Hoy, cuando los ataques cibernéticos de alto perfil aparecen en las noticias de forma regular, ¿es hora de que la industria del centro de datos se una en un conjunto común de estándares de seguridad para la infraestructura física, los sistemas de energía y refrigeración de los que dependen tanto nuestras vidas digitales? Muchos jugadores en la industria piensan que si.
Antilavadodedinero / Datacenterknowledge
El mes pasado, la compañía de administración de energía Eaton anunció que sus tarjetas de red y puerta de enlace han recibido certificaciones de seguridad cibernética de la Comisión Electrotécnica Internacional y UL (anteriormente Laboratorios Underwriters). La compañía afirma que es la primera en su industria en cumplir con las certificaciones IEC y UL.
Esta es una señal de que los proveedores que proporcionan tecnología para la infraestructura del centro de datos están comenzando a tomarse en serio la ciberseguridad.
«Tradicionalmente, en lo que respecta a la infraestructura física, la seguridad ha sido una ocurrencia tardía», dijo Anuj Goel, cofundador y CEO de Cyware Labs. Pero a medida que más y más infraestructura está expuesta a Internet, la infraestructura física ahora enfrenta el mismo tipo de riesgo cibernético que otras partes del centro de datos. «Esta transformación digital ha dejado a las empresas más expuestas a los malos actores, que a su vez están atacando cada vez más este flanco vulnerable», dijo Goel.
Como resultado, ahora hay un consenso abrumador entre los vendedores sobre la necesidad de estándares más estrictos, dijo.
Silos de información
A medida que los proveedores analizan mejores estándares, muchos gerentes de centros de datos (sus clientes) no siempre ponen la seguridad primero en lo que respecta a la infraestructura física, dijo Shantanu Mirajkar, CTO de operaciones de India en Clairvoyant. El problema es a menudo estructural.
«La razón por la cual estas instalaciones a menudo se ignoran cuando se trata de ciberseguridad es que la mayoría de estas instalaciones de infraestructura física siguen un flujo funcional separado», dijo.
Se mantienen fuera del bucle de la red de información corporativa. «Cuando pensamos en la ciberseguridad, necesitamos pensar más allá de los sistemas de tecnología de la información que acceden y administran los datos».
Los sistemas de energía, los generadores de respaldo, el aire acondicionado, la conectividad y otras áreas de tecnología operativa son tan vulnerables como los sistemas de TI que admiten, y están cada vez más interconectados con la TI.
«Siempre ha habido una extraña desconexión entre la seguridad física y de TI en la mayoría de las organizaciones», coincidió Saurabh Sharma, vicepresidente de Virsec Systems, una compañía de ciberseguridad con sede en San José. Los diferentes grupos están a cargo, y usan tecnología diferente.
«Claramente, debería haber estándares similares entre los productos de seguridad física, que a menudo se conectan directamente a los sistemas de TI y los sistemas de TI que controlan cada vez más los equipos industriales físicos», dijo.
Eaton no es la única compañía que presta atención a la ciberseguridad, dijo Sharma. Schneider Electric, Rockwell Automation y ABB también están avanzando. Rockwell, por ejemplo, anunció en noviembre que recibió la certificación ISA / IEC 62443-2-4.
Muchos estándares, poca uniformidad en su aplicación
Según Cyware’s Goel, el estándar IEC 62443 de la Sociedad Internacional de Automatización (el estándar adoptado por Eaton) especifica los requisitos de seguridad para los productos del sistema de control industrial y sus componentes. Ahí es donde todos los fabricantes deberían comenzar: como mínimo base. Los clientes que compran equipos que cumplen con este estándar tienen la seguridad de una postura de seguridad sólida, dijo.
Además de los estándares de IEC y UL, hay estándares de NERC CIP (Protección de Infraestructura Crítica de la Corporación de Confiabilidad Eléctrica de América del Norte) y NIST (Instituto Nacional de Estándares y Tecnología). La Agencia de la Unión Europea para la Ciberseguridad (ENISA) también tiene estándares de ciberseguridad para la infraestructura física.
Pero el estándar IEC 62443 es el más robusto disponible, dijo James McQuiggan, defensor de la conciencia de seguridad en KnowBe4. Los niveles de escrutinio y madurez de este estándar son mucho más altos que los de otras organizaciones.
Puede ser confuso navegar por todos los diferentes marcos y el cumplimiento es actualmente voluntario. Los centros de datos que operan en industrias altamente reguladas tienen que cumplir con sus requisitos específicos de seguridad cibernética, pero no existe un conjunto de estándares universales y necesarios para asegurar la infraestructura física.
Tal vez sea hora de que eso cambie, y si la industria no da un paso adelante y aborda esta creciente amenaza a la seguridad, los reguladores gubernamentales intervendrán.
Ya existen normas uniformes y obligatorias para otras industrias (como HIPAA para el cuidado de la salud y PCI para el procesamiento de pagos), y se necesita algo similar para la seguridad de la infraestructura física del centro de datos, dijo Marty Puranik, CEO de Atlantic.Net, un Centro de datos con sede en Florida y proveedor de la nube.
«Primero ofrecería la interoperabilidad de todos los proveedores que se adhieran al estándar», dijo. «En segundo lugar, permitiría a la comunidad ponerse al frente de la legislación elaborada por los reguladores, lo que puede no ser tan eficaz como las normas elaboradas por la propia industria».
Además, los proveedores podrían diferenciarse en función de la calidad y no solo del precio, dijo.
Esfuerzos impulsados por la industria
Puranik sugirió que un grupo de trabajo con aportes de los proveedores y de la comunidad del centro de datos podría redactar estos estándares.
Una posible dirección podría ser la tomada por la Sociedad Internacional de Automatización, que lanzó el verano pasado la Alianza Global de Ciberseguridad para avanzar en la preparación y conciencia de la ciberseguridad en instalaciones y procesos de infraestructura crítica. ISA es el grupo que desarrolló originalmente el estándar IEC 62443.
Schneider, Rockwell, Honeywell, Johnson Controls, Claroty y Nozomi Networks fueron los miembros fundadores de la Global Cybersecurity Alliance. La semana pasada, el grupo anunció 23 nuevas compañías miembro y lanzó una guía para implementar los estándares ISA / IEC 62443.
Otro esfuerzo de la industria en marcha es la Alianza de Seguridad Cibernética de Tecnología Operacional, lanzada en Zurich en octubre. Sus miembros fundadores incluyen ABB, Check Point Software, BlackBerry Cylance, Forescout, Fortinet, Microsoft, Mocana, NCC Group, Qualys, SCADAFence y Splunk.
Desafortunadamente, la ciberseguridad en el mundo interconectado de hoy es tan bueno como su eslabón más débil, y los esfuerzos voluntarios, liderados por la industria, siempre serán vulnerables a las realidades del mercado. La seguridad cuesta dinero, y siempre habrá empresas que no solucionarán los problemas hasta que se vean obligados a hacerlo.
Sin embargo, la falta de regulaciones específicas dirigidas directamente a la infraestructura física, regulaciones similares en alcance y disrupción al GDPR de Europa y al CCPA de California pronto podrían llenar el vacío. Podrían exigir a los operadores de centros de datos que cumplan con las mejores prácticas seleccionadas por los reguladores e impongan fuertes multas por violaciones.
La seguridad de la infraestructura debería ser una parte crítica de la postura general de seguridad cibernética de cada centro de datos, y las empresas se verán obligadas a prestar atención.
Las normas como IEC 62443 y los nuevos grupos de la industria pueden ayudar a encontrar el camino hacia las mejores prácticas que las empresas y proveedores deberían adoptar.
