¿Cómo proteger su sistema de control industrial (ICS, por sus siglas en inglés)? Esta es una buena pregunta y, en resumen, animaría a los responsables de estas plataformas a considerar las primeras tres leyes de seguridad de SCADA:

1) Nada es seguro: La seguridad es un continuo, no un valor binario. Esto significa que no importa lo que hagamos; siempre hay un conjunto de ataques que nos derrotarán.

2) Todo software puede ser hackeado: Después de todo, todo software tiene errores y algunos de ellos son vulnerabilidades de seguridad. Si no me cree, solo visite el sitio web de su proveedor de software favorito y cuente las actualizaciones de seguridad que publicaron el mes pasado.

3) Todos los ataques informáticos son información y cada bit de información puede ser un ataque: En un sistema de control, incluso un solo bit puede ser un ataque. Cambiar un “1” a un “0” en un mensaje de control, por ejemplo, puede encender una máquina cuando necesitamos urgentemente que ese equipo se apague.

Si consideramos estos tres postulados en conjunto, la imagen es angustiante.

Si utilizamos enfoques y productos de seguridad TI para proteger nuestras redes de control, entonces no estamos más seguros que dichos sistemas. Peor aún, las leyes 2 y 3 juntas significan que los ataques pueden pivotar entre los sistemas de comunicación, incluso entre sistemas con firewalls entre ellos. La 2 significa que nuestros enemigos siempre pueden atacar nuestros hosts, mientras que la 3 implica que cuando nuestros enemigos controlan uno de nuestros hosts, pueden comenzar a lanzar mensajes de ataque hacia otros hosts conectados (a esto se le llama “pivotar un ataque”). Cualquier cadena de comunicaciones, aunque sea indirecta, entre Internet y nuestros sistemas de control más importantes, puede utilizarse como una cadena de puntos de pivote para comprometer estos últimos.

Los proveedores de seguridad TI así lo reconocen, y por eso la primera generación de seguridad TI posiciona los sistemas de detección de intrusos (IPS, por sus siglas en inglés) como el pináculo de cada programa de seguridad. Usar IPS significa que nuestros expertos luchan contra los expertos de nuestros enemigos: atacan y respondemos; suponemos que hemos sido comprometidos. Utilizamos nuestros sistemas de detección para buscar sistemáticamente y encontrar computadoras comprometidas, y luego, borrar esos equipos y restaurarlos desde copias de seguridad. Todo esto toma tiempo -semanas en promedio-, pero, realmente, no importa cuánto demora la detección. Si un extraño entra en nuestra planta de energía (o refinería o planta de fabricación), empuja al operador de su silla, toma el mouse y empieza a hacer clic en iconos y botones, ¿cuánto tiempo les damos? ¿Semanas? ¿Minutos? ¿Segundos? ¿Cuánto tiempo creemos que es aceptable para detectar y responder a este ataque?

Cada responsable de SCADA con el que he hablado siempre me dice que esa es la pregunta incorrecta a plantear. No se trata de “¿cuánto tiempo?”, pues dicho escenario representa un fallo fundamental de nuestro sistema de seguridad principal. La pregunta real es: “¿Cómo pudo pasar esto en primer lugar?”, pues la seguridad de un SCADA es sobre prevención, no detección.

La respuesta está en el escenario de ataque que acabamos de ver. Cada vez más, los administradores de seguridad de los sistemas de control industrial se centran en la seguridad perimetral. Cada sitio industrial importante que he tenido el privilegio de visitar, tiene un perímetro de seguridad física (cercas, puertas y guardias). Personas extrañas no deambulan por las instalaciones ni comienzan a girar perillas al azar. Del mismo modo, cada uno de estos sitios tiene un perímetro de red destinado a evitar que las intrusiones lleguen a los sistemas de control del sitio.

En este perímetro de la red de control, ponemos pasarelas unidireccionales de seguridad (unidirectional security gateways), una tecnología que permite físicamente que los datos de monitoreo fluyan de las redes OT a las de TI, sin ninguna posibilidad de que ninguna información regrese a la red de control. Esta tecnología consiste en una unidad de transmisión de fibra óptica acoplada a un receptor con un pedazo corto de fibra. A diferencia de un equipo de fibra óptica estándar, el transmisor no tiene receptor y este no tiene un transmisor en la placa de circuito. En otras palabras el equipo es físicamente capaz de enviar información solo de una manera: hacia fuera de la red industrial.

Cuando los datos de monitoreo llegan a la red TI, las personas de su seguridad asumen el control y trabajan para proteger esa información. Pero nada, ni siquiera un bit de datos, vuelve a la red SCADA. No importa lo listos que sean nuestros enemigos, o lo sofisticado que sea su malware, todos los ataques son información, y si ninguna información puede penetrar en las pasarelas, tampoco hay ataques.