apremiantes demandas de infraestructura de ciberseguridad. “A medida que introducimos estas nuevas tecnologías en estos nuevos sistemas, debemos asegurarnos de que la seguridad es lo más importante”, afirma Allemand.

Teniendo esto en cuenta, las organizaciones de O&G no deberían rehuir la transformación digital. En el reciente seminario web, el experto en Stratus Rudy de Anda reflexiona que “para ser competitivo, tienes que conectar y aprovechar tus datos”. Existen innumerables casos de éxito en los que las organizaciones que aciertan en este aspecto no solo apuntalan su infraestructura de ciberseguridad, sino que también desbloquean beneficios que aumentan su cuota de mercado y favorecen sus objetivos empresariales. Los expertos de Xage y Stratus revelan cómo las empresas de petróleo y gas pueden aprovechar las promesas de la digitalización, al tiempo que garantizan el cumplimiento de la normativa y sin tener que arrancar y sustituir el hardware de legacy .

Directrices del DHS para la infraestructura de seguridad cibernética de oleoductos y gasoductos

En julio, el Departamento de Seguridad Nacional emitió unas directrices de ciberseguridad para los oleoductos “en un intento de evitar que se repita el cierre del oleoducto Colonial, que provocó una escasez masiva de combustible y una compra de gasolina por pánico”, según el Washington Post. Si bien estos requisitos responden a la urgente necesidad de un manual de seguridad cibernética estandarizado en el sector, también plantean retos onerosos que desaniman tanto a los operadores como al personal informático.

Algunos de los requisitos del DHS que los expertos de Xage y Stratus analizan en el seminario web son:

  • Una metodología de confianza cero que evita la confianza implícita de cualquier red
  • Medidas de mitigación para la rotación de credenciales de los usuarios y la gestión del acceso a los activos
  • Protocolos de actualización y parcheo del software

Según Joe Blazeck, líder de ventas y desarrollo de negocio de Xage Security, “realmente nos estamos alejando del concepto de redes de confianza, en las que las organizaciones verifican una vez en el perímetro, y nos estamos moviendo hacia un enfoque de seguridad en el que las organizaciones verifican continuamente cada usuario, cada dispositivo, aplicación y transacción. Estamos evitando la confianza implícita en los dispositivos y las redes y nos estamos moviendo hacia este nuevo principio de mínimo privilegio.”

Aunque estas directivas pueden parecer obvias, suponen un quebradero de cabeza sobre el terreno. Un ejemplo claro es el de las actualizaciones de software, que provocan habitualmente tiempos de inactividad imprevistos debido a la enorme amplitud de las regiones en las que operan los oleoductos y a los grupos de contratistas de TI, a menudo desconectados, que aplican parches a los oleoductos de forma fragmentaria en estas vastas zonas geográficas. Estos despliegues informáticos pueden parecer una tarea sencilla, tanto para la plataforma como para el software, pero cuando se piensa en esa plataforma extendida por toda Norteamérica, se comprende la amplitud del reto que supone ese tipo de actualización. Los grandes retos en torno a la aplicación de parches de software, junto con el control de la gestión de activos y el gran número de credenciales de personas que hay que mantener, son sólo algunos de los quebraderos de cabeza de los operadores responsables de la seguridad de las infraestructuras críticas en la actualidad.

Stratus y Xage alivian el dolor de DX para las tuberías, desbloqueando las posibilidades que cambian el juego

Implantar una metodología de confianza cero y otras estrategias de mitigación necesarias es sencillo y fácil con los Edge Computing y proveedores de soluciones de ciberseguridad. Según Blazeck, “el principio fundamental de la confianza cero es que no se confía en ningún actor, sistema, red o servicio que opere fuera o dentro del perímetro de seguridad. En su lugar, estas organizaciones verifican todas y cada una de las solicitudes de conexión a cualquier sistema antes de conceder el acceso. Casi se puede imaginar que las herramientas de seguridad en un modelo de confianza cero asumen que los dispositivos y los usuarios tienen intenciones maliciosas, y casi asumen que ya se ha producido una brecha”. Lo que esto significa en la práctica es que los administradores deben responder a la pregunta de cómo implementar un conjunto de reglas exitosas para verificar cada transacción en su red, un desafío que puede volverse rápidamente inmanejable en las redes OT tradicionales que dependen de conjuntos de reglas granulares uno a uno.

Aquí es donde entran en juego Xage y Stratus . Blazeck prosigue: “Lo abordamos creando identidades para todas estas piezas diferentes. Construimos una identidad para cada usuario, dispositivo y aplicación y la extendemos a los puntos de datos. A continuación, controlamos -por agrupación y por política, a diferencia de la apertura y el cierre de los puertos del cortafuegos- cómo se permite que estas identidades interactúen entre sí. Cada identidad, ya sea un usuario o una cosa, tiene su propio perímetro, y cada identidad puede interactuar con otras identidades basándose en las políticas administradas en el sistema central de Xage. Este enfoque de confianza cero centrado en la identidad permite a los operadores mantener conexiones de confianza con todos los puntos finales remotos”. Estas son sólo un par de las capacidades que ofrecen las soluciones de Xage. Ejecutar este tipo de software de ciberseguridadedge en un servidor tolerante a fallos como el Stratus ztC Edge también permite a las organizaciones operar durante las interrupciones, de forma segura.

Lo mejor de las soluciones Xage y Stratus es que se basan principalmente en el software y pueden instalarse sobre el hardware de legacy , lo que permite funciones como el filtrado de acceso in situ para los PLC más antiguos sin sentido de la seguridad. “Casi parece un poco fácil, un poco simple”, dice Allemand, “pero podemos desplegar esto… haciendo todas las cosas que la digitalización promete. Tienes un servidor que funciona en edge, capaz de realizar estas tareas pesadas en edge -incluida la seguridad- mientras extiendes esa red para cumplir nuevos requisitos”.

No se puede subestimar la importancia de adoptar una solución informática industrial segura. Después de todo, si las organizaciones van a utilizar los datos de Edge Computing de los dispositivos para tomar mejores decisiones empresariales, es imperativo garantizar la autenticidad, la exactitud y la privacidad de esos datos, que los hackers tienen una probada propensión a falsificar en las arquitecturas tradicionales de IA.

Sin embargo, cuando el viaje de la transformación digital se asegura de forma eficiente, las oportunidades son infinitas. Según el experto de Stratus , Rudy de Anda, “Lo que estamos descubriendo es que si se despliegan esas tecnologías, y se despliegan de manera eficiente, es una oportunidad para ganar el ancho de banda para desplegar algunas de estas herramientas conectadas y edge realmente potentes que aprovechan sus datos al tiempo que refuerzan su postura de seguridad, en lugar de debilitarla.”

Para obtener más información, vea el seminario web completo, Actionable Insights to DHS Cybersecurity Requirements in Oil and Gas a continuación.

MENSAJES RELACIONADOS