Las compañías de petróleo y gas se enfrentan a algunos de los desafíos de infraestructura de ciberseguridad más apremiantes de la era moderna. «Hay dos tipos de empresas en este sector», según Corie Allemand, directora global de O&G de Stratus, «las que han sido hackeadas y las que saben que han sido hackeadas».
La vulnerabilidad de todos los sistemas a los ciberataques se verifica con innumerables ejemplos, desde el notorio hackeo de Stuxnet hace una década hasta la reciente violación de Colonial Pipeline. Abordar los innumerables desafíos de la infraestructura de ciberseguridad es una tarea difícil, que se ve agravada por requisitos reglamentarios cada vez más estrictos que pueden volverse rápidamente inmanejables dentro de las arquitecturas de automatización industrial heredadas y las redes OT tradicionales. En un seminario web reciente con Xage Security, nuestros expertos explican las nuevas directivas del DHS para la infraestructura de ciberseguridad en O&G, sus implicaciones reales para los operadores y los conceptos de computación periférica de alto nivel que hacen que el proceso de transformación digital parezca casi demasiado fácil.
Cómo llegamos hasta aquí: aprendizajes del gusano Stuxnet
Hace 10 años, Stuxnet fue el primer hackeo de un sistema de automatización industrial, lo que abrió los ojos del mundo a la forma en que los piratas informáticos pueden acceder y controlar los sistemas de IA y falsificar los datos que contienen, a pesar de la brecha entre la red OT y la web. En ese momento, se creía que este enfoque de separación aérea creaba redes confiables que solo serían vulnerables desde dentro e imposibles de acceder desde Internet desde el exterior. Lamentablemente, esta suposición no podría haber sido más errónea.
Según el libro de 2015 Industrial Network Security de Eric D. Knapp y Joel Thomas Langill, «Stuxnet demostró muchas suposiciones sobre ciberamenazas industriales equivocarse, y lo hizo con un malware mucho más sofisticado que cualquier otro que se haya visto antes». Seis años después, a medida que las compañías de petróleo y gas se embarcan en su viaje hacia la digitalización, esta afirmación sigue siendo cierta.
El virus Stuxnet se abrió paso en la llamada red protegida en la que confiaban los profesionales de la OT de todo el mundo en ese momento. A pesar de la intención de los piratas informáticos de acceder al entorno de una organización y completar una misión criminal, lo que lograron, su creación sacudió al mundo, mutando y devastando la infraestructura crítica de las naciones una por una. «Se extendió por todo el mundo», afirma Allemand en el reciente seminario web, «el virus de la jerga es muy, muy preciso».
Stuxnet demostró a la industria que no se puede confiar en ninguna red, por muy alejada que esté de la World Wide Web. Esta constatación cambió el rumbo de la automatización industrial y aceleró la digitalización de muchos sectores, incluido el de O&G. Ese proceso de transformación digital continúa y es especialmente importante para las empresas de petróleo y gas hacerlo bien, ya que puede aumentar los perfiles de riesgo de las organizaciones y reforzar su postura de seguridad.
Las dos caras de la digitalización para las compañías de petróleo y gas
Llevar más digitalización a los entornos de automatización industrial es un callejón sin salida en varios sentidos. Si bien las tecnologías emergentes, como la computación periférica, introducen nuevas herramientas y capacidades que mejoran la toma de decisiones y protegen la seguridad de los operadores y los datos, también presentan demandas apremiantes en materia de infraestructura de ciberseguridad. «Al incorporar estas nuevas tecnologías a estos nuevos sistemas, debemos garantizar que la seguridad sea una prioridad», afirma Allemand.
Con esto en mente, las organizaciones de O&G no deben rehuir la transformación digital. En el reciente seminario web, Rudy de Anda, experto de Stratus, reflexiona: «Para ser competitivo, tiene que conectar y aprovechar sus datos». Hay innumerables casos de éxito en los que las organizaciones que lo hacen bien no solo refuerzan su infraestructura de ciberseguridad, sino que también obtienen beneficios que aumentan su cuota de mercado y promueven sus objetivos comerciales. Los expertos de Xage y Stratus revelan cómo las compañías de petróleo y gas pueden cumplir las promesas de la digitalización y, al mismo tiempo, garantizar el cumplimiento de las normativas y sin tener que destruir ni reemplazar el hardware heredado.
Dentro de las directrices del DHS para la infraestructura de ciberseguridad de oleoductos
En julio, el DHS emitió directivas de ciberseguridad para los oleoductos «en un intento por evitar que se repitiera la Cierre de Colonial Pipeline eso provocó una escasez masiva de combustible y una compra de gasolina por pánico», según el Washington Post. Si bien estos requisitos responden a la necesidad urgente de contar con un manual de estrategias de ciberseguridad estandarizado en el sector, también presentan desafíos onerosos que intimidan tanto a los operadores como al personal de TI.
Algunos de los requisitos del DHS que los expertos de Xage y Stratus analizan en el seminario web incluyen:
- Una metodología de confianza cero que evita la confianza implícita en cualquier red
- Medidas de mitigación para la rotación de credenciales de usuario y la gestión del acceso a los activos
- Protocolos para actualizar y aplicar parches al software
Según Joe Blazeck, líder de ventas y desarrollo empresarial de Xage Security, «realmente nos estamos alejando del concepto de redes confiables, donde las organizaciones verifican una vez en el perímetro, y estamos avanzando hacia un enfoque de seguridad en el que las organizaciones verifican continuamente cada usuario, cada dispositivo, aplicación y transacción. Estamos evitando la confianza implícita en los dispositivos y las redes y estamos adoptando este nuevo principio de mínimo privilegio».
Si bien estas directivas pueden parecer obvias, presentan dolores de cabeza sobre el terreno. Un buen ejemplo son las actualizaciones de software que, de forma rutinaria, provocan tiempos de inactividad no planificados debido a la gran variedad de regiones en las que operan las canalizaciones y a los grupos de contratistas de TI, a menudo desconectados, que reparan las canalizaciones de forma poco sistemática en estas vastas geografías. Estas implementaciones basadas en computadoras pueden parecer una tarea sencilla, tanto para la plataforma como para el software, pero si piensas en esa plataforma extendida por Norteamérica, comprendes la magnitud del desafío que supone ese tipo de actualización. Los principales desafíos relacionados con la aplicación de parches de software, el control de la administración de activos y la gran cantidad de credenciales de las personas que deben mantener son solo algunos de los quebraderos de cabeza para los operadores responsables de proteger la infraestructura crítica en la actualidad.
Stratus y Xage alivian el problema de la DX para Pipelines y abren posibilidades que cambian las reglas del juego
La implementación de una metodología de confianza cero y otras estrategias de mitigación necesarias es simple y fácil con los proveedores de soluciones de ciberseguridad y computación perimetral adecuados. Según Blazeck, «el principio fundamental de la confianza cero es que no se confía en ningún actor, sistema, red o servicio que opere fuera o dentro del perímetro de seguridad. En su lugar, estas organizaciones verifican todas y cada una de las solicitudes de conexión a cualquier sistema antes de conceder el acceso. Casi se puede imaginar que las herramientas de seguridad de un modelo de confianza cero asumen que los dispositivos y los usuarios tienen intenciones maliciosas, y casi asumen que ya se ha producido una violación». Lo que esto significa en la práctica es que los administradores deben responder a la pregunta de cómo implementar un conjunto exitoso de reglas para verificar cada transacción en su red, un desafío que puede volverse inmanejable rápidamente en las redes OT tradicionales que dependen de conjuntos de reglas individuales granulares.
Aquí es donde entran en juego Xage y Stratus. Blazeck continúa: «Abordamos esto creando identidades para todas estas piezas diferentes. Creamos una identidad para cada usuario, dispositivo y aplicación y la ampliamos a los puntos de datos. Luego controlamos, mediante agrupaciones y políticas, en lugar de abrir y cerrar los puertos del firewall, cómo se permite que estas identidades interactúen entre sí. Cada identidad, ya sea un usuario o una cosa, tiene su propio perímetro y cada identidad puede interactuar con otras identidades según las políticas administradas en el sistema central de Xage. Este enfoque de confianza cero centrado en la identidad permite a los operadores mantener conexiones confiables con todos los puntos finales remotos». Estas son solo algunas de las capacidades que ofrecen las soluciones de Xage. La ejecución de este tipo de software de ciberseguridad de vanguardia en un servidor tolerante a fallos como el Stratus ztC Edge también permite a las organizaciones operar de forma segura durante las interrupciones.
La ventaja de las soluciones de Xage y Stratus es que se basan principalmente en software y pueden apoyarse en el hardware heredado, lo que permite funciones como el filtrado de acceso in situ para los PLC más antiguos sin ningún sentido de seguridad incorporado. «Parece casi un poco fácil, un poco simple», dice Allemand, «pero podemos implementarlo... haciendo todo lo que promete la digitalización. Tiene un servidor que funciona en el borde, capaz de realizar estas tareas pesadas en el borde, incluida la seguridad, a medida que amplía la red para cumplir con los nuevos requisitos».
La importancia de adoptar una solución informática industrial segura no puede subestimarse. Al fin y al cabo, si las organizaciones quieren utilizar los datos de los dispositivos de Edge Computing para tomar mejores decisiones empresariales, es imprescindible garantizar la autenticidad, la precisión y la privacidad de esos datos, que los piratas informáticos tienen una tendencia comprobada a falsificar en las arquitecturas de IA tradicionales.
Sin embargo, cuando el proceso de transformación digital se asegura de manera eficiente, las oportunidades son infinitas. Según Rudy de Anda, experto de Stratus, «lo que estamos descubriendo es que si implementa esas tecnologías y las implementa de manera eficiente, es una oportunidad de obtener el ancho de banda necesario para implementar algunas de estas herramientas de vanguardia y conectadas realmente poderosas que aprovechan sus datos y, al mismo tiempo, fortalecen su postura de seguridad, en lugar de debilitarla».
Para obtener más información, vea el seminario web completo, Información práctica sobre los requisitos de ciberseguridad del DHS en el sector del petróleo y el gas, a continuación.
