'Considérate un objetivo potencial, porque lo eres'.

Lior Frenkel

Lior Frenkel cofundó Waterfall Security Solutions en 2007. Las pasarelas de seguridad unidireccionales de Waterfall Security están diseñadas para proporcionar una protección del 100% contra las amenazas a la seguridad de la tecnología operativa (TO) y los ataques en línea en diversos sitios, como aeropuertos, sistemas ferroviarios y centrales eléctricas .

La creciente cartera de clientes de la empresa incluye infraestructuras críticas nacionales y servicios públicos, centrales eléctricas, centrales nucleares, plataformas marinas, refinerías, oleoductos , plantas farmacéuticas, químicas y de fabricación. Con presencia en Norteamérica, Europa, Oriente Medio y Asia, los productos de Waterfall son compatibles con una amplia gama de plataformas, aplicaciones, bases de datos y protocolos de monitorización industrial y remota.

El sector energético se ha convertido en el segundo más vulnerable a los ciberataques, con casi tres cuartas partes de las empresas estadounidenses de petróleo y gas sufriendo al menos un incidente cibernético grave cada año. Un ciberataque moderno contra una red de oleoductos o una terminal de GNL puede tener graves consecuencias para la seguridad humana y ambiental, como rupturas, explosiones, incendios, fugas y derrames.

Aquí tenéis una entrevista con Frenkel sobre ciberseguridad en el sector del petróleo y el gas . La entrevista se ha editado por motivos de extensión y claridad.

P: ¿Qué tan difícil es proteger los activos de petróleo y gas de los ciberataques, dado que a menudo se encuentran en ubicaciones remotas?

R: Esa es una excelente pregunta. Y la respuesta es que sí y que no. La industria del petróleo y el gas no se diferencia de muchas otras industrias en el sentido de que los sectores industriales, los sistemas de agua, la generación de energía y los ferrocarriles, desde una perspectiva de ciberseguridad, son prácticamente iguales. Claro que existen diferencias, pero lo que se tiene en común es mayor que las diferencias. Cada uno de estos sectores industriales cuenta con redes informáticas que controlan procesos físicos, y esa es la entidad que se debe proteger, de manera que dichos procesos físicos se mantengan en funcionamiento con el máximo rendimiento y de forma segura. Eso es la ciberseguridad industrial . Cuando hablamos de bancos o empresas convencionales, no existe esa red informática que controle un proceso físico . Por lo tanto, la gran diferencia radica en si protegemos la información, como en una empresa convencional, donde los activos y lo que procesa la red son información, o si se trata de un proceso físico, maquinaria, etc.

Cuando tienes una empresa industrial, como una empresa de petróleo y gas con activos como una plataforma marina , estos están físicamente allí.

Si las bombas y toda la maquinaria que extrae petróleo y gas de las profundidades marinas fallan, la producción se detiene. No se dispone de una plataforma marina de respaldo que pueda sustituirla. En el caso de las empresas convencionales, sus activos no son físicos y pueden respaldarse, lo cual es la premisa básica de cualquier sistema de seguridad informática. Incluso en el peor de los casos, se cuenta con una copia de seguridad de los archivos y la información. En el ámbito de la ciberseguridad industrial, no contamos con esa opción. Si algo se infiltra en la red, es necesario reinstalar todo. En ese caso, la actividad se paraliza: los trenes, la producción y la fabricación se detienen. Si se trata de una plataforma marina y alguna pieza de la maquinaria falla, la operación puede interrumpirse durante tres o cuatro meses, ya que el activo que se procesa y controla no tiene respaldo. La posibilidad de paralizar la producción sin una copia de seguridad otorga al ciberdelincuente una ventaja tan grande que se pagaría lo que fuera necesario.

P: Incluso las mejores medidas de ciberseguridad son tan buenas como las personas que las utilizan.

A: Es cierto, pero es solo una parte del panorama. Cuando la seguridad es muy deficiente y no se cuenta con un sistema de seguridad sólido, cualquier error humano puede tener consecuencias graves. Por otro lado, se puede implementar el mejor sistema de seguridad, invertir miles de millones de dólares, comprar los mejores productos del mundo e implementarlos de la mejor manera posible. Pero si el personal no sabe qué hacer, no comprende lo que está en juego y carece de la capacitación adecuada, no importa cuánto dinero se invierta: cometerán errores que vulnerarán la seguridad. Sería un error centrarse únicamente en el personal de la empresa; es necesario construir un buen sistema de seguridad, capacitar al personal , garantizar un alto nivel de concientización y hacer cumplir las normas necesarias para estar en la mejor situación posible.

P: Los ataques a la infraestructura de petróleo y gas pueden deberse a razones puramente monetarias, pero también a motivos políticos. ¿Qué tipo de ataques observa usted en la industria del petróleo y el gas?

A: Lo que vemos principalmente son ataques con fines delictivos; diría que nueve de cada diez son por dinero, simplemente porque es una actividad criminal muy lucrativa. El delincuente se encuentra en un país distinto al de la empresa que ataca, sin correr ningún riesgo personal. Hackea un sitio web, pide dinero, lo consigue y sigue adelante sin que le pase nada. Entonces, ¿para qué robar un tren o practicar la piratería marítima, donde te pueden matar? Es un negocio redondo para un delincuente.

Los clientes industriales, como los del sector petrolero y gasístico, son un objetivo muy atractivo por lo que mencioné antes: puedo paralizar su producción y eso sería un desastre. También vemos ataques patrocinados por estados o grupos terroristas. Desde mi punto de vista, en Estados Unidos se ven con menos frecuencia que en otros lugares, como Europa del Este. Pero el riesgo existe. En Estados Unidos, se trata más bien de recopilación de inteligencia. No hay muchos estados que digan seriamente: «Vamos a paralizar parte de la infraestructura estadounidense». Puede que lo consideren, incluso que lo planeen. Quieren robar información, recopilar datos de inteligencia para un ataque, robar propiedad intelectual. Así que vemos que, si bien no se trata tanto de intentar paralizar o interferir con la producción, a veces ocurre como efecto secundario. Por lo tanto, el riesgo está presente.

P: ¿Cómo se equilibra la necesidad de seguridad con la necesidad de realizar el trabajo? ¿Pueden las medidas de seguridad ser tan onerosas que dificulten el trabajo diario de manera eficiente?

A: Entonces, no hay respuesta para eso. Piénsalo de otra manera. La razón por la que la gente pregunta sobre eso es que no comprenden completamente los riesgos. Por ejemplo, cuando quieres ir a una plataforma marina, necesitas usar casco, botas con punta de acero y, a veces, chaleco salvavidas. Luego, te dan una hora de capacitación en seguridad: cómo evacuar, qué hacer en cada caso y qué no hacer. Dónde se puede fumar y dónde no. Pero nadie pregunta sobre eso, o lo consideran demasiado complicado, porque entendemos los riesgos.

Otro aspecto de los protocolos de seguridad es su cumplimiento. No puedo decir que no me importa. Simplemente iré sin chaleco o sin gorro. Me dirán que no puedo acceder a mi plataforma porque no es segura. Cuando la gente empiece a comprender mejor el riesgo —y se está avanzando, aunque demasiado lentamente— ya no preguntarán por el saldo que mencionaste. Quieren evitar el riesgo y no les importa pagar un poco más para evitarlo. Así que el proceso tardará un poco más, pero será seguro.

P: Háblame de tu empresa y cuál es tu propuesta de valor, especialmente para este sector.

A: Waterfall Security es una empresa de ciberseguridad industrial especializada en seguridad de tecnología operativa; a eso nos dedicamos. Nuestra tecnología, llamada Unidirectional Security Gateway, permite compartir información de forma segura desde redes controladas al exterior. ¿Le gustaría subir a un tren cuya red de control es accesible desde internet? Probablemente no. ¿Le gustaría darles a sus hijos comida proveniente de una línea de producción accesible desde internet? Sin embargo, la mayoría lo son. Esto se debe a varios motivos, ya que muchos de estos sistemas se diseñaron e implementaron hace años, cuando la ciberseguridad no representaba un riesgo significativo.

Cuando se conecta una red de control al exterior, es sabido que se instala un firewall. Esta es la solución adecuada cuando ambas redes son redes de información, redes de TI. Para eso se diseñaron los firewalls y cumplen su función a la perfección. Nunca se diseñaron para tener Internet por un lado y una turbina por el otro. Pero cuando no había alternativas, se instalaba un firewall porque era lo único disponible; no había otra opción. Desarrollamos una solución alternativa a los firewalls, en el perímetro entre las redes de control, las redes OT y el exterior. Hardware especializado que diseñamos y fabricamos, y software que lo opera, que recopila información de la red OT. Digamos que desea monitorear remotamente su estación compresora. Desea saber qué está sucediendo: alertas, alarmas, tasas, todo lo que necesita saber. Nuestro sistema sabe cómo recopilar toda la información necesaria y enviarla a través del hardware, el cual está físicamente diseñado para transmitir información en una sola dirección. El software recopila los datos, los envía a través del hardware unidireccional y nuestro software externo recopila esa información y la envía a los destinatarios que la necesiten. Por eso llamamos a la empresa Waterfall. Nuestra tecnología es como una cascada: fluye en una sola dirección y hay una barrera física que impide que retroceda.

Así que configuras nuestros sistemas y todos los datos que necesitas estarán disponibles externamente. Puedes usarlos con tus sistemas, enviarlos a un servicio en la nube o al proveedor del equipo para crear un programa de mantenimiento preventivo. Puedes hacer lo que quieras con la información sin riesgo alguno —no un riesgo mínimo, sino riesgo cero— de que algo pueda filtrarse a través de esa conexión. De esta forma, se elimina el riesgo de control remoto, propagación de malware, ransomware, etc. Tenemos una amplia presencia en la industria del petróleo y el gas, y en oleoductos , principalmente en la exploración y producción y en el transporte y almacenamiento. También operamos en oleoductos, plataformas petrolíferas, plataformas marinas y estaciones de compresión. Además, estamos presentes en prácticamente todo tipo de infraestructura crítica y sector industrial, desde la generación de energía hasta los sistemas de agua, las empresas de servicios de agua, las plantas químicas, los ferrocarriles, el metro, los aeropuertos, etc.

P: Una pregunta general, ¿hay algo que no hayamos comentado y que usted considere importante que la industria del petróleo y el gas sepa sobre su empresa o sobre seguridad en general?

A: Creo que la idea de que el petróleo y el gas están fuera del juego nunca fue cierta. Pero hoy, lo es aún menos. Hablábamos con compañías de petróleo y gas hace cinco años y nos decían: “Entendemos la tecnología, pero no vemos el riesgo. Entendemos que los cortafuegos no nos salvarán; lo entendemos todo. ¿Pero a quién le importamos?”.

Y eso cambió no solo por el Big Bang, que fue el ataque al oleoducto Colonial. Ese es un buen ejemplo. Pero muchos de nuestros clientes en el sector del petróleo y el gas se convirtieron en nuestros clientes porque fueron víctimas de un ataque. No porque se estuvieran preparando, no por la directiva de la TSA , no porque alguien se lo ordenara, sino porque fueron atacados. O bien pagaron un rescate y nadie se enteró, o simplemente tuvieron suerte y, en ocasiones, el ataque no tuvo éxito.

Trátate como un objetivo potencial porque lo eres. Sí. Y llámanos.