Analizando los riesgos en los sistemas de control de infraestructuras críticas

Como pudo verse en anteriores entradas, las infraestructuras críticas y los ICS están destinados a coexistir de manera inevitable, y el porqué de ello reside precisamente en el componente principal a analizar a lo largo del presente artículo, el riesgo. El riesgo, según la propia RAE (Real Academia Española), se define como la posibilidad o proximidad de que un daño suceda o no suceda ^[1]. Este concepto, extrapolado al contexto de las infraestructuras críticas y sus sistemas de control, adquiere un cariz realmente delicado si tenemos en cuenta que se trata de un mundo en el que el fracaso no es una opción.

En las infraestructuras críticas existen, como ya pudimos ver en el primer artículo, diferentes tipos de sistemas de control disponibles para este tipo de sectores. Sin embargo, a pesar de la existencia de los mismos, el riesgo que presenta este tipo de infraestructuras sigue siendo notable debido a su propia naturaleza.

Potenciales riesgos

Según un informe elaborado por el propio CCN-CERT (Centro Criptológico Nacional Computer Emergency Response Team) ^[2], en este tipo de entornos está presente una serie de riesgos que amenazan a menudo la integridad de todos estos sistemas de control, identificando los siguientes riesgos/amenazas:

• Trabajo de terceros.

En este punto se enmarca el trabajo que se realiza por parte de terceras empresas en estos entornos. Es frecuente que  las  organizaciones cuenten de  manera  continua  con  terceras  empresas  para  llevar  a cabo tareas que, sin ser parte  del proceso industrial principal, son imprescindibles para el correcto funcionamiento del mismo. Los empleados de estas empresas puede que no se les aplique políticas de privacidad para terceros, controles de acceso adecuados, etc.

• Interconexiones con otras redes.

Se refiere a la segmentación inadecuada de las redes o la red corporativa de este tipo de infraestructuras. Controles de acceso mal ejecutados, redes sin monitorización, interconexiones no documentadas que pueden ser sumideros de información, etc.

• Gestión deficiente de copias de seguridad

Copias de seguridad no verificadas, no actualizadas o inexistentes. Incluso mala gestión de almacenamiento y protección de las mismas, dificultando su acceso o dando lugar a situaciones confusas.

• Falta de concienciación del personal.

Se refiere al uso inadecuado de los equipos disponibles en las infraestructuras, publicación desmedida de información en perfiles personales de RRSS, etc.

• Gestión de cambios inadecuada.

Políticas de gestión de cambios no verificadas o que no incluyen o excluyen procedimientos necesarios.

• Inexistencia de planes de gestión de incidentes y continuidad.

Planes que contemplen fallos críticos en los sistemas y su respuesta ante estos, así como cuestiones de ciberseguridad que cada vez están más presentes en estos entornos debido a su exposición.

• Gestión de la información deficiente.

Intercambios de información mediante plataformas no verificadas, envío de información sensible o información excesiva que puede comprometer la seguridad, mala gestión de documentos internos, etc.

• Gestión deficiente de software.

Falta de actualizaciones y parches de seguridad en los equipos del ICS, inexistencia de inventario de programas y versiones, falta copias de seguridad.

• Gestión deficiente de responsabilidades y gestión de la seguridad.

Inexistencia de responsables de ciberseguridad, propietarios de los activos del ICS, procedimiento de transferencia de los mismos, borrado seguro de equipos, etc.

• Gestión deficiente de credenciales de usuarios.

Contraseñas que no se renuevan, credenciales análogas entre sistemas diferentes, inexistencia de controles de acceso, inicios de sesión automáticos en ciertos equipos del sistema, etc.

• Falta de gestión técnica de la seguridad y sistemas.

Se refiere a controles de tráfico de la red del ICS, gestión de vulnerabilidades, cortafuegos, segmentación de redes, uso de cifrado en interconexiones o evaluaciones periódicas de la seguridad del sistema.

Todos los anteriores, forman parte de posibles escenarios de riesgo que se dan a menudo con mayor asiduidad de la que pensamos en este tipo de infraestructuras que son críticas. No obstante, también podríamos identificar más riesgos aún si cabe ^[3], como podrían ser ataques de denegación de servicio (DoS/DDoS), alteraciones de datos que afecten a su integridad, riesgos que presenta la utilización de dispositivos IoT ^[4] o incluso ataques terroristas. También cabe resaltar que a medida que la soluciones ICS se sustituyen por hardware y software comerciales que utilizan estándares de código abierto (Ethernet, TCP/IP, Wi-Fi…) el número de vulnerabilidades potenciales crece exponencialmente, al igual que la proliferación de dispositivos móviles.^[5]

Si echamos un vistazo rápido a todos los anteriores, podemos comprobar cómo gran parte de estas amenazas son compartidas con otros sistemas como los TI, de hecho, en muchos de ellos son estos sistemas los que están directamente involucrados; a fin de cuentas, la modernización de este tipo de infraestructuras e implantación de sistemas de control trae consigo este tipo de problemas intrínsecos que hay que tener en consideración ya que pueden suponer efectos colaterales en el funcionamiento de los procesos; la integración de los tradicionales sistemas IT con los sistemas operacionales u OT (Figura 3) es un desafío que aún está abierto^[6]. Además, durante mucho tiempo la barrera física que separaba este tipo de infraestructuras de elementos externos ha sido inexpugnable, sin embargo, hoy día la proliferación de interconexiones entre diferentes sistemas y redes también ha tenido su entrada en este ámbito, algo que se debería tener en consideración igualmente. Aunque buena parte de la tecnología que sustenta los ICS es extremadamente robusta y fiable, no fue diseñada para ser accesible desde redes remotas, sino para un acceso físico restringido.

Conclusiones

En conclusión, de lo anteriormente expuesto se desprende que los riesgos que presentan los ICS no hacen más que aumentar proporcionalmente junto con la aparición y utilización de nuevas tecnologías o soluciones en los procesos de estas infraestructuras. Controlar todos y cada uno de estos aspectos potencialmente problemáticos debe ser considerado primordial en un sector con estas características.

Referencias

[1] RAE. Riesgo. s.f. https://dle.rae.es/riesgo (último acceso: 21 de noviembre de 2020).

[2] CCN-CERT. «Amenazas y análisisde riesgos en Sistemas de Control Industrial (ICS).» Informe de Amenazas, 2016. https://www.ccn-cert.cni.es/informes/informes-ccn-cert-publicos/1381-ccn-cert-ia-04-16-amenazas-y-analisis-de-riesgos-en-sistemas-de-control-industrial-ics/file.html (último acceso: 21 de noviembre de 2020).

[3] Computing. Los 9 riesgos de los sistemas de control industrial. 20 de febrero de 2020. https://www.computing.es/infraestructuras/noticias/1116511001801/9-riesgos-de-sistemas-de-control-industrial.1.html (último acceso: 22 de noviembre de 2020).

[4] Carlos Barreto, Himanshu Neema y Xenofon Koutsoukos, Vanderbilt University. «Attacking Electricity Markets through IoT devices.» Computer, 2020: 55-62. (último acceso: 22 de noviembre de 2020).

[5] Fortinet. «Seguridad de los Sistemas de Control Industrial con Fortinet.» Seguridad de principio a fin conforme a la norma IEC-62443. 2017. 3. (último acceso: 22 de noviembre de 2020).

[6] Dimitrios Serpanos, ISI/ATHENA y University of Patras. «The cyber-physical systems revolution.» Computer, 2018: 70-73. (último acceso: 22 de noviembre de 2020).