La Administración de Alimentos y Medicamentos de los EE. UU. (FDA) emitió la regla final sobre la Ley de Modernización de la Seguridad Alimentaria (FSMA) en noviembre de 2015 y, según el sitio web de la FDA, todavía está vigente al 21/10/2020. La regla tiene como objetivo prevenir la adulteración intencional de actos destinados a causar daños a gran escala a la salud pública, incluidos los actos de terrorismo dirigidos al suministro de alimentos.
FSMA requiere una evaluación de vulnerabilidad para identificar vulnerabilidades y pasos de proceso procesables para cada tipo de alimento fabricado, procesado, empaquetado o almacenado en la instalación de alimentos. Según FSMA, para cada punto, paso o procedimiento en el proceso de la instalación, estos elementos deben evaluarse. Específicamente, se llevará a cabo una evaluación de vulnerabilidad para determinar el grado de acceso físico al producto con consideraciones que incluyen la presencia de barreras físicas tales como portones, barandas, puertas, tapas, sellos y escudos. Sin embargo, la FSMA no aborda explícitamente las amenazas cibernéticas.
Los expertos cibernéticos han declarado durante mucho tiempo que las industrias de alimentos, bebidas y agricultura pueden ser vulnerables a las amenazas cibernéticas. El enfoque actual de las amenazas cibernéticas del sistema de control es la energía eléctrica y, con el ciberataque de febrero a la planta de tratamiento de agua de Oldsmar, el agua. Sin embargo, en todas las industrias se utilizan los mismos sistemas de control de los mismos proveedores con las mismas vulnerabilidades. Hay un artículo en la revista Food Engineering : «Las vulnerabilidades del sistema de control ponen los alimentos y las bebidas en grave riesgo» (https://www.foodengineeringmag.com/articles/99362-control-system-vulnerabilities-put-food-beverage-at- riesgo grave) que aborda las vulnerabilidades en la fabricación de alimentos. Di un discurso sobre la seguridad cibernética del sistema de control con historias de casos reales en la Cumbre de seguridad cibernética de la industria alimentaria de 2016 en Washington DC patrocinada por el Instituto de Protección y Defensa de Alimentos (https://www.controlglobal.com/blogs/unfeitated/some-cisos -están-empezando-a-tener-la-importancia-de-las-ics-ciberseguridad-y-están-en-la-industria-alimentaria). Desde la perspectiva cibernética de un sistema de control, una instalación de alimentos, bebidas o agricultura es esencialmente una instalación química y / o de fabricación. Los incidentes cibernéticos del sistema de control han causado problemas como la adulteración de productos en las instalaciones de fabricación de productos químicos. Mi base de datos de más de 1.300 incidentes cibernéticos reales del sistema de control incluye más de 100 incidentes en instalaciones químicas. He identificado más de 20 incidentes cibernéticos del sistema de control en las instalaciones de alimentos y bebidas, incluidos algunos en los que las personas resultaron dañadas y otros que cerraron las instalaciones. De hecho, algunos de los casos de alimentos surgieron como resultado de mi presentación de 2016, donde los asistentes tuvieron una mejor idea de qué incidentes podrían estar relacionados con el ciberespacio.
Los incidentes del sistema de control pueden ser muy difíciles de identificar. Además, debido a la falta de un sistema de control forense cibernético y la incapacidad de distinguir la motivación (maliciosa o no), es posible que no sea posible identificar si los incidentes cibernéticos del sistema de control son maliciosos o no. A diferencia del «susto de Tylenol» de 1982, que fue un ataque físico desde los estantes de las tiendas que resultó en la implementación de contenedores de seguridad con triple sellado y resistentes a la manipulación, los incidentes cibernéticos del sistema de control ocurren durante el proceso de fabricación antes de envasar la comida o bebida. Estos incidentes pueden ser involuntarios o maliciosos. Sin embargo, el impacto puede ser el mismo, y no es bueno.
A paralelo a la brecha en la seguridad cibernética, comida es el hack agua Oldsmar de febrero de 2021 y la Spencer, MA incidente de hidróxido de sodio 2,007 (https://www.controlglobal.com/blogs/unfettered/water-control-system-cyber-incidents- son-más-frecuentes-e-impactantes-de-lo-que-las-personas-son-conscientes ). En el caso de Spencer, así como en al menos uno de los casos de alimentos, los problemas cibernéticos del sistema de control (no tenían que ser maliciosos) condujeron directamente a la «adulteración del producto», lo que directamente provocó daños públicos (lesiones). En el caso de los alimentos, no está claro si la adulteración fue malintencionada o involuntaria. Sin embargo, la intención de la FSMA es evitar que las personas sufran daños y, en este caso, fracasó.
Las redes de tecnología operativa (OT) del sistema de control, incluso en las instalaciones de alimentos y bebidas, suelen ser redes planas con conexiones directas a las redes de TI. Aquellas empresas de alimentos y bebidas que utilizan SolarWinds que no han segmentado las redes de OT de sus instalaciones de sus redes de TI están en peligro de ver comprometidas sus redes de OT. Además, al igual que otras instalaciones industriales, las instalaciones de alimentos y bebidas a menudo tienen acceso remoto para el personal interno, así como para los OEM e integradores de sistemas para el soporte de mantenimiento remoto.
Mire cuánto tiempo pasó desde el caso de Spencer, MA en 2007 hasta el caso de Oldsmar, FL en 2021 para que las personas aparentemente tomaran medidas para proteger las instalaciones de agua cibernéticamente. Al igual que en otras industrias, las instalaciones alimentarias han estado experimentando incidentes cibernéticos desde finales de la década de 1990. ¿No es hora de que la producción de alimentos, bebidas y agricultura de EE. UU. requiera protección cibernética al igual que otras infraestructuras críticas?
Fuente: Link
Get Involved & Participate!
Comments