Tendencias en la Ciberseguridad Industrial
Desde hace varios años observamos cómo el mundo industrial, y en particular los sistemas de control y los sistemas instrumentados de seguridad (SIS) empiezan a estar afectados por las mismas amenazas y vulnerabilidades que los Sistemas IT. Los sistemas de control utilizan numerosos dispositivos del mundo IT (routers, switches, PCS, etc.) y Ethernet ya es la red más utilizada. Por todo ello, la ciberseguridad industrial ha cobrado un protagonismo extraordinario debido a que el número de ciber-ataques en el entorno industrial no hace más que crecer.
Existen varios estándares internacionales entre los que destacamos la Norma IEC-62443 / ISA-99, sin duda una de las más utilizadas en todo el mundo. Actualmente la sección española de ISA ofrece cursos de formación sobre esta Norma.
Tendencias en la Ciberseguridad Industrial de los Sistemas de Control
Los Sistemas de Control (ICS: Industrial Control System) utilizan cada vez más productos hardware y software del mundo no industrial (COTS: Commercial Off The Shelf products).
Los ICS ya no son islas. El uso de redes Ethernet en los ICS los expone a las mismas vulnerabilidades que tienen los sistemas IT.
Aumentan la monitorización y el acceso remoto que llega de la mano de la denominada transformación digital o Industria 4.0.
Las herramientas para automatizar los ciber-ataques están disponibles al alcance de cualquiera.
Los ciber-ataques a los negocios, y en particular a los ICS, aumentan.
Los mitos de la Ciberseguridad Industrial
Existen hoy en día creencias que no son ciertas en una gran mayoría de los casos y que producen un
exceso de confianza muy peligroso, por ejemplo:
“Nosotros no nos conectamos a Internet”. Muchos sistemas de control no tienen una conexión regular y continua a Internet, pero la mayoría o se conectan de forma temporal para tareas de mantenimiento o son vulnerables a conexiones de USBS, ordenadores portátiles infectados, etc.
“Mi Sistema de Control esti protegido por un firewall”. Los dispositivos cortafuegos son fáciles de instalar, pero es difícil configurarlos y mantenerlos correctamente.
“Los hackers no entienden los Sistemas de Control industriales”. Hoy en día se pueden realizar cursos on-line de casi todo incluyendo SCADAS, PLCS, etc. Además, muchas de las vulnerabilidades son las mismas que las del mundo IT.
“Nuestra planta no es un objetivo de los hackers”. Todas las plantas son un objetivo y nadie se queda fuera. Los ataques con malware están en la red y pueden acabar en cualquier sistema.
“Nuestros Sistemas de Safety (SIS) nos protegerin”. La mayoría de los SIS están basados en microprocesadores y se configuran con PCS. Es habitual comunicar el SIS con el Sistema de Control usando Ethernet con protocolos abiertos y no seguros (Modbus TCP, OPC, etc.). Ya se han conocido vulnerabilidades en PLCS de seguridad. La certificación SIL (IEC 61508) se centra en Safety y recomienda analizar la “ciberseguridad” (Security).
Estadística de ciber-ataques a PCS del entorno industrial según análisis de Kaspersky Lab.
A continuación, mostramos algunas estadísticas interesantes extraídas de uno de los más recientes estudios de Kaspersky Lab . En el 2017 los productos de Kaspersky bloquearon ataques en el 37,6% de PCS del entorno ICS (Industrial Control Systems). Un 31% se produjeron en el sector manufacturero.
Ciberseguridad industrial: Diferencias entre los ICS con los sistemas IT
Aunque cada vez más el mundo IT y OT convergen, hay grandes diferencias entre los Sistemas ICS respecto a los IT que son muy importantes a la hora de diseñar las estrategias de ciber seguridad.
En general la Disponibilidad del Sistema suele ser lo más importante, por encima de la confidencialidad de los datos.
Los tiempos de respuesta del ICS son críticos.
Los ICS utilizan protocolos de IT e industriales.
Las paradas del ICS no son admisibles. El reboot no es aceptable.
En algunos sectores industriales (como en Farmacia) se necesita una recertificación lenta y costosa después de cualquier cambio.
No es posible realizar pruebas en entornos de producción.
Los Upgrades pueden tener un gran impacto en el hardware, software y gráficos.
Los ICS funcionan durante 1520 años lo que dificulta mucho su mantenimiento (parches, etc.)
Los ICS utilizan aplicaciones especiales.
El fallo del ICS/SIS puede provocar pérdida de vidas, de equipos y producción con costes muy elevados.
Tecnologías para la seguridad de las redes
Este es un tema complejo y que requiere del apoyo de auténticos especialistas. Enumeramos a continuación algunos de los principales elementos a considerar:
1. Dispositivos: switches, routers, firewalls, diodos de datos. Existen modelos robustos y específicos para las redes industriales. 2. Arquitecturas de red (segregación por zonas y conductos, zonas DMZ, etc.). Se requiere un análisis especializado. 3. Criptografía: VPN, Cifrado, Autenticación, Protocolos seguros. Cada vez irán apareciendo más
sistemas y componentes tradicionales del control industrial con todas estas características. 4. Sistemas de Detección de Intrusión (IDS). Utilizando el símil de la puerta podemos decir que el firewall es la “cerradura” y el IDS “la alarma antirrobo”. 5. Defensa en profundidad (Defense-in-depth): El concepto de defensa en profundidad se basa
en el uso de distintas técnicas que permitan, al menos, duplicar los elementos de protección para limitar los daños en caso de una intrusión en la primera línea de defensa o componente más expuesto.