INFRAESTRUCTURA CRITICA DE U.S.A. EN RIESGO DE CIBERATAQUES

La infraestructura de petróleo y gas en alta mar de EE. UU. enfrenta riesgos de seguridad cibernética “significativos y crecientes” que requieren atención “urgente”, advirtió un organismo de control del gobierno de EE. UU.

La Oficina de Responsabilidad Gubernamental dijo en un nuevo informe que la red de más de 1600 instalaciones en alta mar que produce una parte significativa del petróleo y el gas domésticos de EE. UU. corren un riesgo creciente de ataques cibernéticos. La advertencia llega más de un año después de que los actores de ransomware atacaran Colonial Pipeline , paralizando el sistema de oleoductos de EE. UU. en el que confían millones de estadounidenses.

El organismo de control advirtió que el gobierno no solo identificó el sector de petróleo y gas en alta mar como un objetivo de actores estatales maliciosos, particularmente aquellos respaldados por China, Irán, Corea del Norte y Rusia, sino que dijo que la tecnología operativa (OT), a menudo utilizada por estas instalaciones para monitorear y controlar el equipo físico: contiene múltiples fallas de seguridad que podrían permitir a los atacantes tomar el control de forma remota de varias funciones, incluidas las críticas para la seguridad.

La agencia de ciberseguridad de EE. UU. CISA ha publicado varios avisos sobre las vulnerabilidades de OT solo este año, detallando problemas como el cifrado débil y las actualizaciones de firmware inseguras, e instó a los usuarios afectados a identificar las mitigaciones de referencia para reducir los riesgos potenciales.

La GAO señaló en su nuevo informe que la infraestructura OT heredada que todavía está en uso en muchas instalaciones también es vulnerable debido a la falta de medidas de ciberseguridad integradas y parches de seguridad de software. El informe señala que los dispositivos más antiguos “no tienen la capacidad de registrar los comandos enviados a los dispositivos, lo que dificulta la detección de actividades maliciosas”.

El organismo de control de EE. UU. hace un llamado a la Oficina de Seguridad y Cumplimiento Ambiental (BSEE) del Departamento del Interior, que supervisa las operaciones de petróleo y gas en alta mar, para abordar estos crecientes riesgos de seguridad. Dice que la agencia había iniciado esfuerzos para abordar estos riesgos de seguridad cibernética desde 2015, pero aún no ha tomado ninguna medida “sustancial” casi una década después.

La GAO señala que la BSEE inició otra iniciativa de este tipo a principios de este año y contrató a un especialista en seguridad cibernética para que la dirigiera, pero la agencia dijo más tarde que el esfuerzo se suspendió hasta que el especialista esté “adecuadamente versado en los temas relevantes”.

“En ausencia del desarrollo inmediato y la implementación de una estrategia adecuada, la infraestructura de petróleo y gas en alta mar seguirá estando en un riesgo significativo”, dijo la GAO, y señaló que un ataque cibernético exitoso en la infraestructura de petróleo y gas en alta mar podría tener consecuencias catastróficas, que incluyen “muertes y lesiones, equipos dañados o destruidos y contaminación del medio marino”.

El organismo de control de EE. UU. insta a BSEE a desarrollar e implementar con urgencia una estrategia de seguridad cibernética que incluya evaluaciones de riesgos, objetivos, actividades y medidas de desempeño; funciones, responsabilidades y coordinación; y la identificación de los recursos e inversiones necesarios.

BSEE “en general estuvo de acuerdo” con el informe y sus recomendaciones. TechCrunch se puso en contacto con BSEE para obtener comentarios, pero no recibió respuesta.