El 23 de abril de 2021, el Bundestag aprobó la Ley de seguridad informática revisada (ITSiG 2.0). ITSiG 2.0, el sistema de detección de ataques, es obligatorio para KRITIS. Las infraestructuras críticas deben establecer un sistema holístico para la detección de ataques en un plazo de dos años. La cadena de suministro pasa a formar parte de la Ley de Seguridad TI.
El 23 de abril de 2021, el Bundestag aprobó la Ley de seguridad informática revisada (ITSiG 2.0). Además de los poderes extendidos para la Oficina Federal de Seguridad de la Información (BSI), los requisitos de seguridad cibernética se están endureciendo. Las infraestructuras críticas como los proveedores de energía y agua y ahora también las empresas de eliminación de residuos y las grandes empresas con importancia económica están obligadas a implementar un sistema para la detección de ataques con la enmienda. Según la explicación del texto legal, este debería proteger la tecnología de comunicación de los operadores de infraestructuras críticas de la manera más completa posible, es decir, tener en cuenta toda la infraestructura para "identificar y evitar amenazas de forma continua", según el § 8a (1a ). Esto significa que también entra en escena la tecnología de telecontrol, control de procesos y redes del operador, que se denomina tecnología operativa (OT) para distinguirla de la TI corporativa.
La protección KRITIS es obligatoria
"Incluso si la ley sigue siendo poco clara en términos de su diseño, la demanda de un sistema holístico para la detección de ataques está absolutamente atrasada", confirma el director ejecutivo de Rhebo, Klaus Mochalski. »Esto tiene en cuenta tanto la creciente relevancia de la seguridad cibernética de OT como la tendencia hacia la convergencia de TI corporativa y OT. En proyectos de monitoreo y análisis de riesgos en proveedores de energía y empresas industriales, por ejemplo, llevamos muchos años identificando amenazas que atraviesan las interfaces de las redes que antes se administraban por separado. Esto no solo aumenta el riesgo de que se produzcan ciberataques a través de OT. El riesgo de que procesos industriales como el suministro y la producción de energía se interrumpan permanentemente también ha aumentado significativamente en los últimos años". La evaluación de los ciberataques a las empresas de suministro de energía que se hizo pública en 2020 muestra un aumento del 38 por ciento en todo el mundo en comparación con el año anterior. Para las empresas industriales, hubo un aumento del 111 por ciento (fuente: www.hackmageddon.com).
Demora innecesaria
Los operadores de infraestructura crítica ahora tienen 24 meses para implementar el sistema de detección de ataques. En los primeros borradores de ITSiG 2.0, el BSI había solicitado la implementación dentro de los 12 meses. Debido a la complejidad de algunas infraestructuras críticas, el período de implementación solo se duplicó en las últimas semanas de las negociaciones. "En relación con la situación de riesgo actual, hubiera sido deseable un compromiso a corto plazo", dice Mochalski, al comentar sobre el ajuste de última hora. “Especialmente porque hace tiempo que existen enfoques y tecnologías que permiten asegurar rápidamente incluso infraestructuras complejas. Por ejemplo, algunos de nuestros clientes operan una gran cantidad de subestaciones, plantas de energía renovable y otras subestaciones. La integración de nuestra monitorización de redes industriales con detección de anomalías se puede hacer aquí en muy poco tiempo. Esto también es posible porque podemos basar fácilmente nuestra solución en componentes de red existentes, p. B. Barracuda, INSYS icom, RAD y Welotec«.
Los proveedores son responsables
Otra innovación de ITSiG 2.0 es la extensión de la legislación para incluir a los grandes proveedores de infraestructura crítica. Esto tiene en cuenta un panorama de ciberamenazas cada vez más complejo que debe tener en cuenta toda la cadena de suministro.
"Aunque esta regulación probablemente esté dirigida a los proveedores extranjeros de la red 5G, este también es el paso correcto para todos los operadores de infraestructuras críticas o empresas económicamente relevantes", enfatiza Mochalski. "No menos importante, el incidente de SolarWinds dejó esto claro". Usando la técnica de ataque conocida como compromiso de la cadena de suministro, los atacantes primero comprometieron al proveedor de servicios de plataforma de TI SolarWinds a fines de 2020 para obtener acceso a sus objetivos reales, los clientes de SolarWinds, desde allí. »Por este motivo, llevamos tiempo trabajando con varios fabricantes de componentes OT y sistemas IoT críticos«>. Desde 2019, Rhebo protege los sistemas de almacenamiento de energía del fabricante alemán Sonnen GmbH, que se utilizan en todo el mundo. A principios de 2021, Rhebo pasó a manos del proveedor líder de soluciones de gestión energética, Landis+Gyr. Con la integración de Rhebo en la infraestructura de medición avanzada de Landis+Gyr, las infraestructuras críticas de todo el mundo recibirán una solución segura para una mayor digitalización y automatización de sus servicios.
Más en Rhebo.com
Rhebo GmbH
Rhebo desarrolla y comercializa soluciones y servicios innovadores de monitorización industrial para proveedores de energía, empresas industriales e infraestructuras críticas. La compañía permite a sus clientes garantizar tanto la ciberseguridad como la disponibilidad de sus infraestructuras OT e IoT y así dominar los complejos desafíos de asegurar las redes industriales y las infraestructuras inteligentes. Desde 2021, Rhebo ha sido una subsidiaria al 100 % de Landis+Gyr AG, un proveedor global líder de soluciones integradas de gestión de energía para la industria energética con alrededor de 5.500 empleados en todo el mundo. Rhebo es socio de la Alianza para la Seguridad Cibernética de la Oficina Federal de Seguridad de la Información (BSI) y participa activamente en el grupo de trabajo de Teletrust - Bundesverband IT-Sicherheit eV y Bitkom sobre gestión de seguridad para el desarrollo de estándares de seguridad.