Nuevo informe de CREST destaca la necesidad de mejorar la ciberseguridad en los sistemas de control industrial
Existe una necesidad urgente de mejorar la seguridad cibernética en los entornos del Sistema de Control Industrial (ICS) para evitar futuras infracciones que podrían afectar la infraestructura nacional crítica, concluye CREST, el organismo de acreditación sin fines de lucro que representa a la industria de seguridad de la información técnica, en su último documento de posición , ‘Sistemas de control industrial: garantía técnica de seguridad’. El informe destaca una serie de desafíos y sugiere que las pruebas de seguridad más técnicas tienen un papel importante que desempeñar para garantizar que se cumplan niveles más altos de garantía de seguridad.
El informe se basa en las diversas opiniones de los sistemas de control industrial y las comunidades de seguridad técnica y propone un modelo para obtener una mayor seguridad en los entornos de ICS. Se basó en los hallazgos de un proyecto de investigación, que buscaba establecer los principales desafíos y posibles soluciones para proteger los sistemas de control industrial, muchos de los cuales se basan en tecnologías heredadas.
Uno de los hallazgos clave del informe es la ausencia de pruebas de seguridad técnica periódicas basadas en estándares que es común en muchas otras industrias. Debido a esto, los propietarios y operadores de entornos de ICS no tienen una forma objetiva de saber si el riesgo cibernético se está gestionando adecuadamente y, en la actualidad, no existe un estándar definitivo para probar entornos de ICS exigido por los organismos reguladores. El hecho de que los entornos de ICS estén cambiando rápidamente también conduce a un mayor grado de exposición.
“Los propietarios de entornos de ICS requieren garantías de que el riesgo se identifica, evalúa y evalúa. Por encima de todo, necesitan saber que existen medidas adecuadas para gestionar y mitigar el riesgo ”, explicó Ian Glover, presidente de CREST. “La investigación sobre el proyecto ha ayudado a identificar las características de alto nivel de un enfoque práctico de prueba técnica de seguridad y las organizaciones deben considerar cómo esto podría agregar valor y protección. Está claro que los entornos ICS son más sensibles que los entornos de TI convencionales y cualquier prueba de penetración de los sistemas debe planificarse y emprenderse con un alto grado de confianza, habilidad y precaución ”.
“Este documento de posición respalda el trabajo que CREST está haciendo en muchas partes de la infraestructura nacional crítica en el despliegue de las pruebas de penetración basadas en inteligencia”, agregó Glover.
El Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC), comentó. “Creemos que este documento proporciona una valiosa contribución al pensamiento actual sobre este desafiante tema y esperamos trabajar con CREST, así como con los operadores de ICS y la industria de la seguridad cibernética para hacer del Reino Unido el lugar más seguro para vivir y hacer negocios. en línea.»
El documento de posición es para organizaciones del sector público y privado y está dirigido principalmente a gerentes de TI, gerentes de seguridad de la información y especialistas en pruebas de seguridad técnica. También será de interés para ingenieros de procesos, especialistas en seguridad, gerentes comerciales, especialistas en adquisiciones y auditores de TI.
CREST ahora está buscando expandir esta investigación inicial de ICS para desarrollar material de orientación detallado que pueda ser utilizado por especialistas para ayudar a proteger los entornos de ICS y, en particular, aquellos que conforman la Infraestructura Nacional Crítica. Puedes ver el informe completo aquí: http://www.crest-approved.org/wp-content/uploads/CREST-Industrial-Control-Systems-Technical-Security-Assurance-Position-Paper.pdf