Sábado 1 de Octubre de 2022       •      Dólar= $966,26      •      UF=$       •      UTM=$58.772

¿Cuál es el driver de acción?:
¿Un ciberataque internacional o la seguridad TI de la planta?
Por Jorge Olivares Olmos, Subgerente de Consultoría y Formación de Business Continuity Ltda. www.businesscontinuity.cl
El presente artículo busca indagar en las motivaciones para pasar a la acción de protección, contrastando al respecto los ciberataques industriales internacionales con la problemática de seguridad doméstica en la operación TI del ámbito industrial.
Jorge Olivares Olmos.

¿Qué motivación lleva a los responsables de Control y Automatización Industrial a implementar o a mejorar la Seguridad Informática de su plataforma? ¿Es el miedo a sufrir un ciberataque de gran escala o se trata, más bien, de acciones domésticas? Para acercarnos a la respuesta, primero analicemos el caso internacional.

Al preguntarse qué puede hacer realmente un ciberataque a una red industrial, se podría tomar como ejemplo uno de los incidentes “documentados” -ya que no debiésemos esperar a que todos los casos salgan a la luz pública-. Me refiero al ciberataque que afectó a fines del 2015 a múltiples empresas de la red de energía eléctrica de Ucrania, impactando a más de 225.000 clientes con un apagón de varias horas y convirtiéndose en uno de los casos de mayor impacto de corte de suministro eléctrico atribuible a malware.

Al respecto, el informe IR-ALERTH- 16-056-01 del ICS-CERT (The Industrial Control Systems Cyber Emergency Response Team) señala que se usó malware (puntualmente, los troyanos “BlackEnergy” y “KillDisk” combinados), más ingeniería social “spear phishing” que mediante correos personalizados usando información extraída de redes sociales, dirigidos a empleados específicos de cada empresa, lograron obtener claves personales en forma fraudulenta. Luego, aplicaron dichas claves para acceder en forma remota a los sistemas operativos, a los ICS (Industrial Control Systems) y VPNs, obteniendo así acceso a los sistemas de control, y el resto ya es historia. Se inhabilitaron UPS, se reescribió maliciosamente firmware de sistemas críticos y se colapsaron las centrales de Mesa de Ayuda con llamadas ficticias, y si cómo no fuese suficiente haber botado los sistemas automatizados de la red de control de suministro eléctrico, también retrasaron las medidas de detección, reacción y contingencia planificadas... Un gran “pastel”, con todos los ingredientes de un ciberataque de envergadura, muy bien planificado.

Como dicho ataque, hay muchos otros ejemplos a nivel internacional. Si retrocedemos en el tiempo, encontramos uno de los más recordados ciberataques industriales: Stuxnet, el malware que se cree fue desarrollado por EE.UU. e Israel para sabotear expresamente el programa nuclear iraní.

No cabría duda entonces que estos mega-ataques a nivel internacional han ocasionado grandes impactos en las redes industriales señaladas y, por tanto, debiesen motivarnos a la acción… Pero quiero sacarlos de esta premisa, tal vez obvia, y analizar nuestra realidad local.


El escenario nacional

A pesar de un punto de vista inicial, hicimos una mini-encuesta telefónica, por email y en ciertos círculos de Seguridad Informática Industrial, acerca del verdadero driver motivador del cambio. ¿Este estaría en los problemas más “domésticos”, de “housekeeping” de seguridad tecnológica industrial, o por el contrario, se originaría en la prevención de posibles ciberataques de terroristas informáticos internacionales o hackers de la Ciberseguridad Industrial?

Las respuestas han comprobado en forma contundente que no existe un gran “susto” por los ataques ocurridos a nivel internacional -como los mencionados anteriormente- y no son por tanto un real driver local para las acciones necesarias de protección a la informática industrial. En contraposición, sí lo son los temas más “domésticos” de seguridad, en el sentido de controles -del día a día- como respaldos de configuraciones, gestión de recambio a componentes por obsolescencia, protocolos para evitar errores humanos de configuración TI, controles antimalware u otras medidas diarias de protección para garantizar continuidad operacional del equipamiento informático que soporta la automatización industrial.

Esto evidencia algunas tendencias, como que Ucrania y las otras instalaciones afectadas, están muy, muy lejos, así como sus realidades beligerantes que no se identifican con nuestra situación local, sumado a que los grandes problemas de indisponibilidad ocurridas a nivel nacional no se han profundizado hasta sus posibles causas informáticas, ni menos que se haya logrado su publicación y compartición de análisis y aprendizajes. A todo esto agregamos que nuestro nivel de madurez en lo que respecta a Seguridad Informática Industrial y su gestión, está aún muy incipiente, en parte por antiguos paradigmas, ya obsoletos, como considerar a la red industrial aislada de la red corporativa e incluso de Internet.

Con todo esto, el foco o driver de cambio se mantiene en las acciones cotidianas que evitan problemas de continuidad y de posible daño a la imagen corporativa, por lo que se requieren esfuerzos para integrar primero las componentes informáticas del entorno industrial y luego sentar las bases de controles de seguridad, sin llegar a reinventar lo que ya está propuesto como mejores prácticas en estándares internacionales como ISA/ ANSI 62443.


Falencias

Haciendo caso a lo que evidencian los comentarios recogidos, se debe proteger primero las actividades del día a día, implementando un Baseline (línea base) de Seguridad Informática Industrial -lo que ISA/ANSI 62443 denominaría un SL (Security Level) nivel 1-, para desde allí crecer a niveles más sofisticados de protección (SL=4). La siguiente es una recopilación de comentarios que avalan el preocuparse -al menos en una primera etapa- por un baseline de seguridad más doméstico, al reconocer falencias como:

Contar con escasas mantenciones TI, tanto a nivel de hardware como software. “Escasamente, alguna única vez, se ha cargado un parche”.

Si está funcionando, “mejor dejémoslo así”.

Personal que, sin mala fe, hace mal uso de equipamiento crítico, cargando archivos o software de dudosa procedencia.

Acceso no controlado de equipos personales de contratistas a entornos sensibles de control.

Indefinición de umbrales entre lo que es red industrial y lo que es la corporativa.


Siguientes pasos

En suma, para dar los siguientes pasos, se requiere identificar, implementar y gestionar controles de Seguridad Informática Industrial con miras a alcanzar una línea base mínima de higienización, para atender primero los temas domésticos y de operación rutinaria, utilizando marcos de referencia internacionales de mejores prácticas. Luego de esto, las miradas podrán colocarse en los llamativos “Industrial Cyber Attacks” que encandilan el horizonte.

Abril 2016
.......
Comentarios acerca de este artículo
Jorge Olivares (Autor) Business Continuity (26/04/2016)
Estimado Andrés;
MUY BUENA interrogante y la respuesta es "necesariamente" ambigua.. porque lo que señalas es también parte del problema y tiene que ver con la gobernabilidad de los aspectos de ciberseguridad industrial; donde -al menos en Chile- no hay aún lo que podríamos llamar jurisprudencia. Esto es parte precisamente del llamado que debemos hacer, enfrentar estos temas -un poco abandonados-. Tal como dejas de entrever, se debe definir primero quien será responsable de la Ciberseguridad Industrial; si es TI Corp, validar que se empapen previamente de las condiciones/restricciones industriales y utilizar estándares como ISA/ANSI 62443 para definir el qué hacer y por dónde partir; siempre con la vigilancia de los responsables del proceso o sistema ... para que no reinicien el equipo o carguen el último parche, sin verificar homologaciones.
Andres Espinoza independiente (20/04/2016)
cual seria la interacción de seguridad desde TI? conoce TI el Negocio, primero debes conocer el negocio, luego colocar seguridad donde no la Hay, o operaciones dara acceso a sus equipos críticos donde TI solo sabe "reinicie la maquina"
Comenta este artículo
Nombre:
Empresa:
Email:
Comentario:
Notificarme de actividad en este artículo
Ingrese los caracteres de la imagen:
Desayunos
LA MODERNIZACIÓN TECNOLÓGICA DEL SECTOR MINERO: Avanzando hacia la digitalización
AUTOMATIZACIÓN Y CONTROL INDUSTRIAL: Digitalizar los procesos productivos, la clave para el futuro
LA INDUSTRIA ELECTRÓNICA EN CHILE: Construir redes para fortalecer el ecosistema
Contáctenos
Dirección: José Manuel Infante 919, Of. 203,
Providencia, Chile
Teléfono: (562) 2433 5500
Email: info@emb.cl
Visite también:
© Copyright 2019 Editora Microbyte Ltda.