Por Matthew V. Veazey
Los propietarios y operadores de ciertas tuberías deberán implementar varias protecciones de ciberseguridad bajo una nueva directiva emitida por la Administración de Seguridad en el Transporte (TSA).
La directiva de seguridad se aplica a los propietarios y operadores de tuberías críticas designadas por la TSA que transportan líquidos peligrosos y gas natural, informó el Departamento de Seguridad Nacional de los EE.UU. (DHS).
“A través de esta directiva de seguridad, el DHS puede garantizar que el sector de oleoductos tome las medidas necesarias para salvaguardar sus operaciones de las crecientes amenazas cibernéticas y proteger mejor nuestra seguridad nacional y económica”, comentó el secretario del DHS, Alejandro N. Mayorkas.
El DHS declaró que la directiva de seguridad requiere que los propietarios y operadores de tuberías críticas designadas por la TSA:
- Implementar medidas de mitigación específicas para protegerse contra ataques de ransomware y otras amenazas conocidas a la tecnología de la información y los sistemas de tecnología operativa.
- Desarrollar e implementar un plan de contingencia y recuperación de ciberseguridad
- Realice una revisión del diseño de la arquitectura de ciberseguridad.
El anuncio marca la segunda directiva de seguridad de la TSA en los últimos meses. En mayo de este año, a raíz de un gran ciberataque en Colonial Pipeline , la TSA emitió una directiva de seguridad inicial. El DHS declaró que la primera directiva requería que los propietarios y operadores de oleoductos críticos:
- Informar los incidentes confirmados y potenciales de ciberseguridad a la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del DHS.
- designar un coordinador de ciberseguridad que esté disponible las 24 horas del día, los siete días de la semana
- revisar las prácticas actuales
- Identificar cualquier brecha y medidas correctivas relacionadas para abordar los riesgos cibernéticos e informar los resultados a la TSA y CISA dentro de los 30 días.
Para visualizar nuestro portafolio de cursos
ingresa dando click acá
¿Pero funcionará?
Un “evangelista de la defensa basada en datos” de la empresa de seguridad informática y de redes KnowBe4 (NASDAQ: KNBE) calificó la última directiva de la TSA como “buenas noticias”, pero añadió que probablemente no será eficaz.
“Cualquier cosa que nos asegure mejor es algo bueno”, comentó Roger Grimes de KnowBe4 en una declaración escrita enviada por correo electrónico a Rigzone. “También es probable que no funcione”.
Grimes señaló que el mandato de la TSA sigue una serie de acciones de ciberseguridad existentes.
“(Es) difícil ser perfecto y todas las organizaciones ya están tratando de hacer la seguridad informática a la perfección”, explicó. “Agregar otro requisito además de todos los demás requisitos y regulaciones por encima de lo que ya saben que deberían estar haciendo probablemente no resultará en ser significativamente más resistente a los ciberataques. No puede hacer daño … pero no es probable que sea el último clavo en el ataúd que derrote a todos los hackers y malware maliciosos “.
Hacer más difícil que los piratas informáticos maliciosos y el malware se oculten ayudaría a mitigar el problema, dijo Grimes.
“Los piratas informáticos piratean y propagan malware porque no pueden ser rastreados o no pueden ser arrestados y castigados cuando los atrapan”, señaló. “Un pirata informático malintencionado tiene más probabilidades de ser alcanzado por un rayo, dos veces, que de ser arrestado por piratería”.
Grimes dijo que ayudaría a hacer Internet “significativamente … más seguro por defecto”.
“Hay formas de hacer que Internet sea mucho más seguro”, dijo. “He escrito sobre este tema durante décadas y recientemente volví a presentar planes sobre cómo hacerlo a CISA y otros grupos de seguridad de Internet. Tenemos la tecnología. No tenemos que reinventar la rueda. Solo necesitamos a las personas adecuadas en la misma sala y una verdadera voluntad de resolver el problema “.
Además de una “Internet mucho más segura”, Grimes dijo que un “acuerdo global sobre delitos digitales” ayudaría a combatir los piratas informáticos y el malware.
“Una regulación más sobre una industria no va a cambiar el problema”, concluyó. “¿Cómo puedo saber? Porque tuvimos tres décadas de mayor regulación y el problema solo empeora cada año ”.