Una visión global de la ciberseguridad de los sistemas de control (I)

(N.d.E. Este artículo fue publicado en el número 106 de la revista SIC, correspondiente a Septiembre de 2013. Sus autores son Óscar Navarro Carrasco, Responsable de ciberseguridad industrial, y Antonio Villalón Huerta, Director de seguridad. Ambos trabajan en S2 Grupo y pueden ser contactados vía onavarro en s2grupo.es y avillalon en s2grupo.es)
La ciberseguridad de los sistemas de control industrial y la protección de infraestructuras críticas se encuentra a caballo entre dos mundos: el de los expertos en seguridad y el de los profesionales de los sistemas industriales. Actualmente la aproximación a este problema se ha realizado exclusivamente desde una perspectiva, la tecnológica, posiblemente por incomparecencia de la otra parte. Sin embargo la aportación de ambas visiones del problema es fundamental para una adecuada protección de nuestras infraestructuras.

Es un hecho que la ciberseguridad de los sistemas de control industrial constituye una de los grandes asuntos del momento. Desde hace algunos años existe una preocupación generalizada acerca de las amenazas que se ciernen sobre estos elementos críticos para el funcionamiento de las sociedades modernas y su capacidad para enfrentarse a ellas. Sin embargo, el progreso es exasperadamente lento y, en términos prácticos, poco parece haberse avanzado. ¿Por qué? ¿Acaso la magnitud del riesgo no justificaría que se adoptasen medidas con la máxima urgencia?

Para descubrir la causa de esta aparente contradicción hay que comenzar por cuestionarse incluso lo que parece evidente. Y para empezar, nada mejor que repasar la primera afirmación de este texto:

¿Es un hecho que la ciberseguridad de los sistemas de control industrial constituye uno de los grandes asuntos del momento? ¿Constituye este asunto una preocupación generalizada?

[Read more…]

“Núcelar”. La palabra es “nuu-ce-lar” (*)

Recientemente leí un artículo publicado por Joseph M. Weiss en su blog Unfettered blog. El título reza “The system is still broken. The failure of a cyber-sensitive substation device affecting a nuclear plant” y puede consultarse aquí. El título es bastante elocuente y capta inmediatamente la atención del lector. Y ello, en mi opinión, ocurre por la combinación de tres palabras: failure + cyber + nuclear. Toda época tiene sus miedos y la nuestra, como recuerdo de la guerra fría y la posibilidad cierta de una catástrofe atómica, lo tiene al holocausto nuclear. Este terror es reforzado de tanto en tanto, de forma que nunca deja de estar presente. Tras el fin de la guerra fría vino Chernóbil, y ahora tenemos Fukushima. La bestia atómica ha actuado contra su creador en tres ocasiones: a causa de un acto de guerra en Hiroshima y Nagasaki, a causa de la incompetencia y el mal diseño en Chernóbil y, finalmente, a causa de la Tectónica de placas en Fukushima. ¿Qué será la próxima vez? En la era de las TIC un acto de ciberguerra, ciberterrorismo o ciber-mala suerte se postula como candidato para abrir la puerta del terror nuclear.... Leer Más

Algunas cosas nunca cambian

Ha vuelto a ocurrir.... Leer Más

Algunas lecciones ¿aprendidas? de Stuxnet

Suele decirse que la ignorancia es la felicidad. Del mismo modo, se acepta de forma universal la máxima contrapuesta que dice que el conocimiento es poder. Eventualmente todos hemos de situarnos en algún punto intermedio entre ambos extremos para no perder la estabilidad mental a causa de la ansiedad o sufrir un perjuicio grave a causa de una actitud excesivamente despreocupada. Sin embargo, cuando se trata de ciberseguridad de un sistema de control industrial disponer de conocimiento es algo crítico. En mi opinión, el desconocimiento de los procesos industriales por parte del lado oscuro es el dedo que tapona el agujero en el dique impidiendo que las aguas del mar invadan el terreno que éste protege. Pero, al igual que en la leyenda holandesa, no puede confiarse en que este remedio nos mantenga a salvo indefinidamente.... Leer Más

El iSOC: Un nuevo concepto de ciberseguridad

Seguro que todos hemos esbozado una sonrisa en alguna ocasión al contemplar imágenes o fotografías de extraños artilugios accionados mediante máquinas de vapor o motores de combustión interna enormemente primitivos. Estos artilugios, destinados a todo tipo de propósitos, se quedaron en experimentos fallidos ya que la tecnología empleada era totalmente inapropiada para el fin al que el inventor decidió destinarla. A nuestros ojos constituye una muestra de ingenuidad intentar hacer volar un artefacto provisto de máquinas de vapor como motores.

Sin embargo, aquellos inventores no eran tan tontos como el fracaso de sus ingenios podría hacernos pensar. Era gente inteligente (al menos no menos inteligentes que la media) que trataba de resolver los problemas de su época con la tecnología a su alcance. En el caso de las máquinas de vapor su aparición marca el inicio de la industrialización, del acceso del ser humano a cantidades de energía nunca antes vistas. El descubrimiento de esta tecnología supuso una revolución técnica y cultural sin precedentes que abrió el camino a nuestra sociedad actual. Es natural que, en el ambiente de optimismo colectivo y fe en el progreso, se viese en las máquinas de vapor la solución a todo tipo de problemas de ingeniería inabordables hasta entonces.

[Read more…]

Sistemas operativos fósiles o la falta de actualización de los sistemas de control industrial

Esta mañana he venido a trabajar en metro, como acostumbro a hacer. Cuando he pasado junto a la fila de máquinas expendedoras de billetes he visto que una de ellas estaba bloqueada y en pantalla aparecía una ventana de error con una imagen fija que identificaba el sistema operativo de la misma: Windows 2000.... Leer Más

La vulnerabilidad Aurora o cómo explotar el conocimiento de los procesos físicos

Tratar de despertar la conciencia de los riesgos en cuestiones de ciberseguridad en mis compañeros a cargo de instalaciones industriales es una tarea ardua. Hemos hablado en varias ocasiones de ello, poniendo de relevancia cómo el desconocimiento del funcionamiento y procedimientos de trabajo en los entornos TIC hace que los riesgos y mecanismos de ataque sean inconcebibles para estos ingenieros. Digo inconcebibles en el sentido estricto, es decir: no algo con una probabilidad muy baja de ocurrir, sino algo en lo que ni siquiera se puede pensar por carecer de los fundamentos culturales y la experiencia necesarios para ello.... Leer Más

Ciberseguridad en entornos industriales. La hora de despertar

En ocasiones uno tiene que hacer un esfuerzo para compatibilizar sentimientos contradictorios. Este es el caso desde que trabajo en cuestiones de ciberseguridad industrial. He pasado gran parte de mi vida profesional dedicado a trabajar en el diseño y construcción de infraestructuras públicas, especialmente en el ámbito del tratamiento de aguas. En el desempeño de mis labores como ingeniero estuve al cargo del diseño de procesos industriales y sus sistemas de control, tanto las lógicas de funcionamiento como los esquemas eléctricos de fuerza y control, las arquitecturas de las redes de control y sus componentes, etc. En definitiva, los procesos y los sistemas SCADA asociados. Me gustaría creer que hice un buen trabajo.... Leer Más

Seguridad en entornos industriales: el ciclo proyecto – construcción – explotación

En anteriores entregas hemos repasado algunos aspectos específicos de la protección de los sistemas de control industrial desde el punto de vista de la ciberseguridad, incluyendo los aspectos culturales y humanos (Seguridad en entornos industriales: el primer paso, Seguridad en entornos industriales: aspectos específicos). Teniendo como premisa de que el planteamiento en este ámbito debe ser global hoy vamos a hablar de la forma en que se ejecutan gran parte de las obras públicas en España (muchas de las cuales serán, probablemente, infraestructuras críticas): se trata del proceso de construcción en tres fases, proyecto, obra y explotación.

En demasiadas ocasiones estas fases constituyen compartimentos estancos con escaso flujo de información. Durante la construcción intervienen la consultora de ingeniería redactora del proyecto, la empresa contratista y sus subcontratas y proveedores, la Administración adjudicataria a través de sus directores de contrato y obra y sus asistencias técnicas. En la gran mayoría de los casos los máximos responsables de las obras son personas con gran formación y experiencia en el ámbito de la obra civil, pero con muy poca en cuestiones industriales y de sistemas de control. Por tanto, las empresas subcontratistas y proveedores poseen en este ámbito una autonomía mucho mayor de la que sería deseable y es posible que decisiones como la arquitectura, conexión a Internet de un sistema de control, contraseñas, configuración de perfiles, etc. se tomen por personas que ni tienen la visión global necesaria ni la conciencia de la importancia de las mismas (hemos visto como se utiliza la posibilidad de conexión a Internet de un sistema de control, totalmente innecesaria por otra parte, como argumento de venta).

[Read more…]

Seguridad en entornos industriales: aspectos específicos

Hace unos días introdujimos un concepto esencial en la seguridad en entornos industriales: la importancia de los aspectos humanos, organizativos y culturales. Como vimos, se trata de un primer paso esencial para garantizar el éxito de una estrategia integral de seguridad.

Hoy vamos a continuar nuestro viaje hacia los sistemas industriales introduciendo algunas características de los mismos que imposibilitan la aplicación directa de las técnicas propias del entorno TIC y cuya comprensión es imprescindible antes de abordar su protección.

La duración del ciclo de vida del equipamiento

La velocidad de la evolución tecnológica en las TIC es vertiginosa. Los equipos quedan obsoletos en un plazo que se mide en unos pocos años (a lo sumo). Ello permite que las innovaciones en cuestiones de seguridad puedan implantarse en un plazo breve, tan pronto como el equipamiento es reemplazado por otro de nueva generación. Por el contrario, el ciclo de vida de la maquinaria industrial y sus sistemas de control se mide incluso en décadas (sí, habéis leído bien). Por tanto hay que enfrentarse a un parque de sistemas heredados diseñados y construidos de espaldas a los requerimientos de seguridad actuales y que van a seguir en funcionamiento durante mucho tiempo.

[Read more…]