El informe, copatrocinado por McAfee, identifica nuevos desafíos que enfrenta la red eléctrica inteligente
Lima, Perú, 25 de Junio 2012.— El Pacific Northwest National Laboratory (PNNL), contratista federal del Departamento de Energía de los Estados Unidos (DOE), en conjunto con McAfee, reveló los hallazgos de un informe titulado “Evaluación de la seguridad tecnológica para capacidades y aplicabilidad en los sistemas de control industrial en el sector energético: control de aplicaciones de McAfee, control de cambios, control de integridad”.
Por primera vez, el informe examina por completo los actuales desafíos que enfrenta la infraestructura fundamental y los recursos clave, como asimismo la identificación de riesgos específicos y vulnerabilidades en el panorama de las amenazas cibernéticas en constante evolución. Analiza cuidadosamente el valor y la eficacia de las soluciones de seguridad integradas necesarias para respaldar la misión de seguridad nacional con respecto a asegurar los entornos de los sistemas de control industrial. Además, el gran desafío para los propietarios y operadores del sector energético e infraestructura fundamental, según lo identificado en el informe, es cómo asegurar de manera eficaz sus sistemas de control dentro de sus dominios de dirección y técnicos en un entorno activo y con capacidad de amenazas persistentes avanzadas.
“Cuando se crearon por primera vez los sistemas de infraestructura fundamental, no se consideró ni la seguridad ni el mal uso, señaló Philip A. Craig Jr, científico de investigación de seguridad cibernética de alto nivel, investigador de la Directiva de seguridad nacional del Pacific Northwest National Laboratory. “En la actualidad, continuamos centrándonos en mejorar la seguridad de los sistemas de control. Los obsoletos métodos de seguridad que utilizan confusas y distintas herramientas de seguridad apiladas de varios proveedores solo retrasarán un ataque cibernético, al proporcionar diversas oportunidades para que un adversario cibernético más avanzado y moderno ataque las posturas de seguridad cibernéticas en toda la infraestructura fundamental”.
En este informe, PNNL y DOE han identificado las siguientes vulnerabilidades de los entornos de los sistemas de control:
- Mayor exposición: las redes de comunicación que enlazan dispositivos y sistemas de la red inteligente crearán muchos y más puntos de acceso a estos dispositivos, lo cual tiene como resultado la exposición a posibles ataques.
- Interconectividad: las redes de comunicación estarán más interconectadas, exponiendo aún más al sistema a posibles fallas y ataques.
- Complejidad: el sistema eléctrico se hará mucho más complejo a medida que se enlacen más subsistemas.
- Tecnologías informáticas comunes: la red inteligente utilizará, cada vez más, tecnologías informáticas comunes, comercialmente disponibles y estará sujeta a sus debilidades.
Mayor automatización: las redes de comunicación generarán, reunirán y utilizarán datos de maneras nuevas e innovadoras cuando las tecnologías de la red inteligente automaticen muchas funciones. El uso incorrecto de estos datos presenta nuevos riesgos para la seguridad nacional de nuestra economía.
El informe también examina cómo las vulnerabilidades emergentes de los sistemas de control continúan en aumento. El ataque cibernético en la actualidad ha evolucionado hasta sofisticadas y cuidadosamente bien diseñadas armas digitales destinadas a propósitos específicos como los virus Stuxnet y Duqu.
“Cada vez se están adoptando más las infraestructuras en las que los sistemas de control afectan diariamente nuestras vidas, como las redes inteligentes, pero todavía carecen de la seguridad adecuada necesaria para evitar sofisticados ataques cibernéticos“, señaló Dr. Phyllis Scheck, vicepresidente y gerente de informática del sector público global de McAfee. “Lograr la seguridad mediante el diseño es esencial en la infraestructura fundamental de seguridad. La seguridad cibernética se debe incorporar en los sistemas y las redes al comienzo del proceso de diseño, de modo que pase a ser una parte integral del funcionamiento del sistema”.
Además de los sistemas de control, el informe también examina el impacto de las nuevas tecnologías que afectan al sector energético. A medida que la tecnología informática y de comunicación avanza y se va integrando en las operaciones de los sistemas de energía y en las funciones de planificación, se crean redes inteligentes, las cuales generan una mayor visibilidad del estado del sistema y progresos en el control para mejorar las eficacias del sistema. A pesar de los importantes beneficios de la naturaleza dinámica de la red de energía, no está diseñada teniendo en mente la seguridad cibernética.
El informe cita las siguientes soluciones en un esfuerzo por evitar vulnerabilidades y mitigar ataques a los sistemas de control:
- Listas aprobadas dinámicas: proporcionan la capacidad de negar las aplicaciones no autorizadas y codificar servidores, computadoras de escritorio corporativas y dispositivos con funciones fijas.
- Protección de memoria: se niega la ejecución no autorizada y se bloquean e informan las vulnerabilidades.
- Supervisión de integridad de archivo: se informa cualquier cambio, adición, eliminación, cambio de nombre, cambios de atributos, modificación de ACL y modificación del propietario. Esto incluye redes compartidas.
- Protección contra escritura: la escritura en discos duros solo se autoriza al sistema operativo, la aplicación, la configuración y los archivos de registro. Se niega a todo el resto.
- Protección de lectura: la lectura se autoriza solo a archivos, directorios, volúmenes y comandos especificados. Se niega a todo el resto.
El objetivo clave del Departamento de energía de asegurar la infraestructura fundamental y los recursos clave incluye la generación eléctrica, la transmisión, los recursos de distribución, como asimismo los activos clave de petróleo y gas natural de nuestra nación. El Pacific Northwest National Laboratory busca continuar mejorando el valor de las tecnologías de seguridad a medida que se implementan en estas áreas de infraestructura fundamental y recursos clave.
Acerca de Pacific Northwest National Laboratory
Los equipos interdisciplinarios del Pacific Northwest National Laboratory tratan muchos de los apremiantes problemas de Norte América en cuanto a la seguridad nacional, de la energía y del entorno a través de avances en ciencias básicas y aplicadas. PNNL cuenta con 4700 empleados, posee un presupuesto anual cercano a US$1100 millones y, desde los inicios del laboratorio en 1965, Battelle, oficina de Ohio, lo ha administrado para el Departamento de Energía de los Estados Unidos. Para averiguar más, visite el Centro de Noticias de PNNL, o siga PNNL en Facebook, LinkedIn y Twitter.
Acerca de McAfee, Inc.
McAfee, subsidiaria en propiedad absoluta de Intel Corporation (NASDAQ:INTC), es la empresa dedicada a la tecnología de seguridad más importante del mundo. McAfee proporciona soluciones y servicios comprobados y proactivos que ayudan a proteger sistemas, redes y dispositivos móviles en todo el mundo, lo que permite a los usuarios conectarse a Internet, navegar y comprar en la Web con mayor seguridad. Respaldado por su inigualable solución Global Threat Intelligence, McAfee crea productos innovadores que brindan a los usuarios domésticos, las empresas, el sector público y los prestadores de servicios la capacidad de cumplir regulaciones, proteger sus datos, evitar interrupciones, identificar vulnerabilidades y supervisar y mejorar continuamente la seguridad. McAfee se dedica sin descanso a la búsqueda constante de nuevas formas de proteger a sus clientes. http://www.mcafee.com