Jorge Olivares.
La gran mayoría de los ataques informáticos hoy en día están enfocados en obtener un beneficio económico para los ciberdelincuentes. Se ha visto un aumento considerable en los ataques donde personas y empresas están obligadas a pagar para recuperar información sensible. Junto con ello, cada día se hacen más frecuentes los ataques a los procesos industriales. Los hackers han puesto su objetivo en el corazón productivo de las empresas, apuntando a las redes industriales, amenazando con parar las líneas productivas.
Hasta la fecha, los ataques a las plantas industriales han sido principalmente de carácter dañino. Sin embargo, dado el alto impacto económico asociado a la detención de una planta industrial, las ganancias potenciales para un hacker también serían altas. Por lo anterior, es muy probable que aumenten estos tipos de ataque. ¿Pero qué tan vulnerables son las redes de planta o de control de procesos automatizados y cómo nos podemos preparar para evitar que un ataque cibernético detenga nuestras operaciones?
Un paradigma roto
Las redes industriales se componen de zonas de administración de los sistemas de control industrial, donde es común identificar servidores basados en Windows y protocolos de redes TCP/ IP similares a la red administrativa convencional. Estos servidores se conectan a otras redes de control industrial, con protocolos específicos para controlar dispositivos, como PLCs u otros sistemas electro-mecánicos programables. En este ámbito se encuentran las redes SCADA (Supervisory Control and Data Acquisition) y los SCI (Sistemas de Control Industrial).
Existe un paradigma histórico -ya obsoleto- que señala que las redes de control de procesos son entornos seguros. Que están protegidos de amenazas externas, ya que se encuentran aislados, con protocolos propietarios usando software/hardware especializados. Además sus plataformas de gestión se encuentran, a su vez, en entornos desconectados de la red administrativa (corporativa, multipropósito o comercial). Dicho paradigma se ha roto, ya que para lograr objetivos de incremento de productividad y disminución de costos, así como cumplir requerimientos estratégicos, se han establecido enlaces entre la red industrial y la red de negocio. Con ambas redes comunicadas entre sí, se ha reducido considerablemente la resiliencia de las redes de control industrial, abriendo la puerta a una nueva clase de amenazas: los ciberataques a los sistemas de control industrial (SCI).
Lo anterior ha producido que, ya sea por acciones rutinarias y planificadas e incluso involuntarias, se agreguen vulnerabilidades reales a la operación en las redes industriales, riesgos que al ser explotados han ocasionado infecciones por malware, accesos no autorizados y operaciones indebidas, con un grave impacto en los sistemas de control de procesos, afectando el corazón productivo del negocio, llegando a detener toda una planta.
En el ámbito local hemos detectado una alta presencia de malware y una muy débil estrategia de seguridad de controles TI básicos en redes industriales locales. A nivel internacional, es necesario recordar el bullado caso de Stuxnet el año 2010, aquel gusano informático que afectó servidores Windows, espiando y reprogramando sistemas industriales de control y monitoreo de procesos, afectando gravemente las infraestructuras de centrales nucleares. Stuxnet fue conocido como el primer gusano en incluir un rootkit para sistemas PLC.
Las normas
Lo anterior hace pensar en la necesidad de proteger la seguridad de estos sistemas y en forma genérica se podría considerar la aplicación de las normas internacionales ISO 27001 e ISO 27002, que abordan la gestión y controles de seguridad de la información para cualquier tipo de entorno. Sin embargo, las redes industriales tienen particularidades muy especiales que deben ser atendidas de manera muy distinta a una red administrativa.
Por ejemplo, el control antimalware, requiere criterios muy distintos para ambos tipos de redes. Para la red administrativa se espera que se implemente alguna marca reconocida, que la versión del software sea la última y que siempre los patrones de búsqueda sean los más actualizados. Por su parte, para la red industrial, se pueden usar solo las marcas homologadas de antimalware, como solo las versiones certificadas para cada sistema de control, no necesariamente lo más actualizado y ni con los últimos patrones de detección.
Existen numerosos informes sobre el tema a nivel internacional y casos concretos de explotación de debilidades de seguridad que han ocasionado serios daños a la operación industrial, entre estos, “Targeted Attacks Against the Energy Sector” de Symantec, de enero 2014, o el El proyecto SCADA Strangelove que ha identificado más de 150 vulnerabilidades de día cero en sistemas SCADA, ICS y PLC, con un alto porcentaje de ellos con la peligrosa opción de ejecución remota de código.
Para limitar la exposición de las redes industriales a nuevas y actualizadas amenazas, surge el año 2007 el estándar ISA-99. La International Society of Automation (ISA) trabajó desde entonces en el fortalecimiento de la serie ISA-99: Security for Industrial Automation and Control Systems, siendo a su vez aprobada por ANSI: American National Standards Institute. En el año 2010, la estructura y numeración ISA 99 es reformulada convirtiéndose en IEC-62443, para alinear sus documentos con la nomenclatura IEC (International Electrotechnical Commission). Con ello se paralizan los desarrollos de ISA99, focalizándose en una nueva estrategia ANSI/ISA- 62443, como se le conoce hoy en día.
En términos generales, ANSI/ISA-62443, busca plantear como objetivo final la implementación y mantención de un sistema de gestión integral de seguridad informática para las redes industriales.
Según el ingeniero Maximillian G. Kon, del Comité ISA99 desde 2006, en América existen más de 20 normas y guías para la ciberseguridad industrial e infraestructura crítica, pero en la actualidad ISA99 o IEC 62443 es la serie de normas internacionales más completa que aborda el tema de segurización de los sistemas de control incluyendo sus redes, de una forma comprensiva y profunda.
Conscientes de la necesidad de apoyar a la industria en este sentido, queda claro que es esencial difundir las alternativas metodológicas que respaldan una mejor protección de la seguridad en redes industriales, con foco de alcanzar mejores niveles de madurez en la implementación de un IACS-CSMS en las empresas productivas. Personal de nuestra compañía se ha integrado a la Sección ISA Chile, para participar activamente en el desarrollo e implementación del framework ANSI/ ISA-62443 en las empresas productivas de Chile y países vecinos.
Un servicio integral de consultoría, debe considerar el entendimiento de estos modelos de seguridad, estableciendo adecuadamente las bases de gobernabilidad para la seguridad informática en redes industriales, la personalización de un modelo de seguridad informática, el establecimiento concreto de una línea base o “baseline” de implementación -como ANSI/ISA-62443- y un roadmap de desarrollo posterior.
¿Entonces, siendo empresas industriales, cómo reducimos el riesgo de caer víctimas a la creciente industria de extorsión cibernética? Hoy es necesario aplicar estas metodologías que permitirán crear un modelo estandarizado para la seguridad informática en las redes industriales. De esta manera incrementamos la efectividad de los protocolos de seguridad y reducimos el riesgo.
