Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

La ciberseguridad, en el punto de mira de los fabricantes de SCI

Fecha de publicación 16/05/2019
Autor
INCIBE (INCIBE)
fabricantes sci

El incremento en la exposición de los sistemas de control ha hecho que durante los últimos años haya aumentado el interés de los atacantes, quienes han puesto en entredicho la seguridad de estos sistemas, mostrando las consecuencias de un ataque a infraestructuras críticas, con episodios que todos recordaremos como Stuxnet, DragonFly o los ataques a la red eléctrica de Ucrania. Estos supusieron un antes y un después en materia de seguridad en los dispositivos industriales, ya que provocó que las empresas empezasen a considerar la ciberseguridad industrial como un asunto prioritario para la continuidad de sus negocios y la seguridad de las personas.

Los fabricantes y desarrolladores son conscientes de esto y, por esta razón, están trabajando para mejorar sus productos y hacerlos cada vez más seguros.

Durante muchos años, los dispositivos que encontramos en entornos industriales han sido muy diferentes respecto a los dispositivos propios de TI. Mientras que los primeros están pensados para controlar y operar las infraestructuras destinadas al proceso productivo de un negocio enfocado en el ámbito industrial, los segundos lo están para conectarnos con el resto del mundo. Los medios y puertos físicos utilizados en cada entorno son muy diferentes y están pensados para soportar diferentes requisitos de ancho de banda y latencia, orientados a solucionar problemas muy distintos.

El mundo TI ha sido el principal objetivo de los atacantes durante mucho tiempo y la ciberseguridad aplicada al mundo TO es relativamente nueva, pero el cambio en el paradigma TI/TO que estamos viviendo, junto con el surgimiento de nuevas tecnologías y formas de comunicación entre los dispositivos industriales, hace que esta se encuentre en continuo desarrollo. Esto supone nuevos retos para los fabricantes e integradores, no solo de cara al ámbito tecnológico, sino también al de la seguridad.

Últimos retos en materia de ciberseguridad

Algunos de los retos que tienen que afrontar y afrontarán los fabricantes en materia de seguridad son los siguientes:

  • IoT: hace un tiempo que las tecnologías IoT dejaron de ser un mercado de nicho y su estandarización en otros sectores está impulsando, enormemente, su presencia en la industria, de la mano de tecnologías emergentes como puede ser el uso del 5G en la Industria 4.0.
  • Seguridad en la nube: las tecnologías cloud en la industria son una realidad y cada vez están más estandarizadas. Actualmente, existen soluciones como aplicaciones SCADA almacenadas total o parcialmente (híbridas) en la nube. Sin embargo, para que estos entornos sean utilizados correctamente, será necesario que los fabricantes se esfuercen en ofrecer una mayor seguridad en ellos.
  • Protección de datos: en los últimos años, hemos podido ver cómo han proliferado los ataques a las bases de datos de grandes compañías, incluidas las industriales, aprovechando brechas de seguridad que se han encontrado en ellas. Esto se debe a lo lucrativo que es el negocio de la venta de datos. Este hecho, junto con el endurecimiento de las leyes de protección de datos que afectan a nuestro país (LOPDGDD 03/2018), hace prioritaria la protección de los datos en mayor medida.
  • Ataques físicos: los ataques a infraestructuras críticas, como las redes eléctricas, centrales nucleares, plantas de refinamiento de petróleo o fundiciones de aluminio, están aumentando considerablemente. Son ataques donde el resultado es la destrucción o alteración física de los sistemas o de alguno de sus componentes, todo ello sin necesidad de tener acceso físico a los mismos. Un ejemplo de este tipo de ataques fue el que sufrió una fábrica de acero alemana, causando grandes daños y que es considerado como uno de los primeros ataques de denegación de servicio realizado de forma remota. Estos ataques son cada vez más destructivos y suponen un coste cada vez mayor.
  • Ataques especializados: los cibercriminales han pasado de actuar por su cuenta a establecer relaciones de colaboración entre ellos, formando grupos, para realizar los ataques a infraestructuras críticas. Esto supone que sus ataques son cada vez más sofisticados e intensos. Casos como Stuxnet, CrashOverride o los ataques a la red eléctrica de Ucrania, son algunos ejemplos de este tipo de ataques.

imagen decorativa

Tendencias en ciberseguridad de los fabricantes

Con el fin de abordar estos retos que propone la nueva industria, los fabricantes de dispositivos de automatización y control industrial están siguiendo varias tendencias que tienen un impacto en la ciberseguridad de las infraestructuras que operan sus clientes, así como en los dispositivos que las integran.

Medidas de ciberseguridad en sus dispositivos

A la hora de mejorar la ciberseguridad de los procesos, los dispositivos que los componen juegan un papel muy importante. Todas las medidas de ciberseguridad que se puedan incluir en ellos son bienvenidas por los usuarios, aunque deberán ser estos los que presionen a los fabricantes para que sigan haciendo esfuerzos destinados a implementarlas. Además, con la llegada de la industria 4.0 y el IoT, están surgiendo una gran cantidad de dispositivos en entornos TO, por lo que es muy importante que se les proporcione capacidades de ciberseguridad.

Dichas mejoras se encuentran recogidas en el artículo Tendencias en la industria, mejoras en la ciberseguridad.

Acuerdos

Los fabricantes de SCI han hecho importantes colaboraciones con fabricantes y desarrolladores de soluciones de seguridad de TI tradicionales, así como fabricantes del nicho de soluciones de seguridad de TO.

Este tipo de acuerdos suelen consistir en incluir tecnologías desarrolladas por importantes compañías de ciberseguridad y antivirus del mundo TI en dispositivos y servicios propios de TO. Un ejemplo puede ser la inclusión de listas blancas en los dispositivos de automatización y control de infraestructuras críticas, con el fin monitorizar y controlar los cambios que se realizan en estos, así como prevenir la ejecución de código no autorizado.

Estas colaboraciones son muy beneficiosas para la ciberseguridad de los dispositivos de los fabricantes, puesto que permite proteger sistemas críticos de posibles ataques de una manera mucho más efectiva.

Servicios propios de ciberseguridad

Los fabricantes de SCI ya están ofreciendo, tanto servicios de ciberseguridad para sus propias soluciones y productos como para la tecnología de los colaboradores con los que trabajan. Incluso están ofreciendo servicios de consultoría más globales. Dentro de estos servicios, encontramos 3 tipos:

  • Soluciones de automatización y control:
    • Notificación de vulnerabilidades.
    • Actualizaciones regulares de software de equipos de automatización.
    • Pruebas de compatibilidad y validación de parches.
    • Entrega mensual de parches y actualizaciones.
    • Copias de seguridad y restauración personalizadas.
    • Bastionado de sistemas.
    • Asistencia en la aplicación del principio del mínimo privilegio (un usuario debe ser capaz de acceder solo a los recursos que le son necesarios) en la gestión de usuarios.
  • Soluciones de seguridad:
    • Identificación de falsos positivos.
    • Entrega mensual de parches y actualizaciones para los motores antivirus.
    • Actualizaciones regulares de software para los NIDS (Network Intrusion Detection System).
    • Diseño, despliegue y gestión de soluciones IDS e IPS.
  • Servicios de consultoría:
    • Asistencia en planes de recuperación frente a desastres y respuesta ante incidentes.
    • Formación y concienciación.
    • Migración a entornos seguros.
    • Análisis de brecha (GAP analysis) y gestión de riesgos frente a buenas prácticas de seguridad.
    • Diseño de arquitecturas seguras basadas en el principio de defensa en profundidad.
    • Entrega, despliegue y mantenimiento de políticas y procedimientos de ciberseguridad.

Virtualización

Últimamente, una de las tendencias en la que los fabricantes están haciendo hincapié es en la virtualización de sistemas industriales. La motivación principal para virtualizar los sistemas de automatización y control es reducir hardware e infraestructura y, a su vez, la posibilidad de mejorar el rendimiento y respuesta de determinados procesos puntuales mediante balanceo de carga.

Esta práctica es habitual en entornos de máquinas para el acceso remoto a instalaciones industriales. Aunque la certificación de software industrial en entornos virtualizados es todavía escasa, la tendencia de virtualización en el SCADA o sus históricos es creciente. Además, es un uso muy habitual en entornos cloud industriales.

De cara a la ciberseguridad, la virtualización tiene ventajas sólidas:

  • Rápida recuperación frente a desastres gracias a snapshots y clones.
  • Rapidez en la prueba o validación de parches de seguridad.

Aunque también tiene puntos negativos a tener en cuenta:

  • Impacto mayor si varios sistemas (SCADA, historizador, ingeniería, etc.) corren sobre un mismo servidor físico.
  • Falta de segregación y segmentación física para zonas con distinto nivel de criticidad

Estructura de un entorno de virtualización

- Estructura de un entorno de virtualización -

Para saber más acerca del estado de la virtualización y su seguridad en SCI, consulta el artículo Asegurando la virtualización de tus sistemas de control.

Tecnologías cloud

Tal y como se ha mencionado anteriormente, las tecnologías cloud son una realidad. Los fabricantes de dispositivos SCI están ya ofreciendo servicios de análisis de datos en la nube, así como sistemas de monitorización y control. Algunos de ellos están optando por ofrecer servicios de soporte que recojan datos y sean almacenados en la nube para poder mejorar la calidad de su servicio, tiempos de respuesta y disponibilidad.

En materia de ciberseguridad, los fabricantes están adoptando las siguientes medidas para mantener los entornos en la nube seguros:

  • Control de accesos al software/plataforma/infraestructura en la nube.
  • Cumplimiento de buenas prácticas de segmentación/segregación de zonas según el modelo ISA-95 o Purdue.
  • Ubicación del hosting y leyes del país.
  • Segregación y privacidad de datos en entornos compartidos.
  • Garantías de continuidad con herramientas como MS Azure, Oracle, etc.
  • Este tema se aborda con más profundidad en el artículo Tecnología cloud en entornos industriales.

Conclusión

Como hemos podido ver en este artículo, los fabricantes pueden hacer esfuerzos reales por mejorar la seguridad de sus dispositivos. Estas tendencias van en el buen camino, aunque algunas de ellas abran nuevos vectores de ataque que deberán cerrarse correctamente, como es el caso de las tecnologías cloud. No obstante, pese a que los ciclos de vida de las instalaciones industriales suelen ser largos, la provisión de servicios de ciberseguridad por parte de los fabricantes es una buena manera de incentivar a las empresas a fortificarlas de una manera más inmediata.