De acuerdo con el reporte 2015 Dell Security Annual Threat Report, a nivel mundial, los ataques a sistemas SCADA se han incrementado de 91.676 incidentes en enero de 2012, a 163.228 en enero de 2013, llegando en 2014 a la cifra de 675.186. Como lo menciona el estudio del Instituto Ponemon en su trabajo “Critical Infrastructure: Security Preparedness and Maturity”, 67% de las compañías encuestadas han sufrido al menos un ataque informático en sus sistemas ICS/ SCADA en el año pasado, mientras que el 78% indicó que están esperando un ataque contundente en los próximos dos años.

Entonces, ¿qué es lo que está causando este incremento? Situaciones como más y mayores sistemas de control conectados a Internet. Para las compañías que buscan hacer más con menos y ser más competitivas, sería difícil ignorar todo lo que promete el Internet de las Cosas Industrial (IIoT): mejorar la eficiencia, incrementar la productividad, bajar los costos, mejorar la automatización e incluso, mejorar la seguridad. Pero como muchas cosas en la vida, tener todo en un universo perfecto de IIoT, es casi imposible. Detrás de todo lo brillante y promisorio que parece traer consigo la conectividad a Internet, también puede traer consigo vulnerabilidades a un mundo cada vez más conectado entre sí.

En un sentido, los ambientes de control industrial son como un auto viejo: frágiles, lentos y poco adaptables a cambios o actualizaciones. El tráfico de red en este tipo de sistemas es mucho más lento en comparación con una red TI estándar, y en muchos casos la tecnología que los compone tiene más de 10 años y no fue desarrollada pensada para conectarse a Internet. Estos sistemas estaban físicamente aislados y las medidas de seguridad giraban alrededor de políticas de acceso, tratamiento y aislamiento del aire, y la prevención de la exposición al exterior. Al igual que el auto viejo, la introducción de algo nuevo y diferente tiene el potencial de causar estragos rápidamente.

Por definición, un sistema de control industrial de este tipo no está conectado a Internet o a otro tipo de red sin seguridad. Sin duda, expertos en cibercrimen recomendarán mantener dichos sistemas fuera de cualquier conexión a Internet, pero existe un debate considerablemente importante si esto es posible en una era como la actual. En serio, ¿los negocios y sus sistemas de control de redes deben permanecer separados?

Inclusive los sistemas aislados por aire (“air-gapped”) son vulnerables a ser infectados con un simple dispositivo USB, ya sea infectado por descuido o por un miembro malicioso que así lo planeó. Los hackers utilizaron lo que se conoce como “spear-phishing” para infiltrarse en una acerera alemana, previniendo que un alto horno se apagara. “Google dorking” permitió a presuntos piratas informáticos iraníes entrar al sistema de control de una represa de la ciudad de Nueva York y afectar una válvula de una exclusa para que no fuera desconectada para su mantenimiento, lo que podría haber significado la apertura de compuertas y una inundación.

Sistemas aislados o no, el tema es tener en cuenta que los perímetros pueden ser penetrados y establecer así defensas adicionales basadas en estos hechos cada vez más recurrentes.

El sector industrial está repleto de instalaciones geográficamente dispersas y en muchas ocasiones a grandes distancias unas de otras, cuya mayoría carecen de recursos IT/OT dedicados, con poca/ nula experiencia en seguridad o, peor aún, sin instalaciones eléctricas adecuadas, con accesos bloqueados y sin un alma a kilómetros a la redonda. Todos factores que dibujan una crisis de magnitudes hollywoodenses si no hay personal durante una emergencia.

Desafortunadamente, una administración centralizada puede ser difícil cuando los sistemas de monitoreo designados son obsoletos y, además, están aislados. Las compañías pueden armar a cada subestación (ya sea de agua o de electricidad) con herramientas de detección dedicadas, lo que puede sonar costoso si se tienen 50, 100 o 1.000 instalaciones remotas que monitorear. Y, realmente desde un punto de vista de costos y tráfico de red, si solo se tienen 10 megas de tráfico, no hay necesidad de contar con sistemas con capacidad de procesar gigabytes enteros. No es rentable.

Los estándares NERC CIP (North American Electric Reliability Corp. Critical Infrastructure Protection) proporcionan un marco de controles de seguridad que está abierto a interpretación y a la aplicación de diversas metodologías. Por ejemplo, una empresa puede satisfacer su necesidad de un control mediante la supervisión de paquetes de datos; otra, a través de la correlación de los datos de registro, y otra, por simple reducción de la exposición a través de brechas de aire y la segmentación.

Para empresas interesadas en ampliar las capacidades de sus herramientas de seguridad informática en ambientes centralizados de producción para sus subestaciones, implementar un Tap de red (dispositivo de hardware que provee una manera para acceder a los datos fluyendo a través de una red informática) del tipo “out-of-band” para ganar visibilidad tanto en paquetes de datos y tráfico syslog, puede ser benéfico. Una forma de lograr esto mientras se mantiene la segmentación de la red ICS es insertar un Tap de red pasivo entre un servidor syslog local y reportes en los endpoints, aislando el tráfico syslog vía un filtro IP y llevándolo en un túnel de regreso vía una red out-of-band a una ubicación central de monitoreo. Como lo dijo Rob Joyce, el Chief Hacker de la NSA, los Taps en una red out-of-band son una pesadilla para hackear.

La centralización es una forma de mantener “sin aire” mientras se habilita un monitoreo en una vía que no pueda ser usado como una ruta para atacar y sea en sí una forma para ganar inteligencia en cómo un sistema puede ser identificado, así como detectar y responder a una serie de ataques, de manera inmediata y remota.