Cada vez más sistemas industriales están utilizando dispositivos y canales que interactúan con el mundo exterior. A veces se utilizan equipos que nunca fueron diseñados para acceso desde el exterior y utilizan software que fue desarrollado hace décadas y no ha sido actualizado desde entonces. Este es un tema muy serio, porque no solo es la continuidad de procesos de producción que están en juego, si no el medio ambiente e incluso vidas humanas pueden estar en riesgo”, alerta Eugene Kaspersky, Chairman y CEO de Kaspersky Lab.
Los ataques cibernéticos a sistemas cibernéticos no sólo están aumentando sino que han cambiado de lo especulativo a lo indiscutible. Según PwC, 32% de los administradores de TI responsables de velar por los sistemas industriales, dicen que sus activos o redes de sistemas de control han sido infiltrados en algún punto. 34% cree que sus sistemas han sido violados más de dos veces en los últimos 12 meses. De acuerdo a PwC, el número promedio de incidentes detectados en el sector de energía y servicios públicos, se dispararon seis veces en 2014 hasta ahora.
Para Thiago Márques, analista de seguridad del Grupo Global de Investigación y Análisis de Kspersky Lab, los sistemas de control industrial están conectados y por esto se hace necesario que las configuraciones de seguridad sean hechas de forma compleja y bien manejadas, para que se pueda tener total control y garantizar la seguridad de todo lo que pasa.
Dentro de una industria, explica, hay diferentes niveles de configuración. En el nivel más bajo, están los dispositivos físicos o maquinarias utilizadas en toda la compañía. Aquí están los datos. En el segundo nivel están las conexiones de estos dispositivos físicos y el control de todo lo que está pasando ahí. Por ejemplo cuando se produce una puerta de un automóvil. En el tercer nivel se hace toda la gestión, es la gestión de operaciones y de manufactura y en nivel superior (4) es en dónde los gerentes verifican la producción, entre otras actividades. “Todos estos están conectados y todos pueden ser objeto de ataques”, asevera el analista.
“La seguridad de los dispositivos es un tema muy grave y muchas de las compañías no están tomando las precauciones necesarias para que sean hechas de la mejor manera. No es solo la vulnerabilidad, son equipos en los que nadie le hace actualizaciones. Estas vulnerabilidades se encuentran en los sistemas industriales como ruteadores, suiches, directamente relacionados con equipos industriales, este tipo de equipos son utilizados por grandes compañías”, advierte, informando que el número de vulnerabilidades que son descubiertas dentro del sector industrial han crecido mucho en estos años, de 19 a 189.
La segunda vulnerabilidad más encontrada en 2015, de acuerdo al experto, fue el uso de credenciales no modificables, equipos muy utilizados por las compañías a los que no se le pueden cambiar contraseñas y menos, deshabilitar su acceso.
“Se tiene un equipo que es vulnerable y así se queda”, advierte. De acuerdo a estudios de Kaspersky Lab, hay más de 220 mil componentes industriales disponibles en Internet, es decir, se pueden accesar, si se quiere desde la comodidad de la casa del ciberdelincuente, por ejemplo. En 170 países afectados, de los cuales 6,3% son vulnerables y no sólo están en línea, 91,6% utiliza protocolos inseguros, es decir, poco seguros. En cuanto a los equipos relacionados a grandes compañías, más de 17 mil en 104 países en un 91,1% están vulnerables. En Latinoamérica, Brasil tiene más de 600 dispositivos que son vulnerables y en México 157, es decir, se pueden fácilmente accederlos y cambiarle la configuración de acuerdo a las intenciones de los ciberatacantes.
El impacto de los ataques
No es ciencia ficción y ya hay casos concretos. Recordemos, a finales de 2015, el ataque del troyano BlackEnergy a una planta de energía eléctrica en Ucrania. “Infectaron los sistemas, hicieron DoS en el sistema telefónico, apagaron todos los datos de los servidores SCADA, hubo 30 subestaciones de energía desconectadas y 80.000 clientes afectados, sin energía en su casa”.
Destaca Márques que los dispositivos pertenecientes a los sistemas de control industrial (ICS) aún son vistos como una caja negra, o sea, nadie quiere cambiar y meterse en ellos, si hay algo mal configurado no se cambia y no tienen documentación.”Es necesario analizar no solamente la configuración de un componente, pero sí verificar toda la estructura de la red corporativa. Si tengo un dispositivo bien configurado, pero la red tiene falla, se pueden tener vulnerabilidades”, destaca.
Crear la cultura correcta
Para Daniel Molina, director general de Mercados Estratégicos de América Latina de Kaspersky Lab, muchos sistemas industriales son vulnerables y no cuentan con un control compensatorio. En este sentido advierte que es imperioso crear una cultura correcta alrededor de estos sistemas.
“Hay que invertir en la concientización de los usuarios. El problema más grande que existe en los sistemas industriales es que los usuarios que manejan la red, no tienen nada que ver con seguridad, Normalmente son ingenieros que han prohibido que la gente de TI toque sus sistemas y no tienen una cultura ni control. Sistemas vulnerables sin control compensatorio, es un caos. Eugene nos reta a salvar el mundo, en verdad es cuestión de vida o muerte, porque cuando hay 80 mil personas sin luz, ¿cuántos sistemas médicos se han impactado?”, dice Molina.
Advierte que el problema de la seguridad industrial es la falta de cultura y hay muchos ejemplos alrededor del mundo. “Un cliente se acercó a nosotros porque estaban perdiendo 5% de la producción de petróleo. Al investigar determinamos que era un problema de fraude interno, alguien estaba cambiando los comandos, bajando la temperatura y sobrellenando los tanques. Fue un problema de gobernabilidad de sistemas y Kaspersky Lab hoy puede manejar la protección completa de sistemas industriales”.
La idea, advierte el ejecutivo, es que se tiene que cambiar la manera de hablar y crear la cultura correcta: concientización, las personas no saben que existe el problema, no entienden que si un sistema que abre y cierra una válvula, tiene un sistema operativo caduco que no se ha parchado.
“Tenemos que crear los sistemas de software correctos para estos sistemas. En dispositivos físicos necesitamos poner seguridad física, hay que saber quien entró y quien tocó los sistemas. Para los niveles 1 y 2, Karspersky Lab desarrolló soluciones específicas para sistemas industriales. No podemos vender la misma solución a un banco que a una central eléctrica. Hemos desarrollado en este sentido todo un ecosistema de proveedores, tenemos más del 80% de los sistemas industriales cubiertos. Por ejemplo, en formula 1 hay muchos sistemas industriales. Fiat es nuestro cliente y desarrollamos su protección automovilística”.
La ciberseguridad industrial es diferente
Los sistemas industriales dan prioridad a la continuidad por encima de todo; su protección no es de “datos”, sino de la disponibilidad, integridad y confidencialidad de “procesos”, nos explicaron los ejecutivos de la empresa de seguridad rusa.
De acuerdo a Kaspersky Lab, las soluciones de seguridad cibernética industrial deben incluir tres pilares fundamentales: un enfoque basado en el proceso para la implementación de seguridad, sensibilización/educación de los empleados y soluciones creadas específicamente para entornos industriales.
Kaspersky Lab ha desarrollado un portafolio completo de tecnologías, soluciones y servicios para ayudar a los clientes industriales a abordar y a gestionar los riesgos en: los errores cometidos por los operadores de SCADA o contratistas; las acciones ejecutivas (intencionales o no), infección a través de dispositivos de contratistas (medios extraíbles o conexión de red), ataques terroristas hacktivistas y cibernéticos; ataques patrocinados por el Estado; sabotaje cibernético, entre otros.
“Se debe tomar en cuenta que la aplicación de ciberseguridad industrial es un proceso que comienza con la auditoría antes de preparar a las personas para el cambio, la gente juega un papel clave en cualquier estrategia de seguridad y cada nivel de un sistema de control industrial requiere seguridad cibernética, pero no todas las soluciones de seguridad adicionales se pueden aplicar a todos los niveles”, explica Molina.
Lo cierto además es que la seguridad industrial tiene consecuencias que van mucho más allá de los negocios t la protección de la reputación. En muchos casos existen importantes consideraciones ecológicas, sociales y macroeconómicas cuando se trata de proteger a los sistemas industriales contra las amenazas informáticas.
Fuente: cwv
