En mayo vimos lo vulnerables que pueden ser las empresas a las amenazas cibernéticas cuando los hackers accedieron a las redes informáticas de Colonial Pipeline Co. y le exigieron el pago de un rescate en dólares multimillonario. El ataque llevó a la empresa a cerrar su oleoducto de 5,500 millas, lo que detuvo la entrega de productos de petróleo refinado en gran parte de la costa este de los Estados Unidos.

Según Bloomberg, Colonial pagó a los piratas informáticos, identificados como una filial de un grupo de ciberdelincuencia vinculado a Rusia conocido como DarkSide, un rescate de US$4.4 millones en criptomoneda, gran parte del cual ha sido recuperado por agentes federales. Bloomberg informó que los piratas informáticos pudieron lanzar el exitoso ciberataque a Colonial vulnerando una única contraseña.

Como demuestran los ciberataques a Colonial y a otras compañías, cuanto más avanza la tecnología, mayor integrada se vuelve. Es habitual que los múltiples sistemas que están dentro de un edificio u organización estén integrados a través de Internet o de una intranet. Los sistemas de alarma de incendio y señalización de un edificio pueden estar integrados con muchos otros sistemas y, por lo tanto, expuestos al mismo tipo de ciberamenazas que otras computadoras o redes.

Es por ello que la edición 2022 de NFPA 72®Código Nacional de Alarmas de Incendio y Señalización, incluirá lineamientos sobre ciberseguridad. El Capítulo 11 requerirá que se provea ciberseguridad para los equipos, software, firmware, herramientas, métodos de instalación, seguridad física y acceso a equipos, rutas de datos, pruebas y mantenimiento cuando otras secciones de NFPA 72, u otras leyes, códigos o normas aplicables, lo requieran. Si bien NFPA 72 no incluiráningún requisito obligatorio relacionado con la ciberseguridad, en un nuevo Anexo J se proveerán lineamientos sobre cómo se puede aumentar la ciberseguridad para los sistemas de alarma de incendio y señalización. Es importante señalar que, al igual que con todos los códigos y normas de NFPA, los anexos suministran información adicional y no constituyen requisitos específicos.

No todos los sistemas de alarma de incendio y señalización se crean de una manera igual. Es por eso que no existe un enfoque único que se adapte a todos para proveer medidas de ciberseguridad a estos sistemas. En el nuevo Anexo J, por ejemplo, no hay lineamientos específicos sobre lo que hay que hacer exactamente para proporcionar una ciberseguridad aceptable para un sistema. En su lugar, el anexo incluye lineamientos y un marco acerca de lo que debería tenerse en cuenta.

El anexo describe algunas normas de ciberseguridad existentes que deberían aplicarse al diseñar, instalar o mantener los sistemas de alarma de incendio y señalización. Además, requiere que se demuestre el cumplimiento de la ciberseguridad para el sistema provisto, evidencia que puede proceder de un laboratorio de pruebas reconocido en el nivel nacional, de un fabricante o de un programa de certificación. La evidencia de cumplimiento debería ser verificada anualmente.

El anexo también recomienda que toda la documentación relacionada con el sistema, asociada a la ciberseguridad, sea incluida con la documentación que se requiere para el sistema en el Capítulo 7 de NFPA 72. El anexo también describe los casos en los que no se requieren pruebas funcionales de un sistema para los cambios efectuados en el software de ese sistema para la ciberseguridad, siempre que se cumplan criterios específicos. Por último, el anexo agrega que se permite que los cambios de software en un sistema o componente de un sistema que estén relacionados con la ciberseguridad sean completados mediante acceso remoto.

Esta información sobre ciberseguridad dentro del anexo se incluye para que los fabricantes, usuarios, instaladores y responsables del mantenimiento, autoridades de aplicación y agrupaciones de aseguradoras puedan revisar los requisitos. Se desconoce si el anexo se incorporará al cuerpo de las futuras ediciones de NFPA 72 como requisitos, o si podría convertirse en su propia norma NFPA independiente. Lo que sabemos por ahora es que la amenaza de los ciberataques no va a desaparecer en el corto plazo. Debemos proteger todos nuestros sistemas, incluidos nuestros sistemas de alarma de incendio y de seguridad humana.

SHAWN MAHONEY, P.E., es ingeniero de Servicios Técnicos de NFPA. Miembros de NFPA y Autoridades competentes pueden usar la pestaña Preguntas Técnicas (Technical Questions) para formular consultas sobre NFPA 72 en nfpa.org/72. Para informarse sobre el progreso de la próxima edición del código, visite nfpa.org/72next.