Dubai se convierte en la primera ciudad de los EAU en aplicar estándares para sistemas de control industrial

Dubai se ha convertido en el primer emirato de los EAU en establecer estándares para los Sistemas de Control Industrial (ICS) ya que hay un aumento en los incidentes de seguridad OT (tecnología operativa) en el Medio Oriente y la dinámica de la transformación digital Para agravar la amenaza, el paisaje se vuelve más sofisticado.

Los sistemas informáticos (tecnología de la información) son sistemas de almacenamiento, tecnología informática, aplicaciones comerciales y análisis de datos, mientras que los sistemas OT son equipos de máquinas, sistemas de monitoreo de activos, sistemas control industrial (ICS) y dispositivos SCADA.

El Dubai Electronic Security Centre (DESC), la autoridad reguladora en Dubai, interviene en el momento adecuado cuando los sistemas de TI y OT se fusionan y se conectan a Internet.

El malware iraní Shamoon 1, en 2012, habría destruido miles de computadoras en Saudi Aramco y RasGas en Qatar. Shamoon 2 lanzó ataques similares en 2016 y 2017, mientras que Shamoon 3 lanzó una nueva ola de ataques contra objetivos en plantas de petróleo y gas de Oriente Medio en diciembre de 2018.

En 2017, los ciberdelincuentes detrás de Triton, también conocido como Trisis, apuntaron a los controladores del sistema instrumentado de seguridad (SIS) de Triconex vendidos por Schneider Electric, lo que resultó en el cierre de la fábrica debido a lagunas en los procedimientos de seguridad.

En 2019, Triton nuevamente apuntó a los sistemas de control industrial (ICS) en otra compañía en el Medio Oriente.

El primero fue Stuxnet, conocido por haber sido desarrollado por Estados Unidos e Israel para sabotear las ambiciones nucleares de Irán en 2009, mientras que el segundo malware, Duqu era un programa de reconocimiento y contenía 20 veces más código que Stuxnet. y está mucho más extendido que Duqu.

El Industroyer (también conocido como Crashoverride) es un marco de malware que se cree que se utilizó en el ataque cibernético a la red eléctrica de Ucrania.

Havex es un troyano de acceso remoto descubierto en 2013 como parte de una extensa campaña de espionaje dirigida a los sistemas de control industrial (ICS) utilizados en muchas industrias en los Estados Unidos y Europa.

Según la firma de investigación Gartner, el tamaño del mercado autónomo de seguridad OT en 2018 se estimó en € 250 millones, aumentando a € 1,1 mil millones en 2022, una tasa de crecimiento anual del 45,7%.

Proteger la infraestructura digital.

Amer Sharaf, Director de Cumplimiento, Soporte y Alianzas de DESC, dijo que la implementación del estándar, después de compararlo con los estándares reconocidos internacionalmente, por las entidades gubernamentales relevantes en Dubai ayudará a proporcionar un nuevo marco y mejorado para la seguridad industrial y para garantizar un marco de riesgo mínimo para fortalecer la infraestructura digital del sector industrial contra el aumento de los ataques cibernéticos en este sector a escala mundial.

El Dr. Bushra Al Blooshi, Director de Investigación e Innovación de DESC, dijo que Enoc, la Autoridad de Electricidad y Agua de Dubai (Dewa), los Aeropuertos de Dubai y la Autoridad de Carreteras y Transporte (RTA) han jugado un papel clave en el desarrollo e implementación del nuevo estándar de seguridad. .

Ella dijo que RTA implementará el estándar en el tranvía y el metro; Dewa en la producción y transmisión de agua, la producción y transmisión de energía; Enoc en transmisión de combustible y aeropuertos.

“Los estándares se han desarrollado en colaboración con estas cuatro entidades y tienen hasta noviembre para comenzar a implementarlos. A partir de abril, organizaremos talleres con estas entidades y les pediremos información sobre los desafíos que pueden enfrentar al implementar los estándares ”, dijo.

Cuando se le preguntó sobre el estándar para las entidades privadas, dijo que el estándar para los sectores privados es impuesto por las entidades gubernamentales, pero afortunadamente, ningún sector privado en Dubai usa ICS.

Cuando se le preguntó si habría una fecha límite para cambiar los viejos sistemas de OT, respondió que algunos de ellos tenían que establecer un plan, no un cambio repentino. La metodología de evaluación de riesgos proporcionará flexibilidad, basada en sistemas de alto a bajo riesgo, y pueden desarrollar un plan para reducir el riesgo.

DESC tiene el estándar (Reglamento de seguridad de la información) para sistemas de TI y fue obligatorio en 2012.

Carrera hacia la transformación digital

En diciembre de 2019, DESC, en asociación con la Autoridad de Salud de Dubai (DHA), lanzó el estándar de seguridad para dispositivos biomédicos electrónicos (EBMD) en todo el emirato con el objetivo de limitar las violaciones en el sector de la salud y proteger la información sensible del paciente.

Cuando se le preguntó si habría un estándar de seguridad unificado de los EAU para ICS, Al Blooshi dijo: “Estamos trabajando con TRA y la Autoridad Digital de Abu Dhabi para alinearlo en los EAU. Si la implementación de Dubai tiene éxito, se implementará el mismo estándar o después de un poco de ajuste a nivel federal. TRA lo llevará al nivel federal. "

Además, dijo que los Emiratos Árabes Unidos están comprometidos a liderar la carrera por la transformación digital mediante la adopción de herramientas de inteligencia artificial (IA), la aplicación de Internet de las cosas (IoT) y otras. tecnologías inteligentes, especialmente basadas en redes 5G.

"El último estándar de seguridad es un paso crucial hacia la protección de datos digitales en todas las industrias y a toda costa", dijo.

Sharaf dijo que los auditores de DESC evaluarán los sistemas de cumplimiento de seguridad en organizaciones gubernamentales y semi-gubernamentales.

“Existen diferentes KPI para el programa de excelencia del gobierno de Dubai y uno de ellos es el cumplimiento. Si una entidad logra mejores puntajes, puede ascender en las filas del programa de excelencia, que es parte de un mecanismo de incentivos ”, dijo.