| En estos días, los procesos industriales y sus plataformas de control automático están cada vez más interconectados con los sistemas informáticos de las empresas, como los ERPs, uniendo dos mundos tradicionalmente separados e independientes uno del otro. Asimismo, elementos normalmente considerados como "informáticos" están encontrando un hogar en el ámbito del control industrial. En este sentido, es común ver, en una planta cualquiera, un PC industrial conectado vía una red Ethernet Industrial a un PLC, el que, a su vez, es monitoreado por una plataforma SCADA, que se ejecuta sobre un servidor Windows o Linux. Pero estas tecnologías no sólo abren la puerta a una vasta gama de capacidades de análisis, interacción y supervisión, sino que también dan paso a la posibilidad de una falla provocada por un malware o por un ataque por parte de un hacker.  | Georg Gromsch,
NEOSECURE | |  | Manuel Morales,
FESTO | |  | Javier Pizarro,
SYMANTEC | |  | Cristián Velozo,
MCAFEE | |  | Nibaldo Foix,
TEKNOS | |  | Juan Manuel Mosso,
ROCKWELL AUTOMATION | |  | Fabián Hernández,
SIEMENS | |  | Marco Zamora,
FESTO | |  | Rodrigo Barrios,
FURUKAWA | "Hace años, los ataques estaban más orientados a los sistemas TI de los sectores Retail y Financieros, entre otros, pero con la salida de Stuxnet (virus informático que afecta sistemas SCADA), en junio de 2010, un ataque a las redes de control dejó de ser un concepto y se transformó en una posibilidad real", explicó Georg Gromsch, Especialista en Soluciones de Neosecure. Para el especialista, el riesgo de un ataque no sólo se debe a la interconexión de las redes de control con las plataformas TI del negocio, sino que éstas últimas están totalmente conectadas a Internet, lo que incrementa la posibilidad de ser atacadas. "De igual modo, los componentes de control industrial están diseñados para ser altamente eficientes y ejecutar una orden apenas la reciben. Y este diseño facilita un ataque informático", explicó. Las motivaciones detrás de un ataque Las motivaciones detrás de un ataque informático pueden ser variadas, incluyendo sociales, políticas y, particularmente, económicas. "Esto hace mucho más complejo este tema, por lo que es necesario que las empresas evalúen los medios que tienen a su disposición para hacer que sus redes y procesos sean más seguros y confiables; y en ese ámbito hay mucho que hacer todavía", señaló Manuel Morales, Head of Competence Center de Festo South America. Pero, no siempre los responsables de tomar las precauciones para evitar estas vulnerabilidades están muy abiertos a hacerlo. "El problema está en que en nuestra región somos reactivos. Se espera muchas veces enfrentar una crisis mayúscula para invertir en una solución que evite problemáticas posteriores. La seguridad es difícil de vender, porque no representa un aumento en productividad o ventas", indicó Javier Pizarro, Country Sales Manager de Symantec Chile. Coincidiendo con lo anterior, Cristián Velozo, Channel Manager Cono Sur y Centroamérica de McAfee, reiteró la importancia que existe de "crear conciencia de la necesidad de proteger las redes de control". Como relató Nibaldo Foix, Gerente de Ingeniería y Operaciones de Teknos, la diferencia entre la visión local y la de expertos extranjeros es muy llamativa. "En nuestro país, parece que existe una confianza en la seguridad implícita de las plataformas de control, lo que sorprende a los especialistas de otros países. Pareciera que existe la creencia de que nunca pasará nada", indicó. Entregando la perspectiva de un fabricante de plataformas de control, Juan Manuel Mosso, Gerente de Arquitectura Integrada de Rockwell Automation, aclaró que hasta ahora, sólo un sistema de control automático ha sido afectado por un virus, y que los blancos dentro de las redes industriales son los componentes que tradicionalmente eran atacados, como servidores y redes de comunicación. "En este campo, ya existen varias tecnologías probadas que se han creado para poder prevenir los ataques, por lo que debe requerirse implementar las soluciones al diseñar una red de control. Asimismo, los proveedores de sistemas de control deben desarrollar sus soluciones, previendo que pueden haber vulnerabilidades de seguridad provocadas por los servidores y redes de comunicación", agregó. A lo anterior, Fabián Hernández, Product Manager Automatización de Siemens Chile, recordó que uno de los principales elementos de defensa contra cualquier tipo de ataque informático, es su política de seguridad. "Más allá de las tecnologías y sistemas de seguridad, si no se cumple con las directrices de seguridad, estas defensas no valen de mucho", acotó. Por su parte, Marco Zamora, Product Manager Integrated Automation de Festo South America, opinó que es parte de la responsabilidad del proveedor de la plataforma de control brindar un sistema de seguridad que impida físicamente que las políticas de seguridad se quebranten. "Además, el proveedor debe esmerarse para desarrollar productos que permitan implementar una plataforma segura", añadió. "Al desarrollar sus productos, los fabricantes deben cubrir todos los aspectos de seguridad y mencionar los posibles riesgos que puedan presentar sus productos. Asimismo, deben educar a los clientes y explicarles que pueden tener vulnerabilidades distintas", coincidió Rodrigo Barrios, Gerente Comercial de Furukawa en Chile. Stuxnet: ¿La comprobación del riesgo? Sobre el gusano Stuxnet, Hernández aclaró que, muchas veces, se encuentra en Internet información distorsionada al respecto. "No podemos negar que este virus existe, pero según nuestras informaciones sólo se han detectado 24 casos a nivel mundial, los que mayoritariamente se han encontrado en Alemania y en aplicaciones que corren sobre computadores Windows. Para reducir el impacto de este malware, la compañía lanzó una herramienta para detectar virus en sus plataformas y Microsoft, pocos días después, lanzó un parche para corregir las vulnerabilidades en su sistema operativo", añadió. No obstante, según Georg Gromsch, el aspecto más preocupante de este mal-ware particular no fue su alcance o propagación, sino el concepto detrás del mismo. "Con Stuxnet, se comprobó que los sistemas de control son vulnerables, demostrando que se pueden combinar elementos muy sofisticados para configurar un ataque contra una plataforma de control automático", aseguró. "Stuxnet fue la demostración de que un ataque informático podía causar caos en una industria o en una utility, algo que estos sectores veían como una posibilidad muy lejana".
En nuestro país, aún no se han dado a conocer casos de ataques informáticos a redes de control de industrias o utilities, y pareciera que nuestro país no es un blanco atractivo para este tipo de actividades. Sin embargo, y como recordó Raúl Cobo, Gerente General de Fabelec, el Control Automático sigue las tendencias de la Informática con algún desfase temporal. "Entonces, a medida que más sistemas de control se conecten a Internet, aumentarán este tipo de eventos", concluyó. |
