Mientras tanto, los expertos dicen que el gobierno podría usar mejor sus programas existentes para ayudar. “Una interrupción importante en este sector conduce a problemas inmediatos de salud y seguridad pública”, dice Mark Montgomery, quien se desempeñó como director ejecutivo de la Cyberspace Solarium Commission.
El gobierno federal ha comenzado recientemente a abordar estos peligros. Los legisladores están presentando proyectos de ley y destacando el tema en las audiencias, y una directiva presidencial ha generado una serie de informes y revisiones. Para las personas más informadas y preocupadas por el caos que podrían causar los piratas informáticos, estos desarrollos están muy atrasados.
Sachs y sus colegas incluso están considerando ayudar a una coalición de universidades con concesión de tierras a lanzar un ISAC que facilitaría el intercambio de información y prepararía a los estudiantes para ingresar a la fuerza laboral de alimentos y agricultura con habilidades cibernéticas clave.
Hoy en día, la alimentación y la agricultura es uno de los cuatro sectores de infraestructura crítica (de 16) sin un ISAC, junto con las represas, las instalaciones gubernamentales y los reactores y materiales nucleares.
Ya sea que el sector forme o no un ISAC, existe un acuerdo generalizado de que se debe hacer más para contrarrestar la creciente variedad de amenazas que ponen en peligro a estas empresas ya los cientos de millones de personas que dependen de ellas para su sustento básico. La logística justo a tiempo significa que incluso los ciberataques a corto plazo pueden tener graves consecuencias. Los trucos que interrumpen la producción de fertilizantes o pesticidas pueden obligar a los agricultores a no participar en las temporadas de siembra. Las infracciones en las plantas empacadoras de carne pueden causar una escasez de suministro desestabilizadora. La manipulación en una empresa de procesamiento de alimentos puede provocar una contaminación mortal. Los ataques de ransomware que han obligado a las empresas a cerrar sus operaciones durante una semana ya han dejado a las escuelas sin leche, jugo y huevos, según Sachs. El proyecto de ley de Pfluger, la Ley de Apoyo a la Ciberseguridad de la Industria de Alimentos y Agricultura, crearía nuevos recursos federales para las empresas, requeriría una mejor coordinación entre el gobierno y la industria, y lanzaría una revisión de la Oficina de Responsabilidad del Gobierno sobre la situación del sector, incluso si es necesario un ISAC. Pfluger dice que es "muy optimista" sobre la perspectiva de su proyecto de ley, que han copatrocinado dos republicanos y un demócrata.
El USDA ha mostrado “muy poco interés” en la seguridad cibernética, dice Sachs, quien ha tratado de incitar a los funcionarios a actuar.
La agricultura de precisión utiliza sensores GPS e imágenes satelitales para determinar el tipo correcto de fertilizante para cada parcela de suelo y enviar instrucciones directamente a los tractores que se mueven automáticamente y rocían las mezclas adecuadas. Si los piratas informáticos violaran estos sistemas, podrían envenenar los cultivos de todos los agricultores que los usen. El impacto no sería claro hasta meses después, cuando los cultivos comenzarían a crecer mal o dejarían de crecer. El Departamento de Agricultura de EE. UU., la agencia de gestión de riesgos del sector de la industria, es “significativamente menos eficaz” que otras SRMA, dice Montgomery. El USDA ni siquiera tiene fondos dedicados para su apoyo de seguridad, que incluye reuniones semestrales de todo el sector, boletines semanales de amenazas y reuniones públicas ocasionales. Si los piratas informáticos quisieran debilitar a la sociedad estadounidense, tendrían problemas para derribar toda la red eléctrica o el sistema financiero, pero podrían causar graves daños a las empresas que fabrican y entregan los alimentos a los estadounidenses. A pesar de ser cada vez más vulnerable, dice Sachs, el sector de la alimentación y la agricultura todavía "no comprende realmente la mentalidad de amenaza", al igual que los sectores de mayor perfil, como los servicios financieros y la energía. La Casa Blanca también está tomando medidas. En noviembre pasado, el presidente Joe Biden firmó un memorando sobre “la seguridad y la resiliencia de los alimentos y la agricultura de los Estados Unidos” que ordenó un conjunto de informes de amenazas, revisiones de riesgos y evaluaciones de vulnerabilidad que abordan desafíos físicos y cibernéticos. Las agencias completaron una evaluación inicial que vencía en enero y están finalizando una revisión intermedia que vencía en marzo, según la portavoz del DHS, Ruth Clemens. “A medida que las amenazas y vulnerabilidades de seguridad cibernética continúan creciendo, el USDA no puede llevar a cabo estas responsabilidades de SRMA, lo que podría tener un impacto significativo en la seguridad de la agricultura de EE. UU.”, dijo el departamento en su propuesta de presupuesto para el año fiscal 2024, que para el primera vez solicitó 5,000 para este trabajo. En comparación, el Departamento de Energía solicitó 5 millones para su Oficina de Ciberseguridad, Seguridad Energética y Respuesta a Emergencias. Afortunadamente, existe un creciente sentido de urgencia dentro del gobierno de EE. UU. para proteger los tractores, fertilizantes, leche y pollos de la nación de los piratas informáticos.
“Nuestro trabajo con la industria realmente se ha expandido durante los últimos tres años”, dice Scott Algeier, director ejecutivo de IT-ISAC. En ese mismo período de tiempo, IT-ISAC ha registrado 300 ataques de ransomware en el sector de la alimentación y la agricultura.
El Servicio de Extensión Cooperativa del USDA se asocia con universidades de concesión de tierras y organizaciones comunitarias para brindar capacitación y orientación agrícola a los agricultores de los EE. UU. Sachs alienta al USDA a aprovechar las relaciones de confianza que los agricultores tienen con sus agentes de extensión locales para promover las mejores prácticas en ciberseguridad. “Una vulnerabilidad y un ataque”, dice Pfluger, “pueden conducir a una catástrofe para todos los que están aguas abajo”. Pero las ofertas de SIG son limitadas, argumenta Sachs. No lleva a cabo ejercicios regulares a gran escala que simulen ataques contra empresas de alimentos y agricultura, no cuenta con un centro de vigilancia las 24 horas del día, los 7 días de la semana, que monitoree constantemente la infraestructura de estas empresas (junto con eventos relacionados como condiciones climáticas adversas e interrupciones en la cadena de suministro), y no puede generar automáticamente información y alertas comparando inteligencia gubernamental clasificada con datos de sensores dentro de esa infraestructura. “Aprecio todo lo que Scott está haciendo allí”, dice Sachs. “Es algo muy bueno. Pero no es un ISAC”.
“Podría perder decenas de miles de aves literalmente en 10 a 15 minutos”, dice Marcus Sachs, subdirector de investigación del Instituto McCrary de Seguridad Cibernética e Infraestructura Crítica de la Universidad de Auburn. “Hemos visto que esto suceda antes. Es casi como si una ola atravesara el gallinero, donde todos simplemente mueren”. Las amenazas a la seguridad para el sector de la alimentación y la agricultura se han multiplicado a medida que la industria se ha vuelto cada vez más automatizada y digitalizada. Pero el sector necesita su propio ISAC que pueda “analizar la amenaza y proporcionar una verdadera evaluación operativa”, dice Brian Harrell, ex subdirector de seguridad de infraestructura en la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA). Algunas empresas participan en un Grupo de Interés Especial (SIG) de Alimentos y Agricultura alojado dentro de IT-ISAC, que les brinda acceso a datos y análisis de algunas de las empresas tecnológicas más grandes del mundo, así como recursos como guías para confrontar grupos específicos de piratas informáticos. Las empresas también necesitan más apoyo del gobierno federal.