InfoSecMan Blog

Las organizaciones existen en un complejo entorno de riesgo regulatorio. La organización típica no tiene implantados los procesos adecuados para monitorizar los cambios regulatorios que le afectan, permitiéndole así determinar el impacto en sus procesos de negocio, priorizarlos y realizar los cambios a las políticas, procedimientos y controles correspondientes. Las nuevas regulaciones, legislación pendiente, cambios de reglas existentes, etc. pueden tener un impacto significativo en la organización.

Tal es el caso de las infraestructuras críticas y las organizaciones que, aún sin serlo, puedan tener necesidades de protección muy superiores a las esperadas. Es conocido que el Catálogo Nacional de Infraestructuras de España está compuesto por 3.600 infraestructuras pertenecientes en un 80% a organizaciones privadas y en un 20% a organizaciones públicas. Todas estas organizaciones están sujetas al cumplimiento de la recientemente aprobada Ley de Protección de Infraestructuras Críticas que les obliga a implantar una serie de medidas y controles de seguridad organizativos y técnicos y por tanto a mantener y gestionar su seguridad de forma adecuada.

Hemos presentado hasta ahora las líneas directrices, planes a medio y largo plazo de la gestión de la seguridad a nivel Europeo y también nacional, pero si continuamos bajando hacia el detalle, las distintas organizaciones deberán desarrollar los correspondientes planes de gestión de su seguridad, no sólo física, sino también lógica o “ciberseguridad” y para ello, además de los correspondientes cambios a nivel organizativo será necesario contar con las herramientas necesarias para aplicar esas medidas de seguridad y más allá de aplicarlas, para gestionarlas de forma integral facilitando así la toma de decisiones estratégicas a los responsables de la organización.

Los sectores críticos industriales como el energético, el transporte o el de telecomunicaciones, entre otros, son pilares clave para la sociedad española y europea. Todas estas organizaciones deben tener en cuenta las vulnerabilidades relacionadas con la tendencia a la interconexión e integración de las infraestructuras de información corporativas con las de planta y producción que hasta ahora venían estando aisladas. Mediante el análisis de las interdependencias y de los “ciber-riesgos”, es claro que queda mucho trabajo por hacer que tendrá una gran influencia en la arquitectura de los futuros sistemas de control. Las compañías eléctricas, organizaciones financieras, compañías de transporte y otros muchos sectores deberán trabajar en arquitecturas que estén protegidas y monitorizadas continuamente en cuanto a su seguridad (no solo a su disponibilidad o eficiencia), de forma que soporten la supervivencia del servicio bajo unas determinadas circunstancias.

Al final, la mayoría de las infraestructuras críticas residen sobre sistemas de control industrial que, debido a la demandada y cada vez más común integración de los “mundos de producción y corporativos”, están  totalmente expuestos a amenazas de ciber-ataques y, evidentemente, a un alto riesgo de fallos importantes para la organización que como ya hemos visto, en muchos casos puede, afectar al estado o nación.

Y es que las cosas han cambiado en el “mundo industrial o de producción”. Basta echar un vistazo a las características de los entornos tecnológicos en los que se basan los sistemas de fabricación o producción. Atendiendo a los resultados del estudio que anualmente viene realizando desde hace 11 años la conocida analista Logica denominado “MES Product Survey”, el escenario no difiere mucho del existente en los entornos corporativos tradicionales:  las bases de datos predominantes son Oracle y SQL Server, los sistemas operativos varían entre Windows (distintas versiones) con más de un 90% de base instalada y otros como Unix  o AS/400; las arquitecturas clientes servidor, los interfaces web son habituales y el estudio concluye indicando que “la tecnología Microsoft es dominante”.  Esta afirmación nos hace ver claramente que las cosas han cambiado. El mundo industrial ya no es un mundo propietario, sino que está utilizando las tecnologías de la información a su alcance.

Cada vez más la integración entre el mundo de planta y el corporativo es un hecho. En los últimos años se está asistiendo a una demanda cada vez mayor desde el negocio de la integración de los sistemas de producción con los sistemas de gestión empresarial (ERP) de las organizaciones. Los presupuestos de gestión e integración de los sistemas de fabricación se han incrementado en más de un 600% atendiendo a los estudios ya mencionados. Además estos nuevos sistemas de gestión de la fabricación no proporcionan únicamente información interna a la compañía sino que cada vez más se pretende ofrecer y ampliar la información hacia los sistemas de los proveedores y por supuesto hacia los clientes ofreciendo así un servicio de mayor calidad y muy valorado en estos entornos. Pero esta apertura a terceras partes, además de introducir nuevas funcionalidades y posibilidades para el negocio, introducen también nuevos medios de acceso a sistemas críticos para las organizaciones que hasta ahora estaban aislados y no estaban preparados para estar expuestos a las nuevas amenazas y vectores de ataque a los que ahora se enfrentan.

La convergencia entre los dos mundos es un hecho. Los sistemas de control ya no están aislados y han pasado de utilizar líneas de comunicaciones serie dedicadas, interfaces físicos y protocolos propietarios a utilizar la misma tecnología y protocolos que cualquiera puede estar utilizando en su casa, con redes Ethernet, inalámbricas compartidas y por supuesto todo basado sobre el protocolo TCP/IP.  Los dispositivos industriales han dejado de utilizar sistemas propietarios para pasar a utilizar sistemas operativos de propósito general (como Microsoft Windows o Linux, entre otros). En definitiva, han heredado todas las características y problemas de las Tecnologías de la Información tradicionales en los entornos corporativos.

Si imaginásemos un mundo donde un simple resfriado pudiese matarnos, estaríamos viendo el mundo de los sistemas de control industrial, en lo que a seguridad se refiere:

– Los sistemas de control han sido diseñados sin introducir los requisitos de ciberseguridad básicos, como se desprende de las noticias que durante el último año hemos estado viendo desde la aparición de Stuxnet, y sin ir más lejos, los hallazgos presentados ayer mismo por Dillon Beresford en la Black Hat 2011 en Las Vegas relativos a las vulnerabilidades de los PLCs S7-300 de Siemens.

– Las redes inalámbricas son habituales en este tipo de entornos, cuando es conocido  que su disponibilidad no está garantizada (olvidándonos ya de la confidencialidad de la información que fluye por ellas). Con un inhibidor de frecuencia de bajo coste es posible inhabilitar una red inalámbrica con las consecuencias que podemos imaginar (por ejemplo que una pala de descarga de carbón deje caer varias toneladas de carbón encima de un grupo de personas en lugar de encima de un camión).

– Existen dispositivos de filtrado (firewalls) habitualmente defendiendo el perímetro, pero en casi ningún caso existe esa seguridad hacia los segmentos internos, cuando se ha demostrado que la mayoría de los ataques o problemas vienen desde dentro.

– Entre el 80 y el 90% de los sistemas SCADA y de control están conectados a las redes corporativas, aun cuando en muchos casos el Departamento de Tecnologías de la Información ni siquiera es consciente de ello.

Habitualmente los sistemas de control industrial no requieren autenticación ni autorización, no utilizan técnicas de encriptación y cifrado de datos y no manejan adecuadamente los errores o excepciones, todo ello debido a su entorno aislado originalmente, lo que ha hecho que al “conectarlos” a las redes corporativas de las organizaciones se hayan abierto (en la mayoría de los casos inconscientemente) distintas fuentes potenciales de ataques como los siguientes, entre otros:

– Intercepción y manipulación de datos:  cualquiera podría manipular los datos intercambiados entre los PLCs y los Sistemas de Control y SCADA falseándolos

– Denegación de servicio: como se ha indicado en el caso de las redes inalámbricas es relativamente sencillo causar una pérdida de servicio a este tipo de sistemas.

– Falseo de Direcciones: un usuario malicioso puede falsear la “identidad” del PLC o del sistema SCADA y comenzar a comunicarse con el resto de sistemas como si fuese este modificando el funcionamiento global.

– Modificación de datos de registro (logs): en muchos casos es posible modificar los registros de actividad (de hecho en muchos casos no existen si quiera estos registros de actividad) con lo que una actuación maliciosa puede convertirse en “invisible” al no existir trazabilidad de las acciones efectuadas.

– Control no autorizado: aprovechando muchas de estas vulnerabilidades un tercero puede tomar el control global del sistema sin demasiados esfuerzos.

Todos estas vulnerabilidades, amenazas y vectores de ataque realmente no son ninguna novedad en los entornos de Tecnologías de la Información tradicionales donde en muchos casos ya están siendo mitigados, monitorizados y gestionados. Sin embargo en los entornos industriales, como se ha descrito, no se están controlando este tipo de amenazas en ningún sentido cuando la gran diferencia entre ambos mundos es sin duda el impacto. Como se pude desprender de todo lo descrito hasta ahora el impacto de la disrupción, brecha o mal funcionamiento de estos sistemas es mucho mayor llegando a las pérdidas humanas o, como se comenzaba exponiendo en este documento, a las amenazas a la seguridad de la nación y del modo de vida de nuestra sociedad.

Dejaremos para la siguiente entrega de la serie las tendencias tecnológicas y el mercado actual en esta área y finalizaremos la serie con una receta “sencilla” para la mitigación del riesgo existente en este tipo de entornos. Pero eso será dentro de unos días…

Aún no me sigues en twitter? (@infosecmanblog): http://twitter.com/infosecmanblog