Ciberseguridad Industrial

Desde hace varios años observamos cómo el mundo industrial, y en particular los sistemas de control y los sistemas instrumentados de seguridad (SIS) empiezan a estar afectados por las mismas amenazas y vulnerabilidades que los Sistemas IT. Los sistemas de control utilizan numerosos dispositivos del mundo IT (routers, switches, PCs, etc.) y Ethernet ya es la red más utilizada. Por todo ello, la ciberseguridad industrial ha cobrado un protagonismo extraordinario debido a que el número de ciber-ataques en el entorno industrial no hace más que crecer.

Tendencias en la Ciberseguridad Industrial de los Sistemas de Control
  • Los Sistemas de Control (ICS: Industrial Control System) utilizan cada vez más productos hardware y software del mundo no industrial (COTS: Commercial Off The Shelf products).
  • Los ICS ya no son islas. El uso de redes Ethernet en los ICS los expone a las mismas vulnerabilidades que tienen los sistemas IT.
  • Aumentan la monitorización y el acceso remoto que llega de la mano de la denominada transformación digital o Industria 4.0
  • Las herramientas para automatizar los ciber-ataques están disponibles al alcance de cualquiera.
  • Los ciber-ataques a los negocios, y en particular a los ICS, aumentan.
Los mitos de la Ciberseguridad Industrial
  • “Nosotros no nos conectamos a Internet”. Muchos sistemas de control no tienen una conexión regular y continua a Internet, pero la mayoría o se conectan de forma temporal para tareas de mantenimiento o son vulnerables a conexiones de USBs, ordenadores portátiles infectados, etc.
  • “Mi Sistema de Control está protegido por un firewall”. Los dispositivos cortafuegos son fáciles de instalar, pero es difícil configurarlos y mantenerlos correctamente.
  • “Los hackers no entienden los Sistemas de Control industriales”. Hoy en día se pueden realizar cursos on-line de casi todo incluyendo SCADAs, PLCs, etc. Además, muchas de las vulnerabilidades son las mismas que las del mundo IT.
  • “Nuestra planta no es un objetivo de los hackers”. Todas las plantas son un objetivo y nadie se queda fuera. Los ataques con malware están en la red y pueden acabar en cualquier sistema.
  • “Nuestros Sistemas de Safety (SIS) nos protegerán”. La mayoría de los SIS están basados en microprocesadores y se configuran con PCs. Es habitual comunicar el SIS con el Sistema de Control usando Ethernet con protocolos abiertos y no seguros (Modbus TCP, OPC, etc.). Ya se han conocido vulnerabilidades en PLCs de seguridad. La certificación SIL (IEC 61508) se centra en Safety y recomienda analizar la “ciberseguridad” (Security).
Amenazas de la Ciberseguridad Industrial que afectan a los ICS y los SCADAs

ENISA (European Union Agency for Network and Information Security) tiene diversas publicaciones muy interesantes.

ciberseguridad industrial

 

Estadísticas de ciber-ataques a PCs del entorno industrial según análisis de Kaspersky Lab.

A continuación mostramos algunas estadísticas interesantes extraídas de un estudio de Kaspersky del primer semestre de 2017. Los productos de Kaspersky bloquearon ataques en el 37,6% de PCs del entorno ICS (Industrial Control Systems). Un 31% se produjeron en el sector manufacturero.

El 40% de los PCs tienen una conexión continua o frecuente a internet. El 60% restante se conecta a internet no más de 1 vez al mes, muchos de ellos incluso menos. Este estudio sólo abarca los PCs y no otros dispositivos de la red industrial como pueden ser los PLCs, relés de protección, etc.

 

ciberseguridad industrial

 

Ciberseguridad industrial: Diferencias entre los ICS y los sistemas IT

Algunas de las diferencias principales de los Sistemas ICS respecto a los IT son las siguientes:

  • En general la Disponibilidad del Sistema suele ser lo más importante, por encima de la confidencialidad de los datos.
  • Los tiempos de respuesta del ICS son críticos.
  • Los ICS utilizan protocolos de IT e industriales.
  • Las paradas del ICS no son admisibles. El reboot no es aceptable.
  • En algunos sectores industriales (como en Farmacia) se necesita una recertificación lenta y costosa después de cualquier cambio.
  • No es posible realizar pruebas en entornos de producción.
  • Los Upgrades pueden tener un gran impacto en el hardware, software y gráficos.
  • Los ICS funcionan durante 15-20 años lo que dificulta mucho su mantenimiento (parches que no existen, etc.)
  • Los ICS utilizan aplicaciones especiales.
  • El fallo del ICS/SIS puede provocar pérdida de vidas, de equipos y producción con costes muy elevados.

 

Tecnologías para la seguridad de las redes

Este es un tema complejo y que requiere del apoyo de auténticos especialistas. Enumeramos a continuación algunos de los principales elementos a considerar:

  • Dispositivos: switches, routers, firewalls, diodos de datos. Existen modelos robustos y específicos para las redes industriales.
  • Arquitecturas de red (segregación por zonas y conductos, zonas DMZ, etc.). Se requiere un análisis especializado.
  • Criptografía: VPN, Cifrado, Autenticación, Protocolos seguros. Cada vez irán apareciendo más sistemas y componentes tradicionales del control industrial con todas estas características.
  • Sistemas de Detección de Intrusión (IDS). Utilizando el símil de la puerta podemos decir que el firewall es la “cerradura” y el IDS “la alarma antirrobo”.
  • Defensa en profundidad (Defense-in-Depth): El concepto de defensa en profundidad se basa en el uso de distintas técnicas que permitan, al menos, duplicar los elementos de protección para limitar los daños en caso de una intrusión en la primera línea de defensa o componente más expuesto.

 

ciberseguridad industrial