Según el Reporte Anual de 2009 sobre "Cyber Security Incidents and Trends Affecting Industrial Control Systems", publicado por "Security Incidents Organization", los incidentes que afectaron a los Sistemas de Automatización y Control (IACS, Industrial Automation and Control System) asociados al segmento de Potabilización y Tratamiento de Aguas aumentaron en 300% comparado con 2004. En el caso de los segmentos Energía y Servicios Públicos, los incidentes crecieron en más de 30%.

Dentro de las principales amenazas, las asociadas a la operación de las redes internas son las que ocupan el primer lugar, con un 49%, incluyendo laptops, dispositivos USB y unidades de almacenamiento infectados. En segundo lugar, con un 17%, se encuentran los incidentes directamente asociados a Internet y, con un 10% las conexiones de terceros (inicialmente de confianza). El resto alude a otras formas de conexión como VPN, módems, wireless, etc.

Pero, ¿qué es la Seguridad Cibernética? La Seguridad Cibernética asegura la protección de los activos industriales y las actividades económicas a través de la protección de la información:

1) Confidencialidad: previene la fuga de información hacia personas o sistemas no autorizados.

2) Integridad: evita que la información sea modificada sin autorización.

3) Disponibilidad: asegura que la información estará disponible cuando sea requerida.

Para que estas tres condiciones se cumplan, deben alinearse tres niveles de gestión: la seguridad de la organización (procedimientos), la seguridad personal (personas) y la seguridad física (productos). En términos de Automatización Industrial lo anterior equivale a comunicaciones, software y hardware.

De acuerdo a los nuevos estándares internacionales sobre Seguridad Cibernética, las responsabilidades de los proveedores de soluciones son: garantizar el diseño de productos y aplicaciones con características de seguridad; avalar que éstos permiten a los clientes cumplir con los estándares de seguridad; proveer recomendaciones y metodologías que orienten la implementación. Y, respecto de los usuarios, las responsabilidades son: definir procedimientos de seguridad (seguridad organizacional); responsabilizar a las personas en el proceso (seguridad personal); y garantizar el cumplimiento de los estándares de seguridad.

Algunos falsos mitos sobre Seguridad Cibernética

Mito 1: "Mi Sistema de Automatización y Control Industrial (IACS) está protegido porque no está conectado a la red de la empresa; utiliza redes industriales propias; nunca o casi nunca con acceso remoto; con herramientas de aplicación propias para la operación y el mantenimiento".

¿Por qué es falso? Porque actualmente los Sistemas de Automatización y Control Industrial (IACS) utilizan principalmente sistemas operativos comerciales y redes abiertas, además de soportar accesos remotos. Porque los hackers se mimetizan como cualquier otro profesional y conocen nuestras tecnologías industriales tanto como nosotros. Empleados descontentos o contratistas externos pueden causar incidentes desde dentro de la empresa. La mayoría de los incidentes son el resultado de errores humanos y no de acciones deliberadas.

Mito 2: "Preferiría no hacer ruido acerca de la seguridad en mi organización porque podría proveer información técnica útil a potenciales hackers o personas malintencionadas".

¿Por qué es falso? Los principales incidentes son resultado de errores humanos y acciones no deliberadas. No involucrar a la organización para administrar esos riesgos incrementará el peligro. Si el evento ocurre, la compañía podría enfrentar un daño irreparable a su reputación.

Haga click para ampliar

Defensa en Profundidad

Schneider Electric recomienda el enfoque "Defense in Depth" (DiD) en seis pasos.

A nivel de diseño:

1. Plan de Seguridad. Crear, aplicar y actualizar políticas y procedimientos de seguridad. Ellos deben evaluar la vulnerabilidad, mitigar los riesgos y definir cómo recuperarse de eventuales incidentes.

A nivel de implementación:

2. Separación de la red. Separar completamente el Sistema de Automatización y Control Industrial (IACS) de otras redes internas o externas creando subredes físicas o lógicas, de modo de añadir una capa adicional de seguridad a una red organizacional LAN (DMZ, demilitarized zone).

3. Protección de perímetro. Proteger el Sistema de Automatización y Control Industrial (IACS) contra accesos no autorizados a través del uso de firewalls, autenticación, autorización, VPN y programas de antivirus. Además, contemplar los eventuales accesos remotos al Sistema de Automatización y Control Industrial (IACS)

4. Segmentación de la red. Utilizar switches administrados y VLANs para dividir la red en segmentos. Esto permite contener eventuales brechas de seguridad dentro de un único segmento.

5. Robustez de los dispositivos. Configurar adecuadamente los dispositivos PLCs, PACs, PCs, switches, entradas/salidas e instrumentos para aumentar la seguridad: fuerte gestión de accesos vía passwords; definición de perfiles de usuarios; desactivación de servicios e interfaces sin uso.

A nivel de operación y mantenimiento

6. Monitoreo y actualización. Permanente supervisión de las redes de comunicaciones y de todas las operaciones. Actualizar software y firmware para reducir la vulnerabilidad.

De este modo, la seguridad de las redes industriales ha dejado de ser un requerimiento secundario, transformándose en un requisito obligatorio para garantizar la protección y la mayor disponibilidad del sistema.

Para mayor información, puede solicitar a Schneider el documento "System Tecnical Note. How can I protect a system from cyber attacks?".