Georg Gromsch, Especialista en Soluciones de Neosecure
“Stuxnet marca el antes y el después de la seguridad en las redes de control industrial” | | | | |  | | ¿Existe un riesgo real de ataques contra las redes de Automatización y Control?
Sí. La masificación de la tecnología TCP/IP en la industria y la interacción de las redes de Control con las corporativas, han generado una oportunidad para que un atacante pueda introducirse en las plataformas de Control, a las que antes no se podía acceder desde ubicaciones fuera de la planta o incluso del proceso. Esto ha permitido el desarrollo de muchas metodologías para entrar a los dispositivos y generar un ataque con distintas finalidades, desde espionaje industrial hasta sabotaje.
A su juicio, ¿qué evento marca el inicio de esta tendencia?
Consideramos que ciertos eventos, como la aparición del gusano Stuxnet, marcan un antes y un después en este campo. En su desarrollo, Stuxnet apuntó a afectar específicamente un objetivo: las centrífugas (a través de la manipulación de los PLCs correspondientes) de la planta de enriquecimiento de uranio de Natanz, Irán.
Este ejemplo demuestra que ya no sólo puedo llegar a las redes de Control, sino que también a los dispositivos mismos, como PLCs, DCS, HMI, etc. Ya no se trata de un caso teórico; es un ejemplo real y hoy, a través de Internet, se puede encontrar el código fuente de ese gusano para hacer las modificaciones para buscar otros objetivos. Es cosa de tiempo para que aparezcan otras variantes.
¿Son Stuxnet y tipos similares de malware los únicos riesgos para las redes de Control?
No, porque dichas redes no están preparadas para los diversos eventos que ocurren en el mundo de las TI corporativas, como, por ejemplo, los virus que se extienden en la red del negocio, generando grandes volúmenes de tráfico y una eventual denegación de servicios. Si lo mismo ocurriese en los sistemas de Control, provocarían que estas plataformas se cayeran, ocasionando una posterior indisponibilidad de los procesos.
Hay casos documentados en empresas estadounidenses que han sufrido eventos en los que han detenido su producción por horas o días, lo que ha representado pérdidas de varios millones de dólares, porque han afectado a varias de sus plantas. Estas están distribuidas geográficamente, pero sus redes industriales están interconectadas bajo el protocolo TCP/IP y un evento en una planta en particular puede afectar al resto, dada esta interconexión existente entre ellas y las mínimas medidas de seguridad existentes para evitarlos.
¿Ha habido en Chile un evento ocasionado por un malware tipo Stuxnet?
No tenemos conocimiento de “gusanos” que hayan atacado específicamente un sistema de control, pero sí de eventos “no intencionales”, es decir, productos de la interconexión con las plataformas TI corporativas. Estas últimas resultan infectadas por un malware, el que se ha esparcido y alcanzado las redes de control, generando una denegación de servicios, provocando la caída de los sistemas de control, debiendo recurrir a una estrategia de operación como lo es la del control “manual”.
Para algunos usuarios, el hecho de que sus dispositivos operen sobre Linux es una garantía de seguridad…
Todos los sistemas operativos tienen vulnerabilidades conocidas, que se pueden explotar. Windows, por ser el SO más difundido, es el que tiene más exploits, pero también Linux tiene vulnerabilidades explotables, aunque es cierto que muchas menos porque no es el centro de los ataques.
 Ahora bien, el concepto de un mal-ware como Stuxnet no es atacar un sistema operativo, sino el sistema de control. En otras palabras, en el desarrollo de Stuxnet se desarrolló un “ataque” que, independientemente del transporte que use, puede llegar al PLC. Además, los equipos de Control Industrial son muy vulnerables a ciertos tipos de ataques (broadcast de servicios, paquetes mal formados, etc.), por lo que independientemente del sistema operativo de los dispositivos presentes en las redes industriales, estos ataques pueden causar una denegación de servicio. Entonces, hay que preocuparse de lo que está pasando en las redes de Control.
Se necesita un expertise muy completo para crear un malware de este tipo…
Es cierto. En este sentido, es un código escrito en distintos lenguajes de programación incluyendo C y C++, algo que se ve con poca frecuencia en otros ataques de este tipo, lo que requiere bastante expertise tanto a nivel de programación en esta área como conocimiento del dispositivo objetivo a atacar. Lo importante es que el código fuente está al alcance y se puede adaptar para atacar otros sistemas. Asimismo, este gusano demuestra que ya se puede llegar a la “última yarda”. Muchos controlistas dicen que “nunca podrán llegar a mi sistema de Control, sólo a la red, y ahí, no pasa nada”. Sin embargo, estamos viendo que ya existen ataques específicos hacia la plataforma de Control en las redes industriales.
En la industria, ¿existe conciencia de estos riesgos?
Por lo que pude ver en Automatización 2011, muchos profesionales de esta área no tienen ninguna noción de estos riesgos. Una de las razones es que creen en la “seguridad por oscuridad” de los protocolos. Es decir, los protocolos son muy específicos y, por lo tanto, desconocidos por un posible atacante. El problema es que hoy estos estándares son públicos y fácilmente encontrables en Internet.
El controlista debe comprender que se está conectando a un mundo nuevo, por lo que ahora tiene que prevenir con soluciones tanto tecnológicas como de procedimientos que le permitan proteger su plataforma. Por ejemplo, en EE.UU., hay reglamentación para la protección de la infraestructura crítica, como la de Utilities y plantas químicas. Después de todo, un ataque informático a los sistemas interconectados eléctricos, dejaría a grandes partes de nuestro país sin servicio eléctrico, generando un efecto dominó de indisponibilidad sobre servicios como el agua potable, control de tráfico, redes de telecomunicaciones, distribución de gas, entre otros. Ello equivale en magnitud a los efectos de una catástrofe natural.
¿Qué diferencia existe entre la seguridad para ambientes TI y los ambientes industriales?
Algunas soluciones para ambientes industriales son similares a las de TI, pero a nivel de equipamiento físico es completamente diferente, considerando el hecho de que esta tecnología debe estar expuesta a ambientes hostiles como polvo, humedad, etc. Otros factores importantes lo constituyen los tipos de protocolos usados en las redes industriales y la criticidad de cualquier intervención que se realice sobre un elemento de la red industrial: una mala intervención podría causar daños a las personas, a la propiedad y cuantiosas pérdidas económicas.
¿Qué servicios ofrece Neosecure en este campo?
Nuestra metodología comprende una serie de servicios de consultorías y tecnologías orientadas a mejorar la seguridad en las redes industriales. Tradicionalmente, se parte con un levantamiento en terreno del cumplimiento de seguridad de las redes industriales del cliente, y se suele desarrollar en base a estándares internacionales definido por ISA e IEC. Este trabajo nos permite saber qué equipos críticos se deben proteger y qué elementos de esta norma se están cumpliendo. Luego, se construye e implementa un plan de acción de mejoras que incluye las mejoras acordadas y un programa de awareness y capacitación en seguridad de redes industriales. Una vez concluido el plan, se vuelve a evaluar el compliance y se desarrollan las acciones que se podrían haber postergado. Este proceso debe efectuarse periódicamente, dado el constante crecimiento de las amenazas a las redes industriales, las cuales son hoy el nuevo objetivo de los cyber attacks.. | |
