Washington – El director ejecutivo de la empresa que cerró el oleoducto más grande del país durante un ataque de ransomware el mes pasado se disculpó con los legisladores por la interrupción causada por el incidente, pero defendió su decisión de cerrar el oleoducto y pagar un rescate multimillonario a los piratas informáticos.
«Lamentamos profundamente el impacto que ha tenido este ataque, pero también estamos entusiasmados con la resistencia de nuestro país y nuestra empresa», dijo Joseph Blount, director ejecutivo de Colonial Pipeline Company, al Comité Senatorial de Seguridad Nacional y Asuntos Gubernamentales el martes en su primera aparición en el Congreso desde el ataque.
El testimonio de Blount se produjo en medio de crecientes pedidos para que las empresas estadounidenses fortalezcan las defensas cibernéticas y mientras los legisladores formulan una respuesta al ataque a la infraestructura crítica. El mes pasado, el secuestro del sistema de TI de Colonial Pipeline llevó a la compañía a cerrar el oleoducto, una pista de 5.500 millas que suministra el 45 por ciento del suministro de combustible de la costa este. El incidente provocó pánico en las compras y picos en los precios de la gasolina en más de una docena de estados a lo largo de la costa este.
El CEO, que ha dirigido Colonial Pipeline desde 2017, defendió la decisión de la compañía de cerrar el oleoducto y pagar un rescate por valor de aproximadamente 4,3 millones de dólares en bitcoins en medio de temores de un cierre prolongado. El Departamento de Justicia anunció el lunes que el FBI recuperó alrededor de 2,3 millones de dólares del pago de bitcoin.
«Cerrar el oleoducto fue la decisión absolutamente correcta, y estoy de acuerdo con la decisión de nuestros empleados de hacer lo que fueron capacitados para hacer», dijo Blount a los legisladores. El director ejecutivo dijo que pagar el rescate fue «la decisión más difícil que he tomado en mis 39 años en la industria energética». La decisión de pagar se tomó el 7 de mayo y se ejecutó el 8 de mayo, según Blount.
Joseph Blount, director ejecutivo de Colonial Pipeline Company, testificó durante una audiencia del Comité de Asuntos Gubernamentales y Seguridad Nacional del Senado en Capitol Hill el 8 de junio de 2021. Bloomberg
Blount señaló que el operador del oleoducto se comunicó primero con la oficina de Atlanta del FBI, que remitió a la empresa al «centro de excelencia» de la agencia en California, que se especializa en delitos de ransomware.
Dijo que si bien entiende que el gobierno federal se opone a pagar un rescate, no recuerda haber tenido ninguna conversación específica sobre la decisión de pagar con el FBI u otros funcionarios del gobierno. En última instancia, el pago se realizó a través de abogados y negociadores, según Blount.
Los piratas informáticos, que el FBI cree que son un grupo con sede en Rusia conocido como DarkSide, obtuvieron acceso al sistema informático de la compañía a fines de abril utilizando una cuenta comprometida para iniciar sesión en la red privada virtual de la compañía, confirmó Blount. La conexión a Internet encriptada permite a los empleados acceder de forma remota a la red de Colonial Pipeline, pero «no se debe utilizar», admitió el director general. La cuenta carecía de una capa adicional de seguridad conocida como autenticación multifactor, confirmó Blout, aunque no está claro cómo los delincuentes obtuvieron las credenciales de inicio de sesión.
Y aunque el ataque comprometió los sistemas de TI de Colonial Pipeline, Blount dijo a los legisladores que hasta el momento no hay evidencia de que la infiltración criminal haya afectado los sistemas operativos de la empresa. Colonial Pipeline contó con la ayuda de tres empresas privadas de ciberseguridad tras el ataque: Mandiant, Dragos y Black Hills Information Security.
Blount agregó que DarkSide proporcionó claves de descifrado para que Colonial recuperara el control de sus sistemas después de pagar el rescate, lo que dijo que era «ventajoso» pero no una solución perfecta. Según el presidente ejecutivo, los esfuerzos para restaurar las operaciones de la empresa están «en marcha» y los sistemas financieros se pusieron en funcionamiento el martes.
La semana pasada, el procesador de carne más grande del mundo, JBS, con sede en Brasil, se vio obligado a cerrar las operaciones de sacrificio de ganado en 13 de sus plantas procesadoras de carne en los Estados Unidos después de ser blanco de un ataque de ransomware atribuido a una banda de ransomware de habla rusa «REVIL . » El martes por la mañana, una empresa privada que brinda servicios constituyentes al gobierno estatal y las oficinas del Congreso, iConstituent, se convirtió en la última víctima de una serie de ataques cibernéticos.
«Como dije antes, nadie está a salvo de estos ataques, incluidos nosotros», dijo el senador republicano de Ohio Rob Portman, miembro principal del comité.
El mes pasado, la administración de Biden ordenó a las empresas de oleoductos que informaran sobre incidentes cibernéticos a las autoridades federales. La directiva requería que los propietarios y operadores de oleoductos designaran «un coordinador de ciberseguridad 24 horas al día, 7 días a la semana» para coordinar con dos agencias federales en caso de un incidente cibernético.
Pero varios sectores de infraestructura crítica, incluidas las presas, la salud pública y la agricultura, aún no hacen cumplir las normas obligatorias de ciberseguridad. Los legisladores han estado estudiando nueva legislación para instituir requisitos cibernéticos obligatorios. Una acción similar fracasó hace casi una década ante el fuerte desacuerdo de la industria.
«Proteger al pueblo estadounidense de estos ataques sofisticados, dañinos y en aumento no será fácil», dijo el senador Gary Peters, presidente demócrata del comité, al comienzo de la audiencia. «La inacción simplemente no es una opción».
La secretaria de Energía, Jennifer Granholm, dijo en una entrevista el domingo que también apoya una ley que prohíbe a las empresas pagar un rescate a los piratas informáticos en el ciberespacio.
Blount regresa a Capitol Hill el miércoles para testificar ante el Comité de Seguridad Nacional de la Cámara de Representantes.