Infraestructuras críticas: requisitos de la Ley de Seguridad Informática 2.0

1 Abril 2022
| No hay comentarios
Infraestructuras críticas: requisitos de la Ley de Seguridad Informática 2.0

Compartir publicación

Infraestructuras críticas (KRITIS) en el contexto de ciberataques: ¿todas las medidas de protección están en línea con la nueva Ley de Seguridad TI 2.0? La Ley de Seguridad de TI 2.0 ha resultado en ajustes significativos para los operadores de infraestructuras críticas.

Los productores y las empresas de servicios públicos en los campos de la energía, el agua, las finanzas y la salud, así como las empresas industriales, son cada vez más el objetivo de los atacantes. El resultado: pérdidas de producción por valor de millones y cuellos de botella en el suministro, que pueden llegar a poner en peligro vidas humanas. Los ejemplos recientes incluyen ataques al oleoducto más grande de los Estados Unidos, la autoridad sanitaria irlandesa y un incidente en una subestación croata que llevó a Europa al borde de un apagón.

Los ataques de KRITIS requieren acción

Los ataques cibernéticos a las administraciones municipales alemanas, como en Anhalt-Bitterfeld, Schwerin y Witten, también pusieron de relieve la vulnerabilidad de las autoridades alemanas, donde gran parte de los sistemas de TI fallaron o tuvieron que cerrarse en caso de emergencia. La rapidez con la que puede paralizarse la producción de alimentos quedó clara con el ciberataque a la tercera mayor empresa láctea de Austria, en el que se vieron afectadas todas las áreas de la empresa, desde la producción hasta la logística y la comunicación.

Además, el ataque a la planta de tratamiento de aguas subterráneas de Oldsmar en Florida demostró las consecuencias potencialmente mortales de una infraestructura crítica comprometida. Los atacantes penetraron con éxito el sistema informático que controlaba la planta de tratamiento de agua y manipularon de forma remota una computadora para alterar el equilibrio químico del suministro de agua, lo que podría haber causado graves daños humanos.

Ciberguerra: cuando falta el socio negociador

En el contexto de este número creciente de ataques, los operadores de infraestructuras críticas y las empresas con una importancia económica particular deben, por lo tanto, no solo abordar los intentos de chantaje, sino también el tema de la guerra cibernética. Porque si los ciberdelincuentes solo exigen un rescate, las organizaciones pueden al menos implementar pautas de acción adecuadas por adelantado si, por ejemplo, se produce un ataque de ransomware exitoso.

Sin embargo, si un ataque cibernético tiene una motivación puramente política y la organización solo fue elegida por un estado nación hostil como víctima aleatoria para dar ejemplo, no hay un socio negociador y el daño no solo puede tener un impacto masivo en la capacidad comercial, sino también también adquieren dimensiones para la sociedad en su conjunto.

Guerra híbrida con ataques digitales

Esta nueva guerra híbrida es evidente en el conflicto Ucrania-Rusia, en el que los ataques digitales han precedido a los militares y podrían seguir haciéndolo en el futuro. Ya en 2015, Rusia logró paralizar parte de la red eléctrica ucraniana con un gran ataque cibernético, dejando a un cuarto de millón de ucranianos sin electricidad en el invierno. Un mes antes del comienzo de la guerra en enero de 2022, Microsoft encontró un malware de limpieza destructivo en docenas de sistemas críticos de agencias y organizaciones gubernamentales ucranianas. Según el gobierno ucraniano, hay claros indicios de que Rusia está detrás de estos ataques. Además, no se puede descartar que tales incidentes puedan extenderse mucho más allá de las fronteras nacionales de Ucrania. Las autoridades de seguridad alemanas ya han pedido a los operadores de infraestructuras críticas en particular que se preparen contra posibles ciberataques.

Por lo tanto, es fundamental en el área de KRITIS implementar un concepto de seguridad integrado y consistente para la infraestructura de TI y OT, como una solución de extremo a extremo, no solo debido a los ataques motivados monetariamente, sino también con respecto a la seguridad nacional incluye productos , procesos y especialistas en seguridad calificados en todas las áreas.

Nuevo marco legal para infraestructuras críticas

El legislador ha reaccionado a los nuevos retos digitales. Como resultado, los operadores de infraestructuras críticas y las empresas de especial interés público se enfrentan a grandes desafíos no solo por el creciente número de ciberamenazas, sino también por la actualización del marco legal a nivel alemán y europeo.

De acuerdo con la Ley BSI alemana, las organizaciones son operadores de infraestructura crítica si pertenecen a uno de los siete sectores de energía, salud, tecnología de la información y telecomunicaciones, transporte y tráfico, agua, finanzas y seguros y alimentos, brindan servicios críticos y, en al hacerlo, cumplir con la regulación BSI -KRITIS exceder los umbrales.

Requisitos legales adicionales para los operadores de KRITIS en 2022

En Alemania, la segunda ley para aumentar la seguridad de los sistemas de tecnología de la información, en resumen: la Ley de seguridad de TI 2021, entró en vigor en mayo de 2.0 como complemento de la Ley BSI. Esto amplió el grupo de infraestructuras críticas para incluir el sector de eliminación de residuos municipales. Además, otras empresas del denominado “interés público especial”, como los fabricantes de armamento o empresas de especial importancia económica, también tendrán que implantar determinadas medidas de seguridad informática en el futuro.

La Ley de Seguridad Informática 2.0 ha supuesto importantes ajustes para las empresas y en algunos casos también para los operadores de infraestructuras críticas:

Los operadores de infraestructuras críticas deben implementar sistemas de detección de ataques a más tardar el 1 de mayo de 2023.
Además, los operadores deben notificar al Ministerio Federal del Interior sobre el uso inicial planificado de componentes críticos, por ejemplo, si el fabricante está controlado por un tercer país o contradice los objetivos de la política de seguridad del Gobierno Federal Alemán, la UE o la OTAN.
Las empresas de especial interés público están obligadas a presentar periódicamente una autodeclaración. Deben explicar qué certificaciones en el campo de la seguridad informática se han realizado en los últimos dos años y cómo se han asegurado sus sistemas informáticos.

Además, la Comisión Europea ha presentado una propuesta de reforma de la Directiva NIS europea (NIS-2) y una “Directiva de resiliencia de instalaciones críticas” para mejorar la resiliencia digital y física de las instalaciones y redes críticas. El objetivo de estas propuestas es minimizar los riesgos actuales y futuros. Por lo tanto, la implementación de estas directrices europeas puede resultar en una revisión renovada de la Ley de Seguridad de TI 2.0.

¿Cómo es la protección integrada de la infraestructura crítica?

Los productores y proveedores de los sectores de la energía, el agua y la salud, así como las empresas industriales que necesitan proteger su tecnología de TI y control de los ataques cibernéticos, necesitan soluciones integradas que estén en línea con la Ley de Seguridad de TI 2.0/Ley BSI y la ISO 27000 estándares para la condición de seguridad de la información. Por el lado de la tecnología, por lo tanto, las siguientes competencias deben vincularse para formar una red de seguridad estrecha contra los ataques:

Módulos de seguridad para proteger infraestructuras críticas

  • Análisis de datos de registro (LDA): El análisis de datos de registro, también conocido como Gestión de eventos e información de seguridad (SIEM), es la recopilación, el análisis y la correlación de registros de una amplia variedad de fuentes. Esto da como resultado alertas sobre problemas de seguridad o riesgos potenciales.
  • Gestión de vulnerabilidades y cumplimiento (VMC): La gestión de vulnerabilidades permite el escaneo continuo de vulnerabilidades internas y externas con detección integral, verificaciones de cumplimiento y pruebas para una cobertura completa. Como parte del cumplimiento del software, el uso autorizado de software para cada servidor o grupo de servidores se determina mediante un conjunto de reglas y un análisis continuo. El software manipulado se puede reconocer rápidamente.
  • Monitoreo de la condición de la red (módulo OT): Esto se utiliza para informar comunicaciones en tiempo real que indican una interrupción de la operación sin errores. Las condiciones de sobrecarga técnica, los daños físicos, las malas configuraciones y el deterioro del rendimiento de la red se reconocen inmediatamente y las fuentes de error se identifican directamente.
  • Análisis de comportamiento de red (NBA): Con el análisis del comportamiento de la red, la detección de malware peligroso, anomalías y otros riesgos en el tráfico de la red es posible en función de los motores de detección basados ​​en la firma y el comportamiento.
  • Detección y respuesta de punto final: Endpoint Detection and Response significa análisis, monitoreo y detección de anomalías en computadoras (hosts). Con EDR, se proporcionan acciones de protección activa y alertas instantáneas.

Debido a la complejidad, el procesamiento posterior de la información relevante para la seguridad de estos módulos lo llevan a cabo especialistas en seguridad. Evalúa y prioriza el conocimiento adquirido automáticamente. Esta es la base para iniciar las contramedidas correctas. Finalmente, los expertos en seguridad ponen a disposición toda la información de manera clara en un portal central al que tienen acceso las partes interesadas relevantes, incluidos los equipos de operaciones de TI y OT, pero también la gerencia, o desde el cual reciben regularmente informes personalizados que pueden entender.

tecnologías de seguridad europeas

Aunque el uso de tecnologías de seguridad europeas no está anclado en la ley BSI, se recomienda a los operadores y empresas de KRITIS en particular interés público para poder cumplir fácilmente con los siguientes requisitos legales:

Cumplimiento del Reglamento General de Protección de Datos así como integridad, autenticidad y confidencialidad de los sistemas informáticos

Los operadores de KRITIS, al igual que las empresas de todos los demás sectores, están sujetos a los requisitos del Reglamento general de protección de datos (GDPR) de la UE y deben cumplirlos en todo momento y protegerlos en consecuencia.

Además, la Ley BSI (§ 8a Párrafo 1 BSIG) requiere que los operadores de infraestructuras críticas proporcionen a la BSI pruebas adecuadas de sus precauciones para evitar interrupciones en la disponibilidad, integridad, autenticidad y confidencialidad de sus sistemas, componentes o procesos de tecnología de la información que son esenciales para la funcionalidad de las infraestructuras críticas operadas por ellos son relevantes.

Ali Carl Gülerman, CEO y Gerente General de Radar Cyber ​​​​Security (Imagen: Radar Cyber ​​​​Security).

Con los proveedores de seguridad europeos, cuyos servicios se basan en tecnología propia desarrollada en Europa, el cumplimiento de los requisitos anteriores es fácil de implementar, ya que están sujetos a los más altos estándares de protección de datos. Además del origen del proveedor de ciberseguridad, las empresas de KRITIS también deben prestar atención a la forma en que se configura el software de seguridad y la recopilación de datos de seguridad. Para garantizar la mejor seguridad de datos posible, recomendamos configurar soluciones locales como la forma más segura de implementación. Incluso si la tendencia es cada vez más hacia la nube, esto debe verse de manera crítica en vista de la alta sensibilidad de los datos en el área de KRITIS.

Componentes críticos: Especificaciones de los fabricantes utilizados

El uso de tecnología de seguridad europea también facilita la prueba de componentes críticos por parte de BSI de acuerdo con § 9b BSIG. Por ejemplo, la BSI puede prohibir el uso inicial de un componente crítico si

  • El fabricante está controlado directa o indirectamente por el gobierno, incluidas otras agencias gubernamentales o fuerzas armadas, de un tercer país,
  • El fabricante estuvo o ya está involucrado en actividades que tuvieron efectos adversos sobre el orden público o la seguridad en la República Federal de Alemania u otro estado miembro de la Unión Europea, la Asociación Europea de Libre Comercio o el Tratado del Atlántico Norte o en sus instituciones,
  • El uso del componente crítico no es coherente con los objetivos de la política de seguridad de la República Federal de Alemania, la Unión Europea o el Tratado del Atlántico Norte.

Fuerte resistencia cibernética fundamental para las organizaciones KRITIS

Los ataques a la infraestructura crítica son lucrativos para los ciberdelincuentes. Al mismo tiempo, albergan un potencial particularmente alto de daño a la comunidad: p.

Por lo tanto, es esencial que las organizaciones de KRITIS seleccionen proveedores de seguridad para sus medidas de defensa que cumplan con los requisitos de las normas BSI e ISO 27000 y, al mismo tiempo, se adhieran a los más altos estándares europeos de protección de datos. La premisa no debe ser solo evitar multas, sino en particular garantizar una protección eficaz y sostenible de los sistemas de TI y OT. Sin embargo, la resiliencia cibernética sólida contra los ataques nunca se basa únicamente en tecnologías de seguridad, sino que siempre incluye los procesos correctos y especialistas calificados. Solo a través de esta tríada de productos, procesos y expertos es posible tener una visión de 360 ​​grados de toda la infraestructura de una organización para garantizar una detección temprana holística y una respuesta rápida a las ciberamenazas.

Más en RadarCS.com

 

Sobre Radar Ciberseguridad

Radar Cyber ​​Security opera uno de los centros de ciberdefensa más grandes de Europa en el corazón de Viena basado en la tecnología patentada Cyber ​​​​Detection Platform. Impulsada por la sólida combinación de conocimientos y experiencia humana, junto con los últimos avances tecnológicos de diez años de trabajo de investigación y desarrollo, la empresa combina soluciones integrales para los desafíos relacionados con la seguridad de TI y OT en sus productos RADAR Services y RADAR Solutions.

 

Artículos relacionados con el tema

Seguridad informática: NIS-2 la convierte en una máxima prioridad

Sólo en una cuarta parte de las empresas alemanas la dirección asume la responsabilidad de la seguridad informática. Especialmente en empresas más pequeñas ➡ Leer más

Los ciberataques aumentarán un 104 por ciento en 2023

Una empresa de ciberseguridad ha analizado el panorama de amenazas del año pasado. Los resultados proporcionan información crucial sobre ➡ Leer más

El software espía móvil representa una amenaza para las empresas

Cada vez más personas utilizan dispositivos móviles tanto en la vida cotidiana como en las empresas. Esto también reduce el riesgo de "descarga móvil". ➡ Leer más

La seguridad colaborativa identifica muchas vulnerabilidades

La seguridad colaborativa ha aumentado significativamente en el último año. En el sector público se reportaron un 151 por ciento más de vulnerabilidades que el año anterior. ➡ Leer más

Seguridad digital: los consumidores son los que más confían en los bancos

Una encuesta sobre confianza digital mostró que los bancos, la atención médica y el gobierno son los sectores en los que más confían los consumidores. Los medios de comunicación- ➡ Leer más

Bolsa de trabajo en la Darknet: los piratas informáticos buscan información privilegiada renegada

La Darknet no es sólo un intercambio de bienes ilegales, sino también un lugar donde los hackers buscan nuevos cómplices. ➡ Leer más

Sistemas de energía solar: ¿qué tan seguros son?

Un estudio examinó la seguridad informática de los sistemas de energía solar. Los problemas incluyen falta de cifrado durante la transferencia de datos, contraseñas estándar y actualizaciones de firmware inseguras. tendencia ➡ Leer más

Nueva ola de phishing: los atacantes utilizan Adobe InDesign

Actualmente hay un aumento de los ataques de phishing que abusan de Adobe InDesign, un sistema de publicación de documentos conocido y confiable. ➡ Leer más

Stories
, , , , ,