Advertencia, mucho texto. Tema muy complicado. tl; dr es: nosotros como nación no estamos haciendo mucho y no hemos estado haciendo mucho. La mentalidad actual es "depende de las empresas arreglarlo antes de que GOVT tenga que involucrarse". Las empresas no quieren pagar, y no saben qué hacer, y no ven un "motivador del mercado" (sí, literalmente escuchen eso todo el tiempo. No estoy bromeando). Europa lo está haciendo mucho mejor con el impulso hacia los requisitos de 62443 para todos los ICS.
Soy principal en ICS / Infraestructura crítica para una empresa que participa en la certificación de seguridad para dispositivos asociados con esto. Y tengo malas noticias. No hay mucho que requiera la mayoría de la infraestructura para asegurarse. Nerc-CIP está relacionado con la red eléctrica, pero no todo tiene requisitos de seguridad. Nuclear tiene algunos, a través de NEC y IAEA y su superposición con Power Grid. De lo contrario ... no mucho.
Cada año, en conferencias de seguridad, se pronuncian discursos sobre cómo las "ardillas" han hecho más daño a nuestra infraestructura que los piratas informáticos. Dicho esto, recuerde que no hay reglas de divulgación honestas para la infraestructura. Realmente no sabemos cuánto cuesta una ardilla y cuánto no.
Sin embargo, puedo decirle que, como primer probador de lápiz ICS de primera mano que ha trabajado con una gran cantidad de productos en este espacio ... al menos 1/3 de los productos nuevos vienen a la puerta críticamente vulnerables (en mi experiencia. Y estoy siendo generoso), y solo un porcentaje muy pequeño en total claramente se ha construido con un completo plan de seguridad de "defensa en profundidad". Una buena noticia es que cuando hayamos terminado con ellos, estarán mucho más seguros y las empresas con las que hemos trabajado están desarrollando mejores prácticas (si es necesario).
También son buenas noticias, existen buenas prácticas para proteger dispositivos inseguros dentro de una red, incluso si los dispositivos no son seguros, pero no hay muchas auditorías y comprobaciones constantes para esto. De hecho, mi experiencia es que HIPPA, PCI y SOX tienen reglas y responsabilidades mucho más firmes que proteger a Crit. Infraestructura. También estoy incluyendo los sistemas de respuesta 911 en esto, que también han demostrado ser vulnerables.
Hay una gran cantidad de ejemplos de los últimos 10 años, que realmente aumentaron en los últimos 4, de los ataques de estilo de estado nación en Crit. Infraestructura. La red eléctrica ucraniana ha sido atacada varias veces con múltiples herramientas, pensando que es un campo de entrenamiento para hackers rusos. El gobierno de EE. UU. Atacó las instalaciones nucleares en Nitanez utilizando un malware personalizado en un muy famoso exploit en 2010. Mucho más. Demasiado por esta respuesta.
En cuanto a lo que se está haciendo ... no mucho. Las compañías no pueden pagar millones de dólares de renovación, no hay estándares acordados universalmente para los modernos protocolos seguros de ICS (sí, la mayoría de los protocolos de red de ICS son de texto simple sin verificación de dispositivos), los equipos de ICS no pueden encontrar profesionales de seguridad que comprendan ICS porque hay -muy pocos. Hay un montón de otros problemas ...
Y se pone peor ... literalmente me senté en el almuerzo con el ex jefe de DHS. Fui yo, él, otras 2 personas. Estaba profundamente preocupado ya que nuestra administración actual está dejando vacíos masivos de personal y parece estar completamente sin invertir en ningún tipo de esfuerzo para solucionar este problema y asegurar la nación. Sí, es cierto que tienen muchas conferencias de DC para hablar de ello ... pero nadie está poniendo dinero o creando legislación.
La buena noticia es que, en general, sabemos cómo proteger nuestros sistemas y cuáles son las principales deficiencias en todos los niveles de la pila de tecnología (desde CWE hasta la zonificación de la red). ICS-CERT (una rama de US-CERT, el equipo estadounidense de respuesta de emergencia para ciberespacio) tiene excelentes artículos sobre este tema. Junto con NIST, IEC 62443, y un puñado de otros. Buen lugar para comenzar para cualquier persona en ICS que esté preocupada. Busque en Google, si son múltiples, encuentre el que mejor se adapte a sus necesidades:
[google] filetype: pdf ics-cert mejores prácticas