La gobernadora de Nueva York, Kathy Hochul, anunció el martes que su estado pronto comenzará a exigir a sus servicios de agua y aguas residuales un conjunto más riguroso de estándares de ciberseguridad. Además, tendrán acceso a un nuevo programa de subvenciones de $2.5 millones para ayudar a cubrir el costo de cumplir con las nuevas regulaciones, que probablemente se implementarán gradualmente en los próximos meses.
Un grupo que incluyó a miembros de los departamentos de salud , conservación ambiental y servicio público del estado desarrolló las regulaciones, y cada uno ha publicado nuevas propuestas para su revisión pública. Colin Ahern, director de ciberseguridad del estado, afirmó que el gobernador ordenó a las agencias armonizar las regulaciones, que afectan a un sector naturalmente cargado de amplias preocupaciones sanitarias y ambientales.
Las nuevas regulaciones propuestas requerirían que todos los servicios de agua y aguas residuales de Nueva York que atienden a más de 3,300 personas se adhieran a una serie de nuevas medidas de ciberseguridad, incluida la realización de análisis anuales de vulnerabilidad de ciberseguridad, el establecimiento de programas formales de ciberseguridad, la creación de planes de respuesta a incidentes, el seguimiento de nuevos requisitos de informes de incidentes y la capacitación del personal en higiene de ciberseguridad.
Las empresas de servicios públicos más grandes, aquellas que prestan servicio a más de 50.000 personas, también estarían obligadas a designar a un miembro del personal que sea responsable de administrar un programa de ciberseguridad y de monitorear y registrar la actividad de la red.
Ninguno de estos requisitos es inusual, pero quizás se debieron haber implementado hace tiempo. La Oficina del Inspector General de la Agencia de Protección Ambiental advirtió el año pasado que el 9% de los sistemas públicos de agua potable del país presentan vulnerabilidades de ciberseguridad que calificó de “críticas” o “altas”. Nicolas Evans, inspector general adjunto interino de la agencia para investigaciones, escribió en un informe que el riesgo que enfrentan las empresas de servicios públicos al no poder suministrar agua potable a sus poblaciones “no es hipotético”.
Ahern afirmó que la última medida de Nueva York forma parte de la campaña continua del gobernador para mejorar la ciberseguridad del estado y la fiabilidad del agua potable. Nueva York ha invertido 6 mil millones de dólares en infraestructura de agua potable desde 2017, según la oficina de Hochul, pero Ahern afirmó que el nuevo programa de subvenciones de 2.5 millones de dólares, denominado Programa de Subvenciones para la Ciberresiliencia de los Sistemas Hídricos, es el primero que conoce que proporciona fondos exclusivamente para mejoras de ciberseguridad en el sector del agua y las aguas residuales.
“Probablemente la gente se sorprendería de que nadie exija aún a estas empresas de servicios públicos que implementen medidas como un plan de respuesta a incidentes, implementen la autenticación multifactor en el acceso remoto e identifiquen vulnerabilidades de manera oportuna según la evaluación de riesgos”, afirmó Ahern, y agregó que dichas instalaciones se consideran objetivos valiosos para diversos actores maliciosos, desde estados-nación con motivaciones políticas hasta bandas de ransomware con motivaciones financieras.
