Desde el 2010, cuando
Stuxnet
fue descubierto, los sistemas industriales se volvieron el foco de
muchos especialistas de seguridad con el fin de evaluar su seguridad y
su potencial vulnerabilidad a ataques externos. A su vez se comenzaron a
detectar posteriores ataques a estas infraestructuras, como fueron las
amenazas
Flame y
Duqu
que, si bien en teoría no fueron ataques dirigidos como lo fue Stuxnet,
afectaron a sistemas industriales. Tres años después de la llegada del
malware a las industrias, ¿mejoró la seguridad
industrial de las
infraestructuras críticas?
Si bien nos gustaría pensar que así fue, lamentablemente seguimos
encontrando ejemplos de que a esta industria le falta mejorar en lo que a
seguridad informática se refiere. La semana pasada tuvimos la suerte de
participar de la
capacitación en Ciberseguridad Industrial organizada por
ISSA Argentina, a cargo de
Samuel Linares e Ignacio Paredes del Centro de Ciberseguridad Industrial de España.
Durante las tres jornadas se vio un claro ejemplo de esto: los sistemas
operativos utilizados por estos sistemas críticos siguen siendo
obsoletos. Ya sean los PLC (Programmable Logic Controllers), las HMI
(Human Machine Interfaces) o los sistemas SCADA (Supervisory Control And
Data Acquisition), muchos de ellos aún poseen sistemas operativos como
Windows XP, Windows 2000, Windows 98 e incluso, en algunos entornos
todavía se utilizan Windows 3.11.
Esto denota que no existe una clara política de actualización de los
sistemas operativos que controlan estas infraestructuras. Pero sería
injusto culpar solo a las industrias de esto ya que las empresas que
desarrollan el hardware
industrial (PLC, HMI, SCADA, RTU, etc.) poseen
una política muy estricta sobre el cambio o actualización de los
sistemas operativos que controlan su hardware. Aunque sea difícil de
creer, la postura de los creadores de estas soluciones es la prohibición
del cambio o actualización de los sistemas operativos que las controlan
ya que caso contrario no pueden garantizar su correcto funcionamiento, y
como consecuencia, no brindarán soporte sobre las mismas si son
“alteradas”. Estos casos son más comunes de lo que uno piensa en estos
entornos y todavía estas situaciones son más frecuentes de lo que uno
puede imaginar.
Algo que también llama sumamente la atención es que los desarrolladores
de los dispositivos PLC suelen exigir al comprador, es decir la
industria, que dicho dispositivo tenga acceso directo a Internet para
poder realizar tareas de mantenimiento al mismo. Esto presenta un
importante riesgo de seguridad (si no es gestionado correctamente) ya
que dicho acceso se encuentra disponible 24×7 y podría permitir el
ingreso de personal no autorizado. La política del desarrollador podría
contemplar la posibilidad de que el acceso se otorgue cuando se requiera
realizar soporte o que la comunicación se realice por medio de una
comunicación segura como una VPN.
Adicionalmente, hoy en día los firewalls utilizados por las empresas son
aquellos basados en reglas, es decir, que le indican a dos equipos
cuándo hablar o no por un canal determinado, pero no analizan el tráfico
que por allí transcurre por tratarse de protocolos “no conocidos” por
este. Los protocolos industriales (DNP 3.0, OPC, OPC UA, ICCP, Modbus,
etc) son muy sencillos de interpretar y no es para nada complejo agregar
esta capacidad a los firewalls actuales. Si bien ya existen algunos
desarrolladores de firewalls industriales que están comenzando a
implementar dispositivos con estas capacidades, el cambio de este
hardware en las industrias es muy lento ya que poseen fechas de
amortización muy alta, lo que implica que podrían recién llegar a
cambiarse de hoy a 20 años o más.
Por último, pero no menos importante, percibimos un problema social
dentro de las industrias. En primer lugar, el sector corporativo y el
industrial de la misma empresa suelen manejarse como dos entidades
distintas, generando grandes problemas de comunicación y como
consecuencia problemas de seguridad considerable. En segundo lugar,
algunos miembros del sector
industrial en muchos casos suele guiarse por
una política cuestionable desde el punto de vista de la seguridad, el
tradicional “si funciona, no lo toques“. Esto presenta varios problemas
de seguridad ya que la falta de actualización y revisión de estos
sistemas podría generar una falla de los mismos o incluso un acceso por
un usuario malicioso.
A modo de contexto, las industrias que utilizan estos sistemas pueden
ser aquellas que potabilizan el agua para una ciudad, generan y
distribuyen la electricidad, manejan las compuertas de un dique o se
encargan de la distribución del gas natural, entre otras. Esto nos
demuestra lo crítico de estos sistemas y los riesgos que pueden ocurrir
si alguno de ellos falla o es vulnerado.
Si bien se realizaron algunos cambios en algunas industrias en pos de
una mejor seguridad industrial, aún falta mucho trabajo por realizar
dentro de este sector, y la concientización sobre esta temática es un
punto clave. Seguramente en los próximos años la seguridad industrial
seguirá ganando terreno como un factor clave en términos de seguridad de
la información.