Fernando Lagos, NIVEL4 Cybersecurity: “Ha habido varios anuncios para elevar los niveles de ciberseguridad, pero no hay nada relacionado a infraestructuras industriales”  Fernando Lagos. En nuestro país, ¿qué nivel de ciberseguridad presenta la infraestructura industrial?
De acuerdo a estudios e investigaciones realizadas, todo lo relacionado a infraestructura industrial (SCADA/ICS) tiene bajos niveles de seguridad. Hay que considerar que más allá de los propios dispositivos de control industrial y PLC, existen mecanismos de seguridad que deben venir desde TI, como, por ejemplo, una segmentación de red segura.
En este sentido, existen distintos niveles para poder medir la seguridad. Primero, se debe evaluar a nivel de red que cumpla ciertos requisitos básicos (por ejemplo, aislar o segmentar correctamente la red, restringir el acceso, etc.). De esta misma forma, existe el riesgo de exponer este tipo de dispositivos o plataformas a Internet sin ningún tipo de protección, pues muchas de ellas son muy antiguas y son focos de ataque solo desde hace unos años. Como la defensa generalmente viene después de los ataques, es normal (creo) que se encuentren tan desprotegidas.
Ahora bien, que sea normal no significa que esté bien, pero recién estos últimos años se está generando la preocupación que corresponde.
A modo de ejemplo, ¿qué consecuencias podría tener un ataque a uno de estos sistemas?
La verdad es que podrían ser varias, dependiendo del tipo de industria, de dispositivos, etc. Debemos considerar que gran parte de los sistemas SCADA no se utiliza para tomar decisiones, sino solo para supervisar y, en base a los umbrales de monitoreo, una persona toma una acción, por lo que existe una doble verificación. Si un atacante logra modificar alguna alerta, el factor humano igualmente está presente. El problema aparece cuando estas alertas se pueden desactivar o cambiar umbrales, pues la alerta quizás nunca se generaría y esto sí podría provocar conflictos.
Más peligroso aún es cuando el sistema es capaz de tomar decisiones de forma automatizada (por ejemplo, “cuando el valor de temperatura llegue a X, abrir una válvula”), ya que en estos casos, un ataque podría ocasionar que se gatillen ciertas acciones. En algunos escenarios, un ataque de esta índole podría incluso significar la destrucción de infraestructura o cobrar vidas. Además, a nivel país, podría generar problemas en el tratamiento de agua, en la generación de electricidad, etc. Asimismo, en empresas reguladas y que deben enviar información a un ente regulador, el no enviar esta información podría significar multas.
¿En qué tipos de compañías se encuentran las principales “fallas” (o deficiencias) en ciberseguridad?
Hemos comprobado que los problemas existen a nivel general, tanto en las propias organizaciones como en las empresas que proveen servicios. Supongamos que una Pyme crea una solución basada en PLC para medir la presión para una planta de tratamiento de alimentos. Luego, tiene la idea de centralizar el monitoreo y funcionamiento de estos PLC, por lo que montan una infraestructura SCADA. Entonces, implementan un centro de operaciones desde el que monitorean y controlan los PLC de todos sus clientes. Posteriormente, se dan cuenta de que ese mismo dispositivo pueden ofrecerlo a otro tipo de industria (tratamiento de aguas, por ejemplo). ¿Qué pasa si esta empresa sufre un ataque? Automáticamente todos sus clientes se ven afectados. Hemos visto que falta regulación, políticas y procesos para operar desde el punto de vista de seguridad.
Según su experiencia, ¿están conscientes las empresas de las amenazas de ciberseguridad?
De acuerdo a nuestra experiencia, en estos dos últimos años ha aumentado mucho el interés por querer mejorar la seguridad en estas áreas, pero, aun así, creemos que falta generar conciencia y cultura de ciberseguridad. El problema que encuentra la mayoría de las compañías, es que tienen una infraestructura funcionando durante varios años y cambiarla tiene un costo demasiado elevado.
En NIVEL4 Cybersecurity siempre intentamos generar conciencia, ya sea escribiendo artículos en nuestro blog o bien informando directamente a los clientes. Para generar conciencia, hay que ser constante y es muy importante contar con un sponsor dentro de las compañías, con el fin de que el equipo técnico vea esto como un lineamiento interno de la compañía y no como un “cacho”.
 Una de las razones detrás de las deficiencias de seguridad en los sistemas SCADA/ICS es la poca coordinación que ha existido entre las áreas de OT y de TI. ¿Coincide con esa afirmación?
Efectivamente. Como mencionaba en la respuesta anterior, estas infraestructuras y dispositivos generalmente no cuentan con una política de actualización, revisión de seguridad, etc., y el principal motivo es que no se encuentran gestionadas por el área de tecnología. Eso sí, debo mencionar que este último año me he llevado varias sorpresas al enterarme de que esta clase de sistemas de a poco se está traspasando a TI o bien a un área de riesgo cibernético. Queda mucho por hacer, pero se está avanzando.
Estos sistemas también se emplean en Utilities. ¿Están estas empresas al día en términos de ciberseguridad?
Existe una preocupación por estos temas, sin embargo, creo que hace falta que se lo tomen más en serio. Personalmente, pienso que no hay que esperar a que pase algo para empezar a mitigar los riesgos. En seguridad, es mucho más conveniente ser proactivo y no reactivo. Hoy en día, existe el conocimiento a nivel nacional para poder realizar estas mejoras.
A nivel político, ¿se está haciendo lo suficiente para mejorar nuestro nivel de ciberseguridad en la industria?
En la Política Nacional de Ciberseguridad se habla sobre “infraestructura crí- tica”, sin embargo, todavía falta mucho por definir. Existen plataformas SCADA que no necesariamente caben dentro de la definición de “críticas”, pero digamos que con “infraestructura crítica” se refieren a lo necesario para que un país funcione. ¿Esto dejaría de lado a las plantas que procesan alimentos? Todos sabemos los riesgos que existen al manipular una planta de tratamiento de alimentos.
Ha habido varias iniciativas y anuncios para elevar los niveles de ciberseguridad, pero concretamente no hay nada relacionado a infraestructura crítica, SCADA o ICS.
¿Cuáles son algunas “buenas prácticas” que pueden implementar nuestros lectores para mejorar el nivel de ciberseguridad en una industria?
Para aquellas empresas que ya tienen montada su infraestructura, se recomienda tomar una “foto” actual: saber qué componentes tienen, cómo están configurados, cómo es la topología de redes, tener claridad de los dispositivos obsoletos o dados de baja por el propio fabricante, conocer el “estado del arte”, etc. Posteriormente, se debe implementar un control de cambio para poder mitigar todos los riesgos levantados y luego trabajar en hacer de esta práctica un proceso continuo. En otras palabras, no esperar cinco años y que vuelvan a tener todo obsoleto. Entonces, se recomienda hacer un levantamiento, continuar con un plan de acción y luego aplicar políticas de mantención continua.
Para aquellas empresas que recién están montando este tipo de infraestructuras, deben considerar un plan de actualización, un checklist de ciberseguridad al momento de incorporar nuevos dispositivos, y un programa de gestión de riesgo asociado a la infraestructura.
Para las empresas que proveen este tipo de servicios o dispositivos (fabricantes), se recomienda tomar conciencia de su responsabilidad y riesgos. |
