Seguridad industrial 2017 en cifras
Al igual que en años anteriores, desde el CERTSI, se ha continuado trabajando en los servicios de alerta temprana y avisos en materia de ciberseguridad. Específicamente, en la sección de avisos SCI, se han publicado todos los avisos relacionados con los sistemas de control industrial, continuando con este servicio específico iniciado hace ya dos años.
Esta información, además de resultar disponible a través de la web y por RSS, también puede consultarse a través de un boletín con el cual informarse de todas las vulnerabilidades que afectan a dispositivos, software y otros elementos de fabricantes industriales.
Adicionalmente de esta publicación diaria del sistema de alerta temprana y los avisos para sistemas de control industrial, INCIBE, a través del CERTSI, ha continuado con la difusión de la ciberseguridad sobre los sistemas de control industrial publicando contenidos específicos en el blog y también a través de diferentes guías y estudios.
El servicio de avisos prestado durante 2017 refleja las principales vulnerabilidades que han afectado al sector industrial. Echando un vistazo al trabajo desarrollado a lo largo de 2017 podemos ver los siguientes resultados:
-Número de avisos publicados por mes durante 2017-
Se han publicado 199 avisos de vulnerabilidad relacionados con el sector industrial frente a los 146 de 2016, que abarcan tanto dispositivos, como aplicaciones o elementos de comunicación de este entorno.
Aunque se pueda pensar que en verano puede existir una menor actividad en empresas y fabricantes industriales, y ser por esto una época en la que se publiquen menos avisos debido a las vacaciones estivales, este año, sin embargo, julio ha sido el mes con mayor movimiento, aunque seguido de cerca por mayo. Siendo luego la segunda mitad del año unos meses de alta carga de avisos de seguridad, convirtiendo el segundo semestre del año en el más numeroso en cuanto a avisos de seguridad publicados.
Clasificación por sectores
Respecto a los sectores implicados, se puede observar que se han producido avisos que han afectado a casi todos los sectores estratégicos definidos en la ley de protección de infraestructuras críticas (ley 8/2011), tal y como refleja el siguiente gráfico:
-Evolución de avisos por sector. El sector energía, al igual que años anteriores, el más afectado-
La mayor parte de los avisos publicados afectan a dispositivos multipropósito y que se utilizan en varios sectores, lo que significa que un único aviso puede afectar a diferentes sectores. Así, los productos (dispositivos y aplicaciones) correspondientes al sector de “Otra industria” han sido los más afectados por los avisos prácticamente durante todos los meses del año.
Como ya se explicaba en el resumen de años anteriores, estos datos no quieren decir que el nivel de seguridad en dicho sector, o en otro de los más afectados como es el de la Energía, sea menor, simplemente es consecuencia de ser sectores muy amplios, que incluyen muchos procesos diferentes y en los que hay millones de dispositivos desplegados al ser sectores con una madurez tecnológica mayor.
Naturaleza de los avisos
Conservando el listado de tipos de vulnerabilidad utilizada en años anteriores y recopilando los datos de la misma manera (de manera que un aviso puede incluir información de más de una vulnerabilidad), en la imagen siguiente se ve la evolución entre los datos del año 2016 (izquierda) y los de 2017 (derecha).
-Naturaleza de vulnerabilidades. Téngase en cuenta que un aviso puede estar relacionado con varias vulnerabilidades-
Las vulnerabilidades relacionadas con la obtención de información se mantienen como las más numerosas, pero es necesario destacar el incremento de los avisos producidos por vulnerabilidades relacionadas con la ejecución de código y la denegación de servicio, que de una posición más discreta en el año 2016 pasan al segundo y tercer puesto en este resumen de 2017, reduciéndose las vulnerabilidades de escalada de privilegios notablemente. También se incrementa el número de avisos relacionados con la inclusión de archivos, que aumentan más del doble su porcentaje de incidencia respecto al año anterior.
Vistos los tipos de vulnerabilidades que han sufrido un incremento más notable, parece hacerse notar que los investigadores pusieron en el año 2017 el foco en la ejecución de código en los dispositivos y aplicaciones que componen los sistemas de control, tratando de buscar las debilidades en los controles de seguridad y gestión de memoria de los dispositivos.
La inclusión de archivos también es un tipo de vulnerabilidad que se ha visto con un importante foco de investigación, al buscar el asegurarse la integridad del código que se ejecuta en los dispositivos, ya que muchas estaban relacionadas con el cambio de una .dll del sistema por otra maliciosa buscando una ejecución de código no controlado por esta vía.
Al igual que ya sucedía en años anteriores, muchos de los avisos hacen referencia a vulnerabilidades que son explotables de forma remota. Por lo que, una vez más, es necesario mentalizar a todas las empresas en aspectos de segmentación de redes, protegiendo su perímetro de red y situando sus dispositivos de las redes de control detrás de cortafuegos y/o en redes aisladas siempre que sea posible.
Fabricantes
El listado de fabricantes más relacionados con los avisos cambia ligeramente con respecto del año anterior. Los grandes líderes en productos de sistemas de control industrial siguen siendo los más expuestos y, por tanto, sobre los que más avisos aparecen.
Si bien ha cambiado el orden de los dos primeros puestos, situándose Schneider Electric por delante de Siemens, Rockwell se mantiene en los primeros puestos. También cabe destacar el caso de MOXA que, aunque solo pasa del tercer al quinto lugar, ha visto reducido considerablemente su número de avisos de seguridad, de 15 a 6.
-Número de avisos publicados por fabricante-
Clasificación por criticidad
La clasificación por criticidad de 2017 es similar a la presentada en el resumen de 2016, siendo gran parte de ellos de una criticidad alta o crítica, y desapareciendo los avisos de criticidad baja. Esto nos vuelve a recordar que hay que reforzar la protección de los sistemas de control pues, las vulnerabilidades que se reportan en ellos, pueden suponer un gran trastorno para la empresa y graves consecuencias en el proceso productivo.
-Clasificación de avisos-
Evolución en 2018
Aunque siempre es difícil hacer conjeturas para el futuro, en los resúmenes anteriores nos aventuramos a las mismas y, como parece que no fuimos del todo desencaminados, volvemos a intentarlo de cara a 2018. Entre otras cosas preveíamos para 2017 que el número de avisos debería seguir incrementándose, como así ha sido; que en los fabricantes poco iba a cambiar y los grandes fabricantes iban a seguir en lo alto de la lista. Respecto a los sectores, comentamos que todos tendrían que mejorar para igualar a los esfuerzos planteados por el sector Energía y conseguir una gráfica igualada entre los distintos sectores, algo que se sigue produciendo, pero que debería ir a más.
Para este 2018, la experiencia e intuición dice que todo debería seguir en una tónica similar. La publicación de avisos posiblemente siga creciendo pero con un volumen poco significativo, el reparto de criticidades seguirá igualándose, manteniendo la reducción porcentual de los avisos más críticos, puesto que los esfuerzos que vienen realizando los fabricantes seguirán notándose.
A nivel de fabricantes se seguirá con la misma tónica, aunque seguiremos esperando que otros grandes fabricantes como ABB y GE hagan un mayor esfuerzo y publiquen más información de sus problemas y soluciones.