Los sistemas SCADA (Supervisory Control And Data Acquisition, por sus siglas en inglés), son los encargados de controlar los equipos físicos, utilizados comúnmente en varias aplicaciones industriales, los cuales forman parte de los Sistemas de Control Industrial (ICS, por sus siglas en inglés), de los que dependen gran parte de nuestra industria de infraestructura y manufactura crítica.
Estos sistemas, encargados de tareas cruciales como el control de turbinas de redes eléctricas, el paso de gas y petróleo por los canales de agua potable, e incluso la operación de plantas nucleares, han sido objeto de varios ataques cibernéticos en los últimos años, así como frecuentes pero sobre todo sofisticados.
Este incremento en los ataques a los ICS es confirmado por el reporte de ciberseguridad SCADA 2016 preparado por Fortinet. Éste destaca también que la situación se debe, probablemente, a la integración o convergencia de sistemas con tecnología operacional (industriales), con los sistemas de IT regulares o convencionales. En otras palabras, la integración de sistemas SCADA, a redes basadas en IP, puede vulnerar más la ciberseguridad de un determinado sistema.
El ICS-CERT monitor Newsletter de octubre 2014 a septiembre 2015, destaca que en ese año fiscal, se reportaron un total de 295 incidentes al Equipo de Respuestas a Emergencias Cibernéticas de Sistemas de Control Industrial (ICS-CERT, por sus siglas en inglés). De éstos podemos destacar lo siguiente:
- Primer apagón eléctrico, causado por un hacker en Ucrania (23 de diciembre de 2015). Este ataque se originó de una manera sofisticada y planificada, inclusive contó con un proceso comprendido de tres etapas, el cual originó que 57 subestaciones eléctricas dejaran de funcionar. Este ataque, que generó que la mayoría de las regiones del oeste de Ucrania se quedaran sin energía, fue confirmado días después por el Equipo de Respuestas a Emergencias Cibernéticas de Ucrania. El CERT-UA, determinó que el malware utilizado está relacionado a la familia de los BlackEnergy, el cual ha existido desde el año 2007.
- Confirmación de ataques de reconocimiento a sistemas ICS en Estados Unidos (diciembre 2015). En total se reportaron dos ataques en esta fecha. Uno de ellos en el año 2013, estuvo dirigido a la presa de Bowman en Nueva York, el cual pretendía una recopilación de las consultas y búsquedas en las máquinas infectadas, atribuido a hackers iraníes. El segundo ataque, se perpetró contra la mayor empresa generadora de electricidad, a partir de gas y recursos geotérmicos, de América, Calpine. Dicho ataque logró obtener información como nombres de usuarios y contraseñas, así como dibujos detallados de redes de ingeniería. Los informes destacan que estos ataques tenían la intención de reunir información de inteligencia, en lugar de causar algún tipo de interrupción.
- Venta de sistemas SCADA comprometidos en el llamado bajo mundo de Internet. Este ataque, que consistió en la venta de sistemas SCADA comprometidos, en el mercado ilícito que opera en internet, demostró la notable vulnerabilidad que tiene este sistema para colocarse a la venta en el bajo mundo y sobre todo lo fácil que es adquirirlo.
Los ataques fueron perpetrados debido a que la gran cantidad de los sistemas poseen protocolos propietarios que dicen incluir algunos controles de ciberseguridad, sin embargo, esta es una de las fallas más comunes, puesto que hay una serie de componentes que se dejan desprotegidos a la hora de confiar en estos protocolos.
Otro aspecto importante es el hecho de la integración de sistemas a las redes basadas en IP, las cuales agregan un nivel adicional de conectividad que antes no era relevante pero que al integrarse al internet, se vuelven blancos de ataques para explotar vulnerabilidades. Es decir, que todo lo que requiere conectividad, requiere protección.
Es válido mencionar que los sistemas industriales han evolucionado al punto de tener que incluir componentes como lo son los sensores inalámbricos, que se incluyen componentes propios de la evolución de la tecnología, pero que están a cargo de redes de servicios con un nivel de criticidad muy alto y complejo, algunos incluso interconectados entre sí a infraestructuras de gobierno.
Pronósticos
Cada vez que un segmento de red se conecta a sistemas con vulnerabilidades heredadas conocidas o que incluye interfaces a sistemas propensos, como lo son sistemas operativos, sensores inalámbricos, bases de datos, segmentos de red propias o de terceros; se hace imperativo analizar, definir y establecer los perímetros y componentes de ciberseguridad requeridos. Esto, con la finalidad de mantener la información segura, los controles de acceso adecuados, los protocolos aprobados y todo lo necesario un correcto funcionamiento y operación de la red (con los servicios que se ofrezcan) y, por supuesto, a los atacantes lo más lejos posible. No existe diferencia si éstas son redes convencionales, industriales o SCADA.
En este sentido, uno de los principales retos para las organizaciones de ICS es la sofisticación de los actuales delincuentes. Entre más avanzada sea la ciberseguridad y más eficiente sea la protección, haremos un mejor frente a los ciberataques, sin embargo, existen retos adicionales; tales como los sistemas específicos de la industria, regulaciones y prácticas. Por ello, es imperativo mantener políticas de ciberseguridad para todos los ambientes, con socios que aporten protección preventiva que nos ayude a evitar la necesidad de la aplicación de ciberseguridad correctiva.
Recomendaciones a tener en cuenta
De acuerdo a los incidentes que aparecen en el artículo del ICS-CERT y en la publicación de Fortinet, les comparto una serie de recomendaciones que podrían ayudar a las organizaciones, con sistemas industriales, a mantenerse fuera de los ataques y vulnerabilidades de ciberseguridad:
- Tenga cuidado con los correos electrónicos que incluyan phishing: Un antivirus por sí solo no es suficiente, un conjunto completo de herramientas que permita un adecuado análisis de correos electrónicos con archivos maliciosos, brinda una protección mucho más segura.
- Revisión continua y análisis de datos (logs): Los logs disponibles en nuestros sistemas y en nuestra red, de la mano con un continuo monitoreo de los componentes de la misma, agregan una enorme cantidad de información que nos puede ayudar a identificar vulnerabilidades de ciberseguridad y ajustar parámetros preventivos y, por qué no, a romper incursiones o ataques ya activos.
- No todas las redes son iguales, ni todas las características de ciberseguridad aplican para todos: Cada tipo de red posee sus propias características y estándares. La ciberseguridad que aplica para una no necesariamente aplica para otra. Un adecuado análisis a profundidad nos indicará los componentes adecuados que se requieren para determinado ambiente.
-Vadín Corrales, Training & Certification – NSE8