211service.com
Asegurando la revolución energética y el futuro de IoT
Proporcionado por siemens energía
A principios de 2021, los estadounidenses que viven en la costa este recibieron una lección clara sobre la creciente importancia de la ciberseguridad en la industria energética. Un ataque de ransomware afectó a la empresa que opera el Oleoducto Colonial, la principal arteria de infraestructura que transporta casi la mitad de todos los combustibles líquidos desde la Costa del Golfo hasta el este de los Estados Unidos. Sabiendo que al menos algunos de sus sistemas informáticos se habían visto comprometidos y sin poder estar seguros del alcance de sus problemas, la empresa se vio obligada a recurrir a una solución de fuerza bruta: cerrar todo el oleoducto.
Leo Simonovich es vicepresidente y director global de ciberseguridad industrial y seguridad digital en Siemens Energy.
La interrupción del suministro de combustible tuvo enormes consecuencias. Los precios del combustible se dispararon inmediatamente. El presidente de los Estados Unidos se involucró, tratando de asegurar a los consumidores y empresas en pánico que el combustible estaría disponible pronto. Cinco días y millones de dólares en daños económicos después, la compañía pagó un rescate de $4.4 millones y restableció sus operaciones.
Sería un error ver este incidente como la historia de un solo oleoducto. En todo el sector de la energía, cada vez más los equipos físicos que fabrican y mueven combustible y electricidad en todo el país y en todo el mundo dependen de equipos en red controlados digitalmente. Los sistemas diseñados y fabricados para operaciones analógicas se han adaptado. La nueva ola de tecnologías de bajas emisiones, desde la energía solar hasta la eólica y las turbinas de ciclo combinado, son tecnologías inherentemente digitales que utilizan controles automatizados para exprimir cada eficiencia de sus respectivas fuentes de energía.
Mientras tanto, la crisis de covid-19 ha acelerado una tendencia separada hacia la operación remota y una automatización cada vez más sofisticada. Una gran cantidad de trabajadores han pasado de leer diales en una planta a leer pantallas desde su sofá. Las poderosas herramientas para cambiar la forma en que se produce y enruta la energía ahora pueden ser modificadas por cualquiera que sepa cómo iniciar sesión.
Estos cambios son una gran noticia: el mundo obtiene más energía, menos emisiones y precios más bajos. Pero estos cambios también resaltan los tipos de vulnerabilidades que detuvieron abruptamente el Oleoducto Colonial. Las mismas herramientas que hacen que los trabajadores legítimos del sector energético sean más poderosos se vuelven peligrosas cuando son secuestradas por piratas informáticos. Por ejemplo, se pueden dar órdenes a equipos difíciles de reemplazar para que se rompan solos, dejando fuera de servicio partes de una red nacional durante meses seguidos.
Para muchos estados-nación, la capacidad de presionar un botón y sembrar el caos en la economía de un estado rival es muy deseable. Y cuanto más se hiperconecta la infraestructura energética y se administra digitalmente, más objetivos ofrecen exactamente esa oportunidad. Por lo tanto, no sorprende que una proporción cada vez mayor de los ataques cibernéticos observados en el sector de la energía haya pasado de centrarse en las tecnologías de la información (TI) a centrarse en las tecnologías operativas (OT), el equipo que controla directamente las operaciones de la planta física.
Para mantenerse al tanto del desafío, los directores de seguridad de la información (CISO) y sus centros de operaciones de seguridad (SOC) deberán actualizar sus enfoques. La defensa de las tecnologías operativas requiere estrategias diferentes, y una base de conocimientos distinta, que la defensa de las tecnologías de la información. Para empezar, los defensores deben comprender el estado operativo y las tolerancias de sus activos: un comando para empujar vapor a través de una turbina funciona bien cuando la turbina está caliente, pero puede romperse cuando la turbina está fría. Los comandos idénticos pueden ser legítimos o maliciosos, según el contexto.
Incluso recopilar los datos contextuales necesarios para monitorear y detectar amenazas es una pesadilla logística y técnica. Los sistemas de energía típicos están compuestos por equipos de varios fabricantes, instalados y actualizados durante décadas. Solo las capas más modernas se construyeron con la ciberseguridad como una restricción de diseño, y casi ninguno de los lenguajes de máquina utilizados tuvo la intención de ser compatible.
Para la mayoría de las empresas, el estado actual de madurez de la ciberseguridad deja mucho que desear. Las vistas casi omniscientes de los sistemas de TI se combinan con grandes puntos ciegos de OT. Los lagos de datos se llenan de resultados cuidadosamente recopilados que no se pueden combinar en una imagen coherente y completa del estado operativo. Los analistas se queman bajo la fatiga de las alertas mientras intentan clasificar manualmente las alertas benignas de los eventos consecuentes. Muchas empresas ni siquiera pueden producir una lista completa de todos los activos digitales conectados legítimamente a sus redes.
En otras palabras, la revolución energética en curso es un sueño para la eficiencia y una pesadilla para la seguridad.
Asegurar la revolución energética exige nuevas soluciones igualmente capaces de identificar y actuar sobre las amenazas tanto del mundo físico como del digital. Los centros de operaciones de seguridad deberán unir los flujos de información de TI y OT, creando un flujo de amenazas unificado. Dada la escala de los flujos de datos, la automatización deberá desempeñar un papel en la aplicación del conocimiento operativo para la generación de alertas: ¿este comando es coherente con el negocio habitual o el contexto muestra que es sospechoso? Los analistas necesitarán un acceso amplio y profundo a la información contextual. Y las defensas deberán crecer y adaptarse a medida que las amenazas evolucionen y las empresas agreguen o retiren activos.
Este mes, Siemens Energy presentó una plataforma de monitoreo y detección destinada a resolver los principales desafíos técnicos y de capacidad para los CISO encargados de defender la infraestructura crítica. Los ingenieros de Siemens Energy han hecho el trabajo preliminar necesario para automatizar un flujo de amenazas unificado, lo que permite que su oferta, Eos.ii, sirva como un SOC de fusión capaz de liberar el poder de la inteligencia artificial en el desafío de monitorear la infraestructura energética.
Las soluciones basadas en IA responden a la doble necesidad de adaptabilidad y vigilancia persistente. Los algoritmos de aprendizaje automático que rastrean grandes volúmenes de datos operativos pueden aprender las relaciones esperadas entre variables, reconocer patrones invisibles para los ojos humanos y resaltar anomalías para la investigación humana. Debido a que el aprendizaje automático se puede entrenar con datos del mundo real, puede aprender las características únicas de cada sitio de producción y se puede entrenar iterativamente para distinguir anomalías benignas y consecuentes. Luego, los analistas pueden ajustar las alertas para detectar amenazas específicas o ignorar las fuentes conocidas de ruido.
Extender el monitoreo y la detección al espacio OT hace que sea más difícil para los atacantes ocultarse, incluso cuando se implementan ataques únicos de día cero. Además de examinar las señales tradicionales como la detección basada en firmas o los picos de tráfico de red, los analistas ahora pueden observar los efectos que tienen las nuevas entradas en los equipos del mundo real. El malware hábilmente disfrazado aún generaría señales de alerta al crear anomalías operativas. En la práctica, los analistas que utilizan los sistemas basados en IA descubrieron que su motor de detección Eos.ii era lo suficientemente sensible como para identificar de manera predictiva las necesidades de mantenimiento, por ejemplo, cuando un cojinete comienza a desgastarse y la proporción de vapor que entra y sale comienza a desviarse. .
Bien hecho, el monitoreo y la detección que abarca tanto TI como OT deberían dejar expuestos a los intrusos. Los analistas que investigan las alertas pueden rastrear los historiales de los usuarios para determinar el origen de las anomalías y luego avanzar para ver qué más cambió en un período de tiempo similar o por el mismo usuario. Para las empresas de energía, una mayor precisión se traduce en un riesgo drásticamente reducido: si pueden determinar el alcance de una intrusión e identificar qué sistemas específicos se vieron comprometidos, obtienen opciones para respuestas quirúrgicas que solucionan el problema con un daño colateral mínimo, por ejemplo, apagar un sucursal única y dos estaciones de bombeo en lugar de una tubería completa.
A medida que los sistemas de energía continúan su tendencia hacia la hiperconectividad y los controles digitales generalizados, una cosa está clara: la capacidad de una empresa determinada para brindar un servicio confiable dependerá cada vez más de su capacidad para crear y mantener defensas cibernéticas sólidas y precisas. El monitoreo y la detección basados en IA ofrecen un comienzo prometedor.
Para obtener más información sobre la nueva plataforma de monitoreo y detección basada en IA de Siemens Energy, consulte su libro blanco reciente sobre Eos.ii .
Obtenga más información sobre la ciberseguridad de Siemens Energy en Ciberseguridad de energía de Siemens .
Este contenido fue producido por Siemens Energy. No fue escrito por el equipo editorial de MIT Technology Review.
