Llegamos a ustedes gracias a:



Reportajes y análisis

8 preguntas sobre la seguridad de sus sistemas de control industrial

[27/04/2018] Un incidente reciente en el que un posible agente de amenaza del estado-nación apagó inadvertidamente un servicio de infraestructura crítica en Medio Oriente al probar un nuevo malware, ha avivado las preocupaciones generalizadas sobre la vulnerabilidad de los sistemas de control industrial (ICS) a las nuevas amenazas cibernéticas. Muchos expertos en seguridad ven el incidente como un presagio de una nueva ola de ataques destructivos dirigidos a los ICS, y quieren que los propietarios de la infraestructura actualicen urgentemente la seguridad de sus redes de tecnología operativa (OT).

¿Qué es un ICS?

Un ICS es cualquier dispositivo, instrumentación, software y redes asociados utilizados para operar o automatizar procesos industriales. Los sistemas de control industrial se usan comúnmente en la fabricación, pero también son vitales para la infraestructura crítica, como la energía, las comunicaciones y el transporte. Muchos de estos sistemas se conectan a sensores y otros dispositivos a través de Internet -la Internet industrial de las cosas (IIoT, por sus siglas en inglés), que aumenta la superficie potencial de ataque del ICS.

Seguridad de ICS

"Es importante que las organizaciones aprovechen las lecciones aprendidas que aseguran el TI empresarial, pero las adapten a las características únicas de OT, señala Eddie Habibi, CEO y fundador de PAS Global, proveedor de seguridad de ICS. "Esto incluye ir más allá de la seguridad basada en el perímetro en una instalación, y agregar controles de seguridad a los activos que más importan -los sistemas de control privados, que tienen bajo su responsabilidad la seguridad y fiabilidad de los procesos, afirma.

Las siguientes son algunas de las preguntas clave que, de acuerdo con varios expertos, se deberían hacer los operadores de planta, los ingenieros de control de procesos, los especialistas en fabricación de TI y el personal de seguridad al planificar la seguridad de ICS.

1. ¿Tengo la gente para administrar y mantener la seguridad de ICS?

Los planificadores organizacionales tienden a pensar que la seguridad cibernética industrial es en gran medida un problema tecnológico, cuando a menudo el problema mucho más grande es la falta de recursos especializados, señala Sid Snitkin, analista del Grupo Asesor de ARC. En los últimos años, los operadores de infraestructuras críticas han desplegado cada vez más controles de tecnología recomendados para proteger sus sistemas, pero no suficientes personas para gestionarlos.

"Muchas organizaciones simplemente no tienen a la gente en su lugar para mantener la tecnología que han puesto, comenta Snitkin. "Pusieron antimalware, pero no tienen personas que hagan las actualizaciones. Pueden identificar las vulnerabilidades, pero no tienen personas que las arreglen". A menudo, quienes manejan la seguridad cibernética son los mismos ingenieros de automatización y de producción que integran los sistemas.

"La seguridad es un trabajo secundario para ellos, añade Snitkin. No tienen tiempo y, por lo general, están más enfocados en mantener los sistemas en funcionamiento, que en eliminarlos para abordar los problemas de seguridad. Muchos gerentes de planta operan bajo una falsa sensación de seguridad al pensar que han abordado sus problemas de seguridad implementando algunos controles tecnológicos, dice Snitkin.

2. ¿Sé lo que tengo instalado en el campo?

Para protegerlo correctamente primero debe averiguar qué es lo que tiene instalado en el campo, y a qué sistemas se conectan. Si no tiene esa visibilidad, está muerto, señala Joe Weiss, director general de Applied Control Solutions. Debe comprender dónde ya tiene controles de tecnología y dónde se puede usar la tecnología para proteger. En cuanto a los sistemas que no son compatibles con los modernos controles de seguridad, debe pensar en compensar estos últimos para mitigar el riesgo, indica Weiss.

"Hemos visto a los hackers eludir los firewalls, saltar las brechas de aire y aprovechar las vulnerabilidades de los dispositivos de ICS debido a la falta de protecciones de seguridad básicas, comenta Bill Diotte, director ejecutivo de Mocana, proveedor de seguridad industrial. Es vital para los gerentes de la planta, los operadores y los fabricantes asegurarse de que los dispositivos de ICS sean confiables y respalden la seguridad cibernética esencial, agrega Diotte.

"A menudo los PLCs [controladores lógicos programables], los sensores y las pasarelas industriales no tienen una credencial segura [como por ejemplo] un certificado digital o una clave privada oculta en silicio como base de confianza, indica. Las protecciones cibernéticas básicas como el arranque seguro, la autenticación, el cifrado y el encadenamiento de confianza no son implementadas en los dispositivos que afectan la seguridad del personal, el tiempo de actividad y el medio ambiente, afirma.

3. ¿Tengo políticas vigentes del sistema de control de seguridad cibernética?

Uno de los errores más grandes que las organizaciones pueden cometer es equiparar la seguridad de TI con la seguridad del sistema de control. Las dos son diferentes, señala Weiss.

La seguridad de TI generalmente se enfoca en detectar y abordar vulnerabilidades en la red, independientemente del impacto real en los sistemas de proceso. Para los operadores de la planta, lo que más importa es la integridad y disponibilidad de los sistemas, anota Weiss. El enfoque para ellos no es tanto la sofisticación de una amenaza cibernética en particular, sino si puede causar un problema en el proceso.

"¿Realmente tiene políticas y procedimientos de seguridad cibernética del sistema de control? Ni TI, ni continuidad del negocio, ni seguridad física, añade Weiss. ¿Está pensando en cómo están protegidos sus sistemas de control de procesos, o simplemente está marchando al paso de TI?, pregunta.

Para estar verdaderamente seguro, debe ser capaz de confiar en los resultados de los sensores de proceso conectados a sus controladores, actuadores y sistemas de interfaz hombre-máquina (HMI). "Antes del 11 de septiembre, la gente que poseía el equipo era dueña de todo. Después esa fecha, el ciberespacio fue reclasificado como infraestructura crítica y, fue tomado de los operadores y entregado a TI". El resultado ha sido una visión demasiado centrada en TI de la seguridad de los ICS, anota Weiss.

4. ¿Puedo confiar en los resultados de mis dispositivos?

Asegúrese de tener controles para garantizar la confiabilidad de los dispositivos en su red de control industrial, señala Diotte. De lo contrario, es arriesgado confiar en sus datos.

¿Sus dispositivos de control industrial tienen características tales como el proceso de arranque seguro y mecanismos para prevenir cambios no autorizados en el firmware? ¿Sabe qué tan seguros son sus procesos de actualización de software y sus parches de seguridad? ¿Sus dispositivos de ICS pueden admitir el uso de autenticación PKI y certificados digitales basada en estándares?, pregunta Diotte.

"Todos están centrados en el diagnóstico. Nadie pregunta si podemos confiar en nuestros sensores, agrega Weiss. "Si es médico, no puede confiar en sus lecturas de presión arterial a menos que sepa que se puede confiar en el monitor".

5. ¿Las medidas de seguridad de TI están protegiendo mis sistemas o causando más problemas?

TI no debería hacer nada directamente con un sistema de control sin supervisión del personal de éste, indica Weiss. De lo contrario, pueden surgir problemas inesperados. "En TI, si alguien pone la contraseña incorrecta cinco veces, se lo bloquea y no se le permite intentar más". Adoptar el mismo enfoque para controlar el acceso a un sistema central de energía crítico, cuando alguien realmente necesita llegar a ese sistema lo más rápido, posible puede ser desastroso, señala. "Acabará reduciendo las instalaciones a escombros, anota Weiss. "Como hacker, todo lo que necesito hacer es enviar la contraseña incorrecta cinco veces para bloquearlo".

Es vital averiguar si sus controles de seguridad están diseñados para entornos de OT, añade Habibi. "Los agentes, los barridos ping en red, y otros enfoques comunes para proteger las redes de TI corporativas, son un fracaso en una red de control de procesos debido a los posibles impactos de seguridad y confiabilidad, afirma. "Dichas soluciones simplemente no deberían llegar a producción. Punto".

6. ¿Tengo la documentación correcta para mis sistemas?

Ya sea que se implemente un nuevo sistema de control o se endurezca uno existente, es importante tener toda la documentación para los servicios necesarios y opcionales para los componentes de control, señala Reid Wightman, analista senior de vulnerabilidades en Dragos. Necesita saber si la documentación desglosa los servicios por función -por ejemplo, protocolos de sistemas de control versus protocolos de ingeniería versus transferencia de archivos y protocolos de configuración de HMI, añade.

"Cuando un componente de control experimenta una falla, ¿tiene documentación que explique el comportamiento de los resultados del controlador? ¿Qué protocolos de red privados se implementan en el sistema y qué se ha hecho para fortalecer sus respectivos servicios?", señala Wightman. Necesita dicha información para comprender realmente los riesgos que está aceptando y las medidas de mitigación que se necesitan para aislar las vulnerabilidades en caso de que afecten sus sistemas.

7. ¿Entiendo completamente mis problemas de acceso a la red?

Conectar los sistemas de control a la red puede facilitar su administración, pero es necesario que comprenda las implicaciones de seguridad y tenga controles para mitigar los riesgos, señala Wightman.

Por ejemplo, ¿qué seguridad tiene de que cualquier persona que acceda a su entorno de sistemas de control a través de la red solamente tenga acceso de solo lectura a los datos? ¿El proveedor del sistema de proceso requiere algún tipo de acceso remoto a la red? ¿Qué control puede ejercer sobre ese acceso?

Del mismo modo, necesita saber si los ingenieros tendrán acceso a los componentes de control de forma remota, y por qué necesitan ese acceso. Asegúrese de saber qué controles existen o podrían necesitar ser agregados a la red para alcanzar un nivel aceptable de riesgo y asegurarse de que el acceso remoto se ejerce de forma segura, señala Wightman.

Asegúrese de preguntar sobre los protocolos de comunicación que necesita para respaldar por clase y tipo de dispositivo, anota Diotte de Mocana. Asimismo, averigüe si tiene una sólida autenticación y encriptación de todas las comunicaciones con sus sistemas de control, identifique los protocolos de comunicaciones más vulnerables, y descubra si se está comunicando de forma segura con sus redes SCADA e IIoT, agrega Diotte.

8. ¿Están implementadas las capacidades de respuesta a incidentes y gestión de incidentes?

Incluso si la probabilidad de un ataque cibernético es relativamente baja, el impacto de uno puede ser desastroso. Una pregunta básica que se debe hacer es sobre su capacidad para responder y mitigar un ataque exitoso, señala Snitkin de ARC Advisory. "Si un atacante realmente quiere penetrar en su organización y establecer una base, no podrá detenerlos, añade. Debe asegurarse de contar con un plan y un proceso para recuperarse de un ataque cibernético de forma rápida y segura.

Al evaluar las medidas de seguridad cibernética para su entorno de ICS, fíjese cuán equipada está su organización para reconocer los cambios no autorizados, añade Habibi. "¿Tiene protocolos de respuesta a incidentes basados en la criticidad de los activos para responder de manera adecuada y rápida?", dice. "¿Sabe qué nivel de superficie de ataque existe en los activos industriales?"

Evalúe sus procesos de identificación y mitigación de vulnerabilidades para los activos tanto del sistema de control privado como del basado en TI, el nivel de parche que existe actualmente y las instalaciones que están más expuestas, anota Habibi. "Si ocurre el peor de los casos, ¿ha probado los planes de continuidad del negocio, incluyendo una nueva copia de seguridad de los sistemas en riesgo?"