La amenaza para el suministro de agua es real y solo empeora

En enero de 2019, Wyatt Travnichek dejó su trabajo en el Distrito de Agua Rural de Post Rock, cuyas 1.800 millas de tubería principal abastecen a clientes en ocho condados en el centro de Kansas. Dos meses después, dicen los fiscales, volvió a iniciar sesión en el sistema informático de la instalación y procedió a alterar los procesos que utiliza para limpiar y desinfectar el agua potable.

Cuando se trata de seguridad de infraestructura crítica, la red eléctrica atrae la mayor parte de la atención del público, y es comprensible. Las amenazas a la red eléctrica son reales y aterradoras; Pregúntele a cualquiera en Ucrania, que ha experimentado múltiples apagones a gran escala efectuados por los piratas informáticos de Sandworm de Rusia. Pero el incidente de Post Rock, revelado en una acusación el miércoles, es un fuerte recordatorio de que el sistema de suministro de agua presenta un objetivo igualmente devastador.

La acusación se produce solo dos meses después de que un pirata informático aún desconocido intentó envenenar el suministro de agua de Oldsmar, Florida, y marca el tercer ataque divulgado públicamente contra un sistema de agua que representaba un riesgo directo para la salud de los clientes de una empresa de servicios públicos. (En 2016, Verizon Security Solutions descubrió que los piratas informáticos habían cambiado con éxito los niveles químicos en una empresa de servicios públicos sin nombre). Los ciberataques que podrían causar daño físico siguen siendo extremadamente raros, pero los sistemas de agua del país son un objetivo cada vez más popular. Y los expertos dicen que estos sistemas en gran medida no están equipados para manejar las amenazas.

“Todo el mundo piensa en la gente que lleva el poder a las áreas, porque es algo con lo que estás familiarizado. Todos han pasado por un apagón. También sabemos cómo sobrevivir a ellos ”, dice Lesley Carhart, analista de amenazas principal de Dragos, una empresa de seguridad de sistemas de control industrial. “No pensamos en el agua. Esa es quizás una de las razones por las que no cuenta con los fondos suficientes “.

Los detalles de cómo Travnichek supuestamente obtuvo acceso a la red del Distrito de Agua Rural de Post Rock después de que dejó la empresa de servicios públicos siguen sin estar claros; la acusación solo dice que “inició sesión de forma remota”. Había tenido un inicio de sesión remoto cuando trabajaba allí, dicen los documentos judiciales, para el monitoreo fuera de horario. Pero las medidas básicas de ciberseguridad deberían haber sido suficientes para evitar que un ex empleado tuviera acceso no autorizado al sistema, ya sea que simplemente usaran credenciales antiguas o incluso configuraran una puerta trasera más sofisticada en el sistema. Desafortunadamente, muchas empresas de agua carecen incluso de esa cantidad, especialmente en las zonas rurales.

“La mayoría de los servicios públicos de agua están a cargo de los municipios, por lo que pueden ser administrados por pueblos muy pequeños con presupuestos muy reducidos. Operan con muy poco dinero ”, dice Carhart. “Muchas empresas de agua, especialmente las municipales, tal vez tengan una persona de TI si tienen mucha suerte. Definitivamente no tienen una persona de seguridad en el personal, en la mayoría de los casos “. Ni Post Rock ni el abogado de Travnichek respondieron a una solicitud de comentarios.

Cuando su trabajo es asegurarse de que las computadoras funcionen en una empresa de agua, es comprensible que priorice los procesos que protegen el suministro de agua potable sobre la implementación, digamos, de medidas de identidad federada que evitarían que un ex empleado vuelva a entrar.

Que es, desafortunadamente, algo que sucede con más frecuencia de lo que piensas. El incidente de Post Rock, al igual que Oldsmar y la intrusión anónima que Verizon detectó hace unos años, ha llamado la atención porque podrían haber resultado en daños físicos. Pero las empresas de agua han experimentado un ataque lento pero sostenido durante la última década. En la primera mitad de la década de 2010, estuvo constantemente entre los sectores más objetivo, aunque todavía muy por detrás de la fabricación y la energía críticas. En 2015, el Equipo de Respuesta a Emergencias Cibernéticas de Sistemas de Control Industrial de EE. UU. Atendió 25 incidentes de ciberseguridad en el sector de agua y aguas residuales; en 2016, el último año para el que hay datos disponibles, vio 18. Un estudio reciente publicado en el Revista de Ingeniería Ambiental analizó 15 ciberataques contra sistemas de agua con cierta profundidad y descubrió que abarcaban desde el robo de datos hasta el criptojacking y el ransomware.

.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.