Les amenaces cibernètiques contra la xarxa elèctrica estan augmentant dramàticament
Segons un nou informe de seguretat de Dell, els atacs cibernètics en els Sistemes de Control Supervisió i Adquisició de Dades (SCADA) es van duplicar l'any passat. De fet, han augmentat un 600% des de l'any 2012. Aquestes dades són alarmants, però encara és més preocupant els atacs físicament disruptius, que cada vegada són més comuns. De fet, el 25% de tots els incidents cibernètics de l'any passat van ser un tipus específic d'atac que pot penetrar en els sistemes SCADA i fer operacions sobre dispositius mecànics. Això podria interrompre les operacions físiques. S'espera que aquests atacs vagin a més en els propers mesos i anys. De fet els EUA és el tercer país més atacat al món. The Department of Homeland Security's Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) va trobar que els atacs d'infraestructures crítiques estan en alça. La indústria de l'energia és el sector més fortament atacat de tots (32% dels atacs).
Hi ha tres raons per les quals els atacs sofisticats tenen lloc amb més freqüència: hacktivistes, hackers amb vincles amb governs estrangers i el crim organitzat. Les centrals elèctriques són un objectiu prioritari per aquests tres grups. Les motivacions van des de l'activisme polític a la geopolítica de l'especulació, i hem d'esperar que aquests atacs empitjorin en els propers anys.
Atacs sigilosos
Equips de TI de les companyies estan probablement més familiaritzats amb els correus electrònics de phishing (robatori de dades personals) i sondes automàtiques de bots (programa informàtic que pot imitar el comportament d'un humà) per tractar d'infectar les seves operacions. No obstant això, aquests atacs estan evolucionant; són molt més sofisticat, dirigits i silenciosos. Hi ha dos tipus d'atacs als DSO:
El Drive-BYS i el cross-site scripting. Sense entrar en massa detalls tècnics, tots aquests atacs utilitzen llocs web legítims per colar-se a la xarxa d'una empresa. Com passa això? A causa d'una vulnerabilitat en el lloc web legítim (que podria ser un proveïdor conegut, un lloc de notícies, un fòrum de discussió, etc.) que permet al hacker executar un codi maliciós per infectar qualsevol persona que visiti el lloc. Tot un atac drive-by requereix que un empleat visiti la pàgina web infectada. Amb un atac de cross-site scripting, l'empleat està infectat quan es fa clic en un enllaç de confiança enviat per correu electrònic.
Els hackers també tenen més probabilitats de dirigir-se a un empleat de companyia elèctrica a la seva llar per robar credencials que poden ser en un PC de casa i, així, infectar els mitjans extraïbles com una unitat flash USB que l'empleat porta de nou a la feina.
El malware destructiu
El malware també està evolucionant i ara té capacitats molt més destructives de les que s'havien vist anteriorment. Molts estaran familiaritzats amb el nom de Stuxnet, que va segrestar centrifugadors en el programa nuclear de l'Iran. Hi ha molts altres virus troians que poden desactivar totes o part de les operacions físiques d'una planta. Dos dels més greus són els wipers, que bàsicament esborren tot el que hi ha en un equip o dispositiu, de manera que queda totalment inutilitzable, i el malware xifrat, que en lloc d'eliminar les dades, bloqueja l'accés, que és gairebé infranquejable. El malware xifrat es coneix més habitualment com ransomware.
La negació de servei
A més del malware que pot interrompre les operacions d'una planta, també hi ha una sèrie d'atacs web que poden fer el mateix. Dos dels que més es veuen són desbordaments de memòria. Això seria un atacant que provoca un coll d'ampolla a la xarxa, generant un mal funcionament, ocasionant la de denegació de servei o el bloqueig d'accés a grans quantitats de dades que són llençades a la xarxa i que acaben paralitzant-la.
El desenvolupament d'una defensa efectiva
A mesura que aquests atacs es tornen més sofisticats, és important per als administradors de les distribuïdores que es concentrin les mesures de control dels danys, ja que simplement, no és possible prevenir tots els atacs avançats, de manera que la contenció és igualment important.
Les mesures preventives inclouen l'auditoria de la xarxa per als sistemes obsolets o no actualitzats, des d'estacions de treball individuals per a servidors, aplicacions web, antivirus, etc. Per exemple, ¿la seva xarxa conté equips amb Windows XP o Windows Server 2003? La companyia també hauria d'utilitzar una configuració moderna de tallafocs, eines de detecció de malware agressius, llista blanca de correu electrònic i la vigilància activa, tant per atemptats contra la xarxa, com per l'activitat sospitosa darrere del tallafocs (com són les exfiltracions de dades). També la prohibició de tots els mitjans extraibles / portàtils en el lloc de treball; la qual cosa significa totes les unitats flash USB, telèfons intel·ligents, tauletes, qualsevol cosa que se'n va a casa i torna.
Font: Intelligentutility
Cap comentari:
Publica un comentari a l'entrada
Aquest és un blog amb moderador dels comentaris. Per tant, no apareixen immediatament