El cibercrimen amenaza a la planta
Los ataques cibernéticos han pasado del ámbito informático al dominio de los sistemas de control industrial, por lo que las empresas deben protegerse
Hoy, la industria de manufactura se encuentra en la mira del cibercrimen, con nuevos y avanzados virus informáticos. Sin embargo, hay metodologías y tecnologías para hacer frente a esta situación.
En junio de 2010 fue detectado uno de los ataques informáticos más complejos, no sólo para la industria de Tecnologías de la Información sino también para las organizaciones que emplean tecnología de control industrial. El objetivo fue la factoría de Uranio en Natanz, Irán. Dicho ataque se logró mediante un binomio de malware denominado Duqu-Stuxnet.
Gracias a una infección de las computadoras de los operadores de los sistemas de control, por medio de memorias USB (expertos señalan que su origen pudo estar en los equipos de cómputo de las empresas contratistas). Así, el gusano proporcionó nuevas instrucciones para tomar el control de motores, sensores de temperatura, sistemas de enfriamiento y válvulas. El objetivo era causar daño a las centrífugas y retrasar el programa nuclear de esa nación, aunque pudo haber sido un desastre.
El caso anterior representa un hito en la historia de los ciberataques, ya que trasciende del ámbito informático al dominio de los sistemas de control industrial, es decir, que puede afectar a cualquier infraestructura estratégica, como centrales eléctricas, plantas de agua, petroleras y, en general, a cualquier empresa de manufactura o dependiente de sistemas de monitorización y control en tiempo real. Así nació el hacking que impacta a los Sistemas de Control Industrial
Líderes de la industria petrolera han destacado que este tipo de ataques afectan la operación de cierre y apertura de válvulas, lo que pondría en riesgo la vida de personas, sin dejar a un lado las afectaciones a los procesos, las cuales incluirían pérdidas financieras y un impacto negativo en la reputación de la empresa.
Ante este escenario de riesgo, es necesario conformar un equipo multidisciplinario que incluya a la alta gerencia de las organizaciones, al área de y de seguridad, a los gerentes operativos y de producción, además de los operadores de sistemas SCADA y PLC. Una vez conformado, éste deberá concebir modelos de ejecución apegados a las mejores prácticas de la industria.
Así, las empresas deben desarrollar modelos en tres ejes: seguridad informática, física y directivas restrictivas. Los elementos de defensa recomendables y más destacados incluyen: Alinear el entorno industrial con el corporativo para la creación de directivas y procedimientos operativos. Desarrollar un plan de continuidad y recuperación de negocio. Revisar periódicamente los sistemas de control. Tener al día las últimas actualizaciones y los parches para la infraestructura de cómputo y servidores, así como los sistemas antivirus. Restringir el acceso a plantas y oficinas a empleados, proveedores y visitantes. Crear programas de capacitación para todo el personal de planta y área administrativa, para evitar ataques de ingeniería social a través del correo electrónico y el uso correcto de dispositivos como memorias USB. Crear segmentos para los sistemas de control basados en IEC 62443/ISA 99. Diseñar zonas desmilitarizadas basadas en las mejores prácticas. Creación de matrices de roles y responsabilidades para uso de los equipos de automatización y equipo de cómputo. Desplegar plataformas de software y hardware para encriptar las comunicaciones. Puesta a punto de sistemas de monitoreo para análisis de tráfico en las redes de datos. Contratar a un tercero para realizar pruebas de penetración especializadas para instalaciones industriales. Crear un programa de relaciones públicas para evaluar la interacción de la compañía con el ambiente y detectar oportunamente algún riesgo. Desarrollo de inteligencia en lo que compete a nuevas amenazas y vulnerabilidades. †