La necesidad de las empresas de introducir mejoras en la eficiencia de sus procesos de producción, ha originado una importante implementación de la tecnología y de los sistemas conectados a redes corporativas que pueden manejarse de forma remota. De este modo, durante las últimas décadas, la automatización de los sistemas industriales no ha dejado de crecer y si bien las nuevas tecnologías han aportado numerosos beneficios a las empresas, también han incluido un riesgo importante de nuevas amenazas.
Pese a las advertencias de los expertos, no se han tenido en cuenta la seguridad de estos sistemas de control industrial (ICS), que han sido diseñados para perdurar durante muchos años como parte esencial del proceso productivo de una empresa. Hasta hace tiempo, el concepto de seguridad ICS se centraba únicamente en aislar el sistema, es decir, el hecho de que un sistema de control industrial estuviese completamente aislado del exterior y nadie de fuera de la empresa pudiese acceder a él, era requisito suficiente para mantenerse a salvo de las amenazas.
Evgeny Goncharov, experto de Kaspersky Lab explicaba, con ejemplos bastante gráficos, cómo esta medida de seguridad de permanecer aislado no supone una verdadera defensa para el sistema. “Si cambias tu casa por un búnker subterráneo, probablemente estarás a salvo de la mayoría de ataques accidentales, pero no de aquellos que vayan dirigidos específicamente a ti a menos que conozcas quién te amenaza. El mismo razonamiento sirve para la seguridad IT e ICS”, explicaba Evgeny Goncharov.
En las redes industriales, el malware común puede causar un daño mucho mayor que el que pueda infringir a una red doméstica o de oficinas. Por eso ya no se puede aplicar el antiguo dicho “si no está roto, para qué arreglarlo”, incluso una infección accidental puede tener consecuencias catastróficas para los datos de una red industrial. Dos ejemplos claros de cómo el malware puede afectar negativamente en la tecnología industrial son: Stuxnet y el gusano Conficker. Stuxnet, es el primer gusano conocido que espía y reprograma sistemas industriales, en concreto sistemas SCADA de control y monitorización de procesos, pudiendo afectar a infraestructuras críticas como centrales nucleares. Afecta a equipos con Windows y es capaz de reprogramar controladores lógicos programables y ocultar los cambios realizados. Descubierto en junio de 2010, es el primer gusano conocido que incluye un rootkit para sistemas reprogramables PLC.
Principales problemas
Para el experto de Kaspersky Lab, Evgeny Goncharov el problema es que no existe una industria para los ICS. Otro de los obstáculos actuales, es la falta de adopción de mecanismos de ciberseguridad bien establecidos por parte de los clientes. La ausencia de un único puntal de responsabilidad, de una metodología acordada y de procesos y prácticas para la integración de soluciones de seguridad OT dificultan el camino. El tercer gran inconveniente, según Goncharov, es la forma en que los vendedores de SCADA posicionan los problemas de ciberseguridad. “La solución más segura es aquella que fue diseñada con la seguridad en mente. La mayoría de estos vendedores siguen tratando a las amenazas de seguridad como un problema molesto que está afectando a su negocio”, aseguraba el experto.
Retos de seguridad
Evgeny Goncharov asegura que el primer reto que tienen ante sí es construir esa industria de seguridad destinada a los ICS. “Los proveedores de soluciones de seguridad y los proveedores estamos trabajando para establecerla. La mayoría de productos ICS y de tecnologías no son más que una adaptación de los desarrollados con anterioridad para las necesidades de seguridad TI de ese momento. La metodología clásica de seguridad IT es difícilmente aplicable a lo que ahora llamamos OT”, aseguraba este experto.
Por otra parte, Goncharov aseguraba que, otro de los retos a los que se tendrían que enfrentar las empresas que hayan adoptado sistemas de control industrial, es el de adoptar de mecanismos de ciberseguridad bien establecidos, definiendo el puntal de responsabilidad y una metodología concreta para la integración de soluciones de seguridad.
Finalmente, este experto asegura que hay que concienciar a los vendedores de SCADA. “Las dos mayores auditoras rusas de pruebas de seguridad afirman que han dejado de enviar informes de nuevas vulnerabilidades a vendedores de SCADA porque no ven interés en que se resuelva este problema”, explicaba Goncharov. Lo cierto es que se han experimentado ciertos cambios al respecto y se ha comenzado a invertir en seguridad para este tipo de entornos, siempre centrados en los sistemas de control industrial, pero la situación aún no está completamente resuelta. Kaspersky Lab, por su parte, ofrece asesoramiento a las compañías para que sus ICS sean más seguros y una serie de medidas tecnológicas especialmente desarrolladas para este tipo de entornos.
