Experto: Hackers Penetrating Control Systems

Las redes que alimentan los sistemas de control industrial han sido violadas Más de 125 veces en la última década, y uno resultó en muertes en los EE. UU., dijo un experto en sistemas de control el jueves.

Joseph Weiss, socio gerente de la consultora de control de sistemas de control Applied Control Solutions, no detalló la brecha que causó las muertes durante su testimonio ante un comité del Senado de los EE. UU., pero dijo que ha podido encontrar evidencia de más de 125 violaciones de sistemas de control que involucran sistemas en plantas de energía nuclear, plantas hidroeléctricas, servicios de agua, la industria petrolera y la agroindustria.

"Los impactos han ido desde daños triviales a daños ambientales significativos hasta daños significativos en los equipos a las muertes ", dijo al Comité Senatorial de Comercio, Ciencia y Transporte. "Ya hemos tenido un incidente cibernético en los Estados Unidos que ha matado a personas".

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

En otras ocasiones, Weiss ha hablado de una gasolina de junio de 1 ruptura de tuberías cerca de Bellingham, Washington. Esa ruptura derramó más de 200,000 galones de gasolina en dos arroyos, que encendieron y mataron a tres personas. Los investigadores encontraron varios problemas que contribuyeron a la ruptura, pero Weiss identificó una falla de la computadora en la sala de control central del ducto como parte del problema.

Estados Unidos podría tardar mucho tiempo en desenterrar ataques coordinados en la infraestructura mediante el control sistemas, Weiss dijo a los senadores. El equipo dañado podría tomar varias semanas para reemplazarlo, dijo. Un ataque coordinado "podría ser devastador para la economía y la seguridad de los EE. UU.", Dijo. "Estamos hablando de meses para recuperarnos. No estamos hablando de días".

La industria de sistemas de control industrial está años atrás de la industria de TI en la protección de la ciberseguridad, y algunas de las técnicas utilizadas en seguridad de TI dañarían los sistemas de control, Weiss adicional. "Si pruebas tu penetración en un sistema de control industrial heredado, lo cerrarás o lo matarás", dijo. "Serás tu propio hacker".

Parte del problema es que solo hay un puñado de proveedores de sistemas de control, y sus arquitecturas y contraseñas predeterminadas son comunes a cada proveedor, dijo Weiss. Además, hay probablemente menos de 100 expertos en ciberseguridad de sistemas de control en todo el mundo, y las universidades estadounidenses no tienen currículos centrados en la seguridad cibernética del sistema de control, agregó.

Los ataques provienen de personas externas, pero también de empleados o ex empleados, Weiss dijo. "Creo que la amenaza aumenta no solo por los estados nación … sino porque la recesión económica ha creado muchos antagonistas descontentos pero conocedores", dijo.

Weiss dio tres ejemplos de casos de empleados descontentos, incluido un caso reciente en California, donde un empleado inhabilitó los sistemas de detección de fugas en tres torres de perforación de petróleo frente a la costa.

Los Senadores pidieron un mayor enfoque en la seguridad cibernética en el gobierno de los Estados Unidos y la industria privada. "Es muy importante que la gente sepa que la seguridad cibernética no solo trata de proteger las redes de nuestro gobierno de países con terroristas o hackers que quieren nuestros secretos", dijo el senador Jay Rockefeller, un demócrata de Virginia Occidental y presidente del comité. "Se trata de proteger la infraestructura crítica de nuestra nación de ataques cibernéticos que podrían afectar gravemente el comercio y la economía que son absolutamente devastadores".

Demasiados residentes de los EE. UU. No piensan ni conocen los ciberataques en curso, agregó Rockefeller.

Sin embargo, James Lewis, director del Programa de Tecnología y Políticas Públicas del Centro de Estudios Estratégicos e Internacionales, también pidió al Congreso que se centre en la seguridad informática tradicional además de los sistemas de control. En este momento, la propiedad intelectual en los EE. UU. Está en peligro, y esas pérdidas dañarán la competitividad a largo plazo de la nación, dijo.

Si bien los sistemas de control representan un potencial de ataque, "estamos siendo atacados en este momento", dijo Lewis. "Me preocupa más la pérdida de información. En este momento, entidades extranjeras nos están robando nuestra más valiosa tecnología, y tenemos que detener eso".