Los centros de operación de control industrial, están sujetos a una constante demanda de incremento de productividad y disminución de costes, junto con el cumplimiento normativo; y es en este punto donde la consultoría y la tecnología, y siempre en este orden, puede ayudar a los diferentes participantes y a la propia compañía, a estar preparados ante las amenazas surgidas al interconectar el mundo OT (Operational Technology) con el mundo IT (Information Technology), y poder de esta manera, estar preparados para remediar las consecuencias de la interconexión de los dos mundos, ya sea hacia la red corporativa o hacia sistemas de terceros (mantenedores, etc.)

Actualmente, la mayoría de las empresas que tienen sistemas OT, los tienen conectados directamente a la red corporativa de manera directa, sin ningún tipo de control o vigilancia sobre los accesos, y necesitan cubrir estos puntos principalmente:

• QUIÉN
• CUANDO
• DESDE DONDE
• PORQUÉ

Con estas premisas, y teniendo en cuenta la parte de cumplimiento normativo que se aplica en cada sector, debemos tener claro, previo al diseño, los siguientes puntos:

• Necesidades operacionales
• Flujos de información
• Activos
• Pasivos
• Criticidad del ambiente

Antes de entrar en materia, os pongo un poco en antecedentes, para dar perspectiva a la necesidad real de proteger estos sistemas.

¿Son los sistemas industriales un objetivo estratégico?

Si observamos la línea de tiempo, y solo son los más representativos, hay incidentes de ciberseguridad en entornos industriales desde hace más de 20 años, si bien es cierto que los sistemas de seguridad de hace 25 años, no son como los de hoy en día y los entornos estaban separados, no se tenía en cuenta la premisa de Seguro por Definición, ya que priman la disponibilidad y la funcionalidad VS la seguridad de la empresa; y hablamos de seguridad de la empresa, dado que es ella la que se ve expuesta a estos incidentes, y es su imagen la que se daña, con el consecuente, además, impacto económico.

Como consecuencia de los últimos incidentes publicados y conocidos, y a la GDPR en menor medida, las empresas son más conscientes del riesgo que sufren y las repercusiones que pueden tener estos incidentes. Tal y cómo comentaba en la entrada anterior, un ejemplo práctico podría ser el sistema de control de una presa: si alguien se hace con el control, ¿quién le impide el cierre de compuertas para generar electricidad?, ¿qué efectos tendrían si la presa sigue soltando agua aún con peligro de desbordamiento o rotura?, ¿qué efectos y consecuencias tendrían?, no sólo serían económicos, también en infraestructura y sobre la población (“humanos”).

Problemas principales

A la hora de sentarnos a diseñar una estrategia y arquitectura, nos encontramos principalmente con estos “hándicaps”:

Teniendo claro estos “hándicaps”, los puntos y las premisas necesarias para mantener el sistema seguro, planteamos como definirlo e implementarlo. Estos puntos los veremos otro día.

Con la creciente dependencia de la tecnología para automatizar y simplificar nuestro día a día, ya sea personal o laboral, estamos entrando una época de CiberAtaques, los cuales son fáciles de implementar, con impacto global y pueden ser catastróficos dependiendo del sector afectado. Si bien siempre escuchamos la típica frase, a mi quien me va a atacar, pero los últimos acontecimientos nos indican mas bien lo contrario, todo el mundo es susceptible de sufrir un ataque con resultados, cuanto menos desagradables para la compañia.

Las ideas que se nos pasa por la cabeza si el control de una planta de Gas o una refinería, cae bajo el control de un grupo no deseado, no son muy buenas que digamos.

Si recordamos el incidente de BP en 2008, cuando una de sus plataformas tubo una explosión de uno de esos gasoductos que van por la plataforma, suponiendo una perdida diaria para BP de unos 5M $ al día, con el consecuente impacto ambiental, y problemas de tráfico marítimo durante casi un mes, lo que repercute adicionalmente en otras areas. A pesar de tener todo controlador, con sensores de presión, circuitos de Video, no saltó ni una alarma al respecto hasta que fue demasiado tarde. Este tipo de incidentes, llamó a la atención de la mayoría de las agencias de seguridad globales, ya que, aunque esto, aparentemente, fue un accidente fortuito, realmente fue un "fallo" al dar ciertas ordenes desde la consola de control, y esto a dado que pensar a las agencias, en que pasaría si un tercero controla estas infraestructuras. Por ello desde el gobierno de España se impulsó la LPIC.

Serias consecuencias de un Ciber Ataque en estos sectores

Estos dos sectores, Gas & Petroleo, son uno de los primeros en el que los ciberdelincuentes piensan, justo detrás de energía (véase el ataque a las centrales eléctricas de Ucrania), cuya diferencia es un escaso 2% según las estadísticas. La razón de atacar estos sectores, es por el daño que se puede realizar, no solo a la compañía si no a todo lo que depende de ella.

Sus consecuencias pueden ser:

• Sabotajes de la planta de tratamiento de Gas o de las refinerías.
  
• Derrames de Petróleo no planificados o indefectibles.
  
• Interrupción de la provisión de servicio de Gas, imaginad esto en invierno.
  

Y todas estas amenazas podrían llevar a un desastre en cuestión de minutos. La industria debe proteger ciertas áreas específicas como:

• Tuberias, refinerias y tanques
  
• Torres de bombeo o de regularización de presión
  
• Sistemas de comunicaciones
  
• Archivos y datos sensibles
  

Aqui la GDPR aplica mas bien poco, pero imaginar encontrar en la darkweb información sobre como desviar el trafico de gas de un gaseoducto, o elevar la presión del mismo, imaginad el impacto que puede tener, tanto ambiental como económico.

Por ello, los distintos gobiernos han impulsado los diferentes planes de protección de este tipo de infraestructuras, por ejemplo en Estados Unidos, han impulsado las regulaciones para las empresas químicas (CFATS), para las eléctricas (NERC CIP) u otras como API, ISA/IEC y INGAA, convirtiéndose  como un estándar en los últimos años. 

En España tenemos:

• Ley 8/2011 por la que se establecen medidas para la Protección de las Infraestructuras Críticas
  
• R.D. 704/2011 por la que se aprueba el Reglamento para la Protección de las Infraestructuras Críticas
  
• R.D. 393/2007 Norma Básica de Autoprotección de Centros y  Establecimientos
  
• Estrategia de Seguridad Nacional
  
• Estrategia de Ciberseguridad Nacional

Dado el gran de número de empresas con exposición de datos clasificados, (como funciona un gaseoducto o los datos de presión de los tanque de almacenamiento), el mantenimiento de estos sistemas de manera seguros plantea un serio reto a la industria, y por ende a sus proveedores de servicios. Por ello, con estos simples controlores o medidas de control, podemos evitar ciertos riesgos o minimizar otros.

• Evaluación de problemas
  
•   Instalar software de seguridad para ayudar a identificar los problemas en los sistemas y alertar a los equipos pertinentes tan pronto como se detecte. Por lo general hablamos de sistemas de Monitorización y control, backups de los sistemas, autorización de acceso a los sistemas.
• Control de Acceso
• Implementar un sistema de control de accesos a las consolas de control,  que garantice que los datos son accesibles por el personal adecuado. Por ejemplo, controlar los accesos a los paneles de control de presiones de gas. Este tipo de usuarios, deben ser los que se les ponga foco, por si realizan algo de manera inconsciente o tienen sin comportamiento sospechoso.
• Monitorización de los Empleados
• La gran controversia, monitorizar a los empleados que tienen acceso a datos sensibles o ha controles críticos, para que si realizan alguna tarea que no les corresponde, o intentan acceder a recursos que no requieren, dejar constancia de ello y. así vez, cortar estos comportamientos, deteniendo la aplicación, o bloqueando al usuario.