El pasado mes de abril, el presidente de EEUU Joe Biden pronunció un discurso en una sesión conjunta en el Congreso. Durante el mismo, presentó su iniciativa de estímulo económico American Jobs plan, una propuesta para invertir 2 billones de dólares en infraestructuras durante los próximos 8 años. Una de las partes destacadas de este plan fue el refuerzo de la red eléctrica. De hecho, el propio Biden indicó que “Nuestras redes son vulnerables a tormentas, ciberataques y fallos catastróficos”.

Días antes, la Casa Blanca ya había anunciado que desarrollarán un plan específico para la protección de las redes eléctricas. Este plan contemplará medidas como una revisión exhaustiva de la red de todo el país por parte del Departamento de Energía, pero también otros incentivos para mejorar la ciberseguridad entre las compañías eléctricas.  Además, el anuncio del plan mencionó el riesgo que suponen grupos sofisticados vinculados a potencias extranjeras como Rusia y China.

Antecedentes preocupantes_

La preocupación de la Casa Blanca por esas amenazas está justificada: existen varios antecedentes de ciberataques a las redes eléctricas o a centrales que causaron incluso graves apagones en otros países y que hemos abordado en el blog. Entre los más destacados se encuentran:

  • Berserk Bear: se trató de un ciberataque de tipo Water Hole que tuvo lugar contra compañías eléctricas alemanas, por parte de un grupo con vínculos con la Federación Rusa. Su objetivo no solo fue obtener información de sus redes TI, sino también intentar tomar el control de los sistemas de Control Industrial OT.
  • Crashoverride (también llamado Industroyer): empleó características de los malware Stuxnet, Dragonfly y BlackEnergy2 y provocó la parada de subestaciones eléctricas en Ucrania. Los expertos situaron esta acción como parte del conflicto geopolítico que todavía mantiene Ucrania con separatistas prorusos en la región del Donbás
  • Triton (también denominado Trisis o Hatman): un ciberataque de cadena de suministro, ya que afectó al software legítimo de control industrial Triconex, que utilizan muchas instalaciones eléctricas. Una central en Arabia Saudí sufrió sus consecuencias.
  • Blackenergy: es el primero conocido que perjudicó a una red eléctrica más allá de una sola central y sucedió en Ucrania en 2015. Se trató de un APT que utilizó el spear phishing como vector de ataque y permitió la ejecución de un módulo de KillDisk en sus sistemas SCADA que borró archivos de sus sistemas.
  • Stuxnet: está considerado como el primer gran ciberataque bajo la categoría de ciberguerra y es uno de los más famosos contra centrales energéticas. Un gusano incluido en el pendrive que introdujo un insider de la inteligencia holandesa (con apoyo de la CIA y del Mossad israelí) provocó la destrucción del sistema informático que controlaba las centrifugadoras de una planta de energía nuclear en Irán.

Threat Hunting imprescindible_

La finalidad de los incentivos que contempla el plan de la administración Biden para las compañías eléctricas es que adquieran equipos y profesionales que monitoricen las redes IT de las instalaciones proactivamente.  Ocurre que en este sector que contempla tantas infraestructuras críticas y que, por tanto, es tan vital para la seguridad de los ciudadanos y del país, esa proactividad es un factor fundamental.

Por este motivo, los servicios de Threat Hunting son imprescindibles, tal y como nos apuntó Carlos Manchado, CISO de Naturgy: “Es totalmente necesario. Es bueno contar con un SOC y realizar monitorización, pero llega un momento que hay que ir más allá, porque normalmente cuando se detecta la amenaza es cuando ya está comprometida la compañía y dar la respuesta al incidente será más difícil y costoso”.

Cytomic Orion ofrece esa respuesta proactiva a los SOC acelerando la respuesta a incidentes y la búsqueda de amenazas malwareness. Pero además de ello, las compañías eléctricas también necesitan contar con una protección completa y avanzada en el Endpoint. En este sentido, Cytomic EDPR ofrece esas capacidades. Ambas soluciones están combinadas bajo Cytomic Covalent.  Así, las compañías y las redes eléctricas como las de EEUU estarán mucho más preparadas para las amenazas actuales y las que están por venir.