| Amenazas en Sistemas de Control Industrial | | | Por Andrés Muñoz, Gerente de Consultoría y Seguridad de NovaRed. Mayor información en www.novared.cl | | | | |  | | Existe una gran variedad de orígenes de riesgos y amenazas como, por ejemplo, empleados descontentos, espionaje industrial, hackers, activismo ideológico, terrorismo e incluso incidencias accidentales, por lo que las compañías que poseen estos sistemas, tienen un arduo trabajo para mantener estrictos controles que velen por su integridad, disponibilidad y confidencialidad.
Pese a lo anterior, creemos que tanto las compañías que utilizan esta tecnología y los proveedores de hardware/software industrial, hacen poco esfuerzo por mejorar la seguridad en los sistemas y un claro ejemplo de esto, lo podemos ver en que actualmente existen muchas versiones de sistemas operativos desactualizados en estas infraestructuras, como Windows XP, Windows 2000, Windows 98 e incluso en algunos sectores utilizan Windows 3.11, convirtiendo estas redes en un fácil blanco para un atacante. Esto se explica porque las empresas proveedoras de hardware industrial poseen políticas muy estrictas sobre el cambio o actualización de los sistemas, no garantizando el correcto funcionamiento en caso de un sistema operativo más actualizado y, por otro lado, las compañías que utilizan esta tecnología no quieren realizar cambios en sus sistemas, mientras estén operativos, por el temor a la indisponibilidad de sus servicios.
Lamentablemente, muchas compañías esperan a tener un incidente con grandes pérdidas de dinero y equipamiento, para luego mejorar la seguridad en sus redes SCADA. Cuando se revisan antecedentes históricos, se puede observar la magnitud que podría alcanzar, pudiendo afectar gravemente a una compañía, ciudad o incluso un país. Prácticamente todos los años se registran casos de sistemas SCADA “hackeados” (Ver recuadro).
A estos antecedentes, agregamos que en la conferencia de hackers BlackHat Europa del año 2013, se mostraron los resultados de un experimento con un honeypot (1) de ICS/SCADA, que dejaron expuesto a Internet durante 1 mes, el cual registró 39 ataques desde 14 países (el 35% provenía desde China), lo que nos muestra claramente el fuerte interés que existe de los atacantes por ingresar en estos sistemas.
¿Qué pasa con Chile?
Si bien nuestro país no es un punto de ataque significativo, no está ajeno a ellos. Lamentablemente, en Chile no existe una conciencia real de la seguridad y de lo que puede provocar un ataque de estas características y lo que queremos lograr es poner en la agenda la necesidad de protección en esta área.
Por la importancia, complejidad y criticidad que poseen estas infraestructuras, son variadas las medidas de seguridad que se pueden abordar:
• Utilizar herramientas antivirus en estos sistemas.
• Administrar y monitorear equipos de defensa perimetral, como firewall y IPS.
• Monitorizar los sistemas y redes.
• Realizar evaluaciones continuas de la seguridad, a nivel de red y de los dispositivos SCADA.
• Mantener un estricto control de gestión de accesos a los sistemas.
• Generar planes de respuestas ante incidentes y alertas.
• Promover la formación y concienciación de seguridad en el personal de la compañía.
• Mantener una gestión continua de aseguramiento.
Queda claro que la seguridad informática es un tema primordial que debería ser considerado por las organizaciones. Tomar conciencia de que todos pueden convertirse en blanco de hackers permite tomar los resguardos necesarios para evitar ser los próximos focos.
Muchas compañías asumen que no han sido víctimas de ataques informáticos sin tener realmente esa certeza y otras adoptan una actitud de tranquilidad ante el tema, pensando que basta solo con invertir en un sistema de prevención, olvidando que la seguridad cumple un ciclo de vida que debe pasar por una evaluación, el proceso de diseño, la implementación y -por último- una correcta administración y soporte de los servicios. Por esta razón es cada día más necesaria la asesoría de expertos en materias de seguridad informática, con el propósito de mejorar el rendimiento del capital TI de las organizaciones y así colaborar con la productividad de las mismas. Año | Incidente de Seguridad | | 2000 | Fue vulnerada la seguridad de Gazprom, compañía de gas de un estado de Rusia, obteniendo acceso al switch de distribución de gas. | | 2001 | Un ex-empleado del equipo de desarrollo vulneró 46 veces el sistema que controla la planta de tratamiento de aguas residuales en Queensland (Australia), liberando 264.000 galones de crudo en ríos y parques. | | 2003 | El gusano Slammer logró penetrar en la central nuclear Davis-Besse de Ohio, desactivando un sistema de control de seguridad por casi 5 horas. El acceso fue a través de una red de contratistas. | | 2006 | Un hacker penetró la seguridad desde Internet de una planta de filtrado de agua en Harrisburg, Pennsylvania. El intruso instaló un software malicioso que fue capaz de afectar las operaciones de tratamiento de agua en la planta. | | 2007 | Un intruso instaló un software desautorizado en un sistema SCADA de un canal de agua en Willows (California), y dañó el equipo utilizado para desviar el agua del río Sacramento. | | 2008 | Utilizando múltiples cuentas de usuarios, un ex-consultor de TI de Pacific Energy Resurce, en Long Beach (California), manipuló unos sistemas SCADA de la compañía utilizados para operar remotamente gigantes plataformas petroleras y detectar fugas de gas. | | 2010 | Uno de los casos más conocidos es el de Stuxnet, nombre del primer virus gusano capas de espiar y reprogramar sistemas industriales. Este virus tenía por objetivo una planta nuclear de Irán y se propagaba a través de memorias USB y aprovechaba vulnerabilidades de día cero de Windows. Posteriormente, de manera extraoficial se divulgó que el virus fue desarrollado por la Agencia de Seguridad Nacional (NSA) de Estados Unidos, en conjunto con Israel. | (1) Se denomina honeypot al software o conjunto de computadores cuya intención es atraer a atacantes, simulando ser sistemas vulnerables o débiles a los ataques. Es una herramienta de seguridad informática utilizada para recoger información sobre los atacantes y sus técnicas. Fuente: Wikipedia. | | |
