CEFIROS

Como establecer una arquitectura de seguridad en 3 niveles para sistemas SCADA - Parte 1

18.07.17 11:24 AM Por Marcos Caballero

Los centros de operación de control industrial, están sujetos a una constante demanda de incremento de productividad y disminución de costes, junto con el cumplimiento normativo; y es en este punto donde la consultoría y la tecnología, y siempre en este orden, puede ayudar a los diferentes participantes y a la propia compañía, a estar preparados ante las amenazas surgidas al interconectar el mundo OT (Operational Technology) con el mundo IT (Information Technology), y poder de esta manera, estar preparados para remediar las consecuencias de la interconexión de los dos mundos, ya sea hacia la red corporativa o hacia sistemas de terceros (mantenedores, etc.)

Actualmente, la mayoría de las empresas que tienen sistemas OT, los tienen conectados directamente a la red corporativa de manera directa, sin ningún tipo de control o vigilancia sobre los accesos, y necesitan cubrir estos puntos principalmente:

  • QUIÉN
  • CUANDO
  • DESDE DONDE
  • PORQUÉ

Con estas premisas, y teniendo en cuenta la parte de cumplimiento normativo que se aplica en cada sector, debemos tener claro, previo al diseño, los siguientes puntos:

  • Necesidades operacionales
  • Flujos de información
    • Activos
    • Pasivos
  • Criticidad del ambiente

Antes de entrar en materia, os pongo un poco en antecedentes, para dar perspectiva a la necesidad real de proteger estos sistemas.

¿Son los sistemas industriales un objetivo estratégico?

Si observamos la línea de tiempo, y solo son los más representativos, hay incidentes de ciberseguridad en entornos industriales desde hace más de 20 años, si bien es cierto que los sistemas de seguridad de hace 25 años, no son como los de hoy en día y los entornos estaban separados, no se tenía en cuenta la premisa de Seguro por Definición, ya que priman la disponibilidad y la funcionalidad VS la seguridad de la empresa; y hablamos de seguridad de la empresa, dado que es ella la que se ve expuesta a estos incidentes, y es su imagen la que se daña, con el consecuente, además, impacto económico.

Como consecuencia de los últimos incidentes publicados y conocidos, y a la GDPR en menor medida, las empresas son más conscientes del riesgo que sufren y las repercusiones que pueden tener estos incidentes. Tal y cómo comentaba en la entrada anterior, un ejemplo práctico podría ser el sistema de control de una presa: si alguien se hace con el control, ¿quién le impide el cierre de compuertas para generar electricidad?, ¿qué efectos tendrían si la presa sigue soltando agua aún con peligro de desbordamiento o rotura?, ¿qué efectos y consecuencias tendrían?, no sólo serían económicos, también en infraestructura y sobre la población (“humanos”).

Problemas principales

A la hora de sentarnos a diseñar una estrategia y arquitectura, nos encontramos principalmente con estos “hándicaps”:

Elemento

Standard IT

Sistemas Industriales

Protección del End Point

Ampliamente Utilizado

Despliegue limitado y con cautela

Tiempo de vida del Sistema

3-5 Años

Hasta 20 años

Outsourcing

Práctica Aceptada

Uso limitado

Parcheado

Regularmente

Lento –  Requiere aprobación y pruebas del proveedor de la tecnología

Gestión de Cambios

Regularmente

Requiere tiempos largos

Retraso en Trabajos

Tolerable en ciertos casos

Puede tener grave impacto

Concienciación y Habilidades en Seguridad

Buena

Limitada entre los operadores remotos

Testeo de Seguridad

Extendido

Limitado y con cautela

Seguridad Física

Atendido, Presencial

Buena, puede existir sistemas desatendidos (cámaras, sensores, etc)

Monitorización

Extendida, se controlan todos los posibles puntos de problemas.

Se monitoriza solo la actividad “física” de la industria, temperatura elevada de un reactor, funcionamiento de las compuertas. Pero no se vigila, esas comunicaciones, ni quien accede.

 

Teniendo claro estos “hándicaps”, los puntos y las premisas necesarias para mantener el sistema seguro, planteamos como definirlo e implementarlo. Estos puntos los veremos otro día.