1

Abre los ojos!

Llegamos a la parte final, la que le da sentido a todo lo anteriormente escrito y es que la asignatura ha llegado a su fin y con ella tenemos que valorar todo lo aprendido en este grandioso e interesante camino, por lo tanto vamos a recapacitar un poco en que es lo que hemos aprendido. Pudimos ver la importancia de valorarnos, de no dejarnos nunca fuera de nuestra planificación, de nuestra visión y sobre todo de nuestra valoración y como bien decía el primer post: Lo primero somos nosotros!

También hemos aprendido a tratar con las personas, a saber escucharlas y el por qué eso es una cualidad que todo líder necesita tener y sobretodo la gran importancia que tienen las personas dentro de cualquier empresa, aunque, no necesitemos una empresa para reconocer el valor de la gente y la necesidad de tratar bien a todo el mundo.

Con todo esto llegamos al final, hemos crecido como personas a la vez que crecíamos como tecnólogos, sabemos actuar en la vida, sabemos tratar con la vida y además tenemos los conocimientos necesarios en tecnologías relacionadas con la informática, ahora, solo nos queda abrir los ojos, despertar, ver qué pasa a nuestro alrededor y descubrir que nos depara el futuro, hacia donde va encaminado y que será lo importante de aquí en adelante.

Y cuál es el futuro? Cuál es nuestro Futuro? Es complicado deducir nuestro futuro, que decisión tomar, que es lo que más nos puede gustar dentro de toda la informática. En mi caso concreto las dudas son ingentes, me gustan muchas cosas y a la vez me gustaría seguir mi carrera profesional de muchas maneras también, Por lo que, voy a abrir los ojos, voy a analizar los datos intentando conseguir alguna conclusión que me ayude a tomar una decisión.

Hoy en día todo se está digitalizando, virtualizando, IoT está consiguiendo conectar a internet todas las cosas que nos podamos imaginar, cucharas que te dicen la temperatura de la comida, domótica, macetas que miden la humedad de la tierra… Dentro de poco hasta las suegras vendrán con Bluethood, USB  y wifi! Intentamos crear un mundo virtual a partir de un mundo físico para poder darle muchísimas más prestaciones a los aparatos de toda la vida. Todo ese movimiento, genera ciertas consecuencias como son la cantidad de datos que se pueden obtener ahora mismo de muchísimas cosas.

Aquí nace un nuevo movimiento, otra forma de ver las cosas, instrumentos que antes eran tan simples como utensilios de cocina o herramientas para realizar cualquier acción, ahora son emisores de datos, todo lo que podamos imaginar ahora mismo genera datos, información y los grandes empresarios no dejan desperdiciar esa información, han encontrado un filón en todo esto. Y es que los datos son información y la información es poder: poder de decisión, poder de conocimiento y poder para incrementar ganancias, productividad y demás cosas dentro de una empresa.

Como consecuencia, estamos viendo crecer tendencias relacionadas con los datos y también crecer las tecnologías relacionadas con los datos. Big data y BI están ahora mismo en la cresta de la ola, todo el mundo quiere sacar partido de la información que generamos y estas son las mejores herramientas para dicha intención. Big data se ocupa del tratamiento de datos, buscar los importantes, eliminar el «ruido» de cantidades tan grandes de datos, es imprescindible usarlo si queremos agilizar el proceso. Pero, el que obra la magia es BI, convierte los datos en decisiones, en conclusiones y las lleva a la producción de una empresa, a los beneficios, a los procesos o incluso a su manera de trabajar. Los sistemas de BI está haciendo ganar muchísimo dinero a los empresarios que las implantan, y es que analizar bien tu trabajo para eliminar procesos nulos, mejorar procesos primordiales o incluso hacerte conocer mejor las condiciones del negocio en el que estas, es una mejora impresionante para cualquier empresa que se precie.

Pues volvemos a lo anterior, tenemos el conocimiento, el impulso, la actitud, los datos y necesitamos una decisión, por lo tanto, implantemos un sistema de BI en nuestra persona, analicemos todos esos datos que nos lleven a una conclusión. Importante, nunca lo olvidéis, tener en cuenta lo que os gusta, no todo es conocimientos, tendencias, que trabajo está ahora en alza o en cual nos puede ir mejor. Lo importante es saber en qué trabajo vais a estar a gusto y sobre todo, algo que habréis escuchado muchas veces pero que por eso no le falta razón: Si trabajáis en algo que os gusta, nunca vais a trabajar, y os pagaran por ello!

No quería despedirme sin dar las gracias a esta asignatura y sobre todo a ti Pablo, gracias por enseñarnos los conocimientos necesarios para la asignatura, pero en especial por enseñarnos a ser personas, por enseñarnos a ver más alla de un trabajo, por hacernos valorar, por darnos un impulso cada día, por ayudarnos a entender a las personas y por ayudarnos siempre que lo hemos necesitado. Tengo que reconocer que ha sido una asignatura muy especial en la que hemos podido aprender de una manera distinta y muy reconfortable, pero sobretodo por hacernos sentir a todos iguales, incluido el profesor. Gracias Pablo!!




Líderes

“Liderazgo”, una palabra interesante, pero sobre todo, una palabra desconocida, y es que si preguntas a todo el mundo, todos te dirán que saben perfectamente cuál es el significado de esa palabra, que es una descripción sencilla, y no les faltaría parte de razón, pero, a la vez la mayoría estarían equivocados.

Tendemos a enlazar liderar con mandar, pero estamos muy confundidos, liderar no tiene nada que ver con mandar, un líder no manda, le siguen, y le siguen por como es, por la persona que es. Seguro que todos habéis escuchado la frase del líder natural o el líder impuesto, son muy diferentes, me atrevería a describirlo como algo totalmente opuesto, y es que el líder no se impone, los seres humanos no atendemos a imposiciones, ante las imposiciones nos cerramos, ya que se ponen en juego nuestro orgullo y nuestro autoestima. Sin embargo, somos muy dados a que nos seduzcan, a que nos quieran y nos mimen a la vez que nos dirigen y educan. Eso es lo que convierte a una persona en líder, su personalidad.

Realmente que es lo que define a un líder, cuál sería la fórmula mágica? No existe una concreta, no hay una formula específica, pero si tenemos muchos conceptos que sirven de ayuda, y que sin ellos un líder carecería de liderazgo. Para empezar un líder tiene que ser empático, ponerse siempre en el lugar de quien trata de liderar, de esa manera podrá actuar de la manera en la que todo el mundo se puede sentir más tranquilo, además esto sirve para todos los casos: cuando tienes que pedir algo, cuando tienes que dar una mala noticia, cuando quieres demostrar confianza a alguien o bien cuando tienes que regañarle.

Esto además te da un plus de comprensión. Para que un líder comprenda los posibles “fallos” de otras personas, tiene que ponerse en su situación, y de esa manera le será mucho más fácil comprenderles, y por consecuente su actitud será diferente. Pero sobre todo, tiene que ser un ejemplo a seguir, un modelo para el resto de la gente, y no me refiero a estudios o habilidades no, sino un ejemplo como persona, pedir respeto dando respeto, pedir comprensión, dando comprensión… Puede que os cueste entenderlo pero vamos a imaginar una cosa, jugad a un juego conmigo, suponed que tenéis a un líder, que no escucha a nadie, que simplemente por tener una posición o por creerse un líder no escucha a nadie más y que solo vale su opinión y la impone a todo el mundo. Venga va imaginároslo. Seguro que tenéis muchos casos conocidos que sean de ese estilo. Que no se os ocurre ningún caso? Bueno no os preocupéis, os enseño yo un ejemplo para que sepáis de qué estoy hablando.

Que os parece? Es un ejemplo muy válido no? Pues como creéis que esa persona puede liderar a alguien? Vosotros confiaríais en alguien que no escuchara y que solo quisiera imponer su idea? Sabéis perfectamente que en 5 minutos dejaríais de verle como un líder, no tendría vuestra confianza ni para cruzar la calle.

Pues este modelo sirve también para los sistemas de información igual que para todos los campos de la vida, y es que la diferencia de un buen proyecto radica sobre todo en un buen líder, que sea capaz de gestionarlo y dirigirlo. En este caso, vamos a analizarlo más en profundidad, que cosas serían necesarias en nuestro líder de un sistema de información? Comunicación, sin comunicación ningún proceso puede llevarse con normalidad y mucho menos con eficacia y eficiencia. La comunicación tiene que ser nuestra brújula, la que nos guie en todo momento.

Otro aspecto importante sería la confianza, debe de ser la base de un buen líder, con confianza la gente trabaja mejor, trabaja contenta, motivada y confiando ella misma más que nunca. También tiene una gran importancia la empatía, se debe de usar para conversar de forma activa, la escucha activa es importantísima ya que con ella seremos capaces de hacernos entender de mejor manera, y no por que nos expliquemos de manera diferente, sino porque a la vez que hablamos estamos escuchando y de esa manera podemos hablar desde la situación del empleado, esto fomentara el dialogo y la predisposición del trabajador.

Por lo tanto, un buen líder no debe mandar, no debe exigir, sino ser comprensivo, dialogar y ser una persona ejemplo para el resto de los empleados, de esa forma será capaz de dirigir el barco teniendo en su poder la confianza de todo el mundo. Hará que la gente le siga y será de manera sencilla, ya que todo el mundo se sentirá a gusto con el líder y con su cambio. De esta manera los sistemas de información podrán avanzar, evolucionar y mejorar con la ayuda de todos, provocando estabilidad en el trabajo y sobre todo un entorno en el que estar a gusto, ya que, se borra la imagen de jefe y aparece la de líder.

 




Sistemas de control industrial.

Me fascina la evolución del ser humano, me fascina ver como después de crear el fuego, la rueda, la tecnología y un montón de mil cosas más, sirven de base para que la evolución avance a todavía más velocidad hasta el punto de que casi ni nos damos cuenta de su avance. Hemos pasado de evolucionar lentamente a que las cosas que construimos se nos queden obsoletas en una media de tres años, porque enseguida hay alguien que es capaz de mejorarlo, ya que, tenemos los medios suficientes para realizar grandes avances. A los sistemas de control industrial les ha pasado lo mismo, no son una excepción, y es que desde que Ktesibios creara el reloj de agua o Clepsydra, hasta la revolución industrial, los avances eran muy lentos. Las bases tanto tecnológicas como científicas tenían un recorrido demasiado corto, pero con la revolución industrial todo cambió, empezó a dársele mucha importancia y las bases para ellos iban creciendo, cosa que provocó que incrementara en gran medida esa velocidad de evolución al punto de convertirla en vertiginosa, que es para mí en el momento en el que estamos en la actualidad.

sistemas-scada

Pero la evolución no solo les trajo cosas buenas, en un principio los sistemas de control industrial avanzaban muy rápido, eran seguros y fuera de la propia empresa no tenían un interés demasiado grande. Digamos que evolucionaban felices sin que nadie les acechara, pero un día eso se acabó, la evolución empezó a dañarles, la entrada de Ethernet, TCP/IP y las tecnologías Web los dejaba vulnerables, cosa, que dio lugar a que los hackers comenzaran a fijarse en ellos. Eran sus nuevos juguetes, y se empezaban a divertir comprobando sus límites, hasta donde podían llegar y mirando que cosas encontraban.

Esto podía quedarse en una mera anécdota, pero no, las cosas no eran tan sencillas, los sistemas de control industrial estaban presentes en demasiadas áreas críticas de demasiadas empresas importantes, hasta el punto de ser la llave de incidentes muy dañinos tanto como para las personas, el medio ambiente, como la economía de las ciudades e incluso países enteros.  Además, hasta esa época los sistemas de control industrial, no habían necesitado ser defendidos, no tenían ni el conocimiento ni la experiencia suficiente como para protegerlos, por lo que hacía más peligroso el interés de los hackers en ellos. Para colmo, los gobiernos empezaron a ver que podían sacar tajada de estas cosas, y su interés… no suele traer nada bueno, así que comenzaron a tomar parte en ello, como ejemplos tenemos los móviles Huawei, que están en constante envío de información a China con miles de datos sobre nosotros, o los interés de muchos países en saber cómo funcionan las infraestructuras de otros países para mejorar las suyas propias.

La información es poder, y todo el mundo quiere información así que, en esta parte entran en juego los sistemas SCADA (Supervisory Control And Data Acquisition) el control de datos es muy atacado por muchas y diversas fuentes. Debido a todo esto los riesgos son muy grandes y los ICS se exponen a grandes ataques, hoy en día sufren el 51% de todos los ciberataques, y es que los hackers solo tienen que emplear técnicas como los fuzzers, que son programas que se  envían a las aplicaciones y tratan de encontrar vulnerabilidades para retornarlas, de esa manera, en cuanto el hacker recibe el fallo  que contiene el sistema ya tiene vía libre para entrar y crear sus propios comandos con todo lo que eso conlleva.

hackers

Los motivos que hacen que los sistemas de control sean tan vulnerables son: Que no requieren autentificación, ni autorización,  no usan cifrado, no manejan adecuadamente los errores y no suelen guardarse Logs sobre ellos. Así que los hackers pueden generar ataques muy diversos sobre ellos, suplantando identidades, denegando servicios, accediendo a muchos tipos de información clasificada al que no deberían de poder acceder, manipulando esos datos….

Pero no os preocupéis, como todo en esta vida tiene solución, los sistemas de control industrial no se quedan atrás, y es que gracias a nuestra querida asignatura sabemos que auditando las cosas ponemos soluciones a problemas dentro de todas las estructuras y departamentos de una empresa. En este caso en particular he buscado los estándares que más se puedan ajustar a sus características y a los posibles riesgos, lo que me llevó a centrarme en los estándares de seguridad,  concretamente en la seguridad de la información ISO 27002.

Por lo tanto, definiría los sistemas de control como unos sistemas que han evolucionado a la vez que toda la tecnología en general aunque en esta última época por desgracia se hayan visto vulnerables con la entrada de las nuevas tecnologías basadas en internet. Si a todo eso le sumamos que los sistemas de control están ubicados en lugares tan críticos como controladores en empresas con un gran poder destructivo, los hacen todavía más peligrosos. Por suerte y gracias a la auditoria, tenemos una gran serie de controles que harán de métodos preventivos ante ataques. Todo esto nos lleva a comprender la gran importancia que tienen los sistemas de control para una empresa y la necesidad de protegerlos.

 

Referencias:

http://www.isaca.org/chapters8/Montevideo/cigras/Documents/CIGRAS2015/CIGRAS-2015.09.10-09-Ciberataques%20Estamos%20Preparados-Enrique%20Larrieu-Let.pdf

http://www.infoplc.net/actualidad-industrial/item/103719-scada-punto-mira-ciberataques

http://www.infiernohacker.com/bugs-y-exploits/que-es-un-fuzzer-y-para-que-sirve/

Los sistemas SCADA y su exposición ante ataques informáticos

Industrial Control Systems and Risks

Comienza la ciber guerra!!

Ciberataques que pueden arrasar una ciudad!

A los escudos!! Vamos a controlar esto!

http://ieeexplore.ieee.org/document/7744960/




A los escudos!! Vamos a controlar esto!

Hasta ahora, hemos visto los grupos en los que se dividen los sistemas de control industrial debido a su naturaleza, y los ataques que pueden sufrir dichos grupos a manos de los hackers y los impactos que estos provocan, pero, todos esos incidentes como se pueden parar? Que amenazas tenemos que valorar para que eso no pase? Deberíamos anticiparnos a ellos y para eso tenemos que analizar todo muy a fondo. Gracias a El CCN-CERT y a su guía, tenemos una amplia especificación ERS (escenarios de riesgos) en sistemas de control industrial que nos darán una idea clara de las vulnerabilidades de cada sistema y las posibles amenazas. Así que, trabajemos como auditores, juguemos al juego de auditar. Vamos a Coger varias situaciones de riesgo dentro de los sistemas de control industrial y buscar los controles adecuados para auditar dichas situaciones. Aquí tenéis la tabla resuelta.

 

 

ESCENARIOS DE RIESGO             CONTROLES
·         En dispositivos portátiles
o   Copias de seguridad de información de la lógica en ejecución en discos duros externos. 8.3.1 Gestión de soportes extraíbles.

10.5.1 Copias de seguridad de la información.

11.2.1 Emplazamiento y protección de equipos.

11.2.6 Seguridad de los equipos y activos fuera de las instalaciones.

12.3.1 Copias de seguridad de la información.

o   Uso de USB para el traspaso de información. 8.3.1 Gestión de soportes extraíbles.

11.2.7 Reutilización o retirada segura de dispositivos de almacenamiento.

·         En trabajo de terceros
o   Conexión con equipos PC portátiles no revisados al sistema de control. 6.2.2 Teletrabajo

9.1.2 Control de acceso a las redes y servicios asociados

 

10.6.1 Controles de red. 10.6.2 Seguridad de los servicios de red.

o   Existencia de conexiones para mantenimiento remoto de las que no se guarda ningún tipo de registro en el sistema o sobre el que no hay un control de acceso adecuado 6.2.2 Teletrabajo

12.4.1 Registro y gestión de eventos de actividad.

9.1.2 Control de acceso a las redes y servicios asociados

10.2.2 Supervisión y revisión de los servicios prestados por terceros.

10.6.1 Controles de red.

10.6.2 Seguridad de los servicios de red.

·         En interconexiones con otras redes
o   Integración de procesos con socios (partners). 6.2.1 Identificación de los riesgos derivados del acceso de terceros.

6.2.3 Tratamiento de la seguridad en contratos con terceros.

o   Uso de redes públicas de comunicación. 9.1.2 Control de acceso a las redes y servicios asociados
·         En gestión deficiente de copias de seguridad
o   No verificación de las copias de seguridad del ICS. 10.5.1 Copias de seguridad de la información.
o   No ejecución de copias de seguridad previas a actualizaciones de cualquier tipo. 10.5.1 Copias de seguridad de la información.
·         En falta de concienciación del personal
o   Uso inadecuado de los equipos del ICS. 7.1.3 Uso aceptable de los activos.

8.2.3 Proceso disciplinario.

o   Incapacidad para reconocer un incidente y/o desconocimiento de cómo comunicarlo o actuar 8.1.1 Funciones y responsabilidades.

8.2.3 Proceso disciplinario.

·         En inadecuada gestión de cambios
o   No se realiza borrado seguro de los equipos del ICS 9.2.6 Reutilización o retirada segura de equipos.

9.2.7 Retirada de materiales propiedad de la empresa.

·         En inexistencia de planes adecuados de gestión de incidentes y continuidad
o   Organizaciones sin gestión de la ciberseguridad o donde el alcance no incluye los ICS. 12.1.1 Análisis y especificación de los requisitos de seguridad.

10.10.5 Registro de fallos.

o   Planes de emergencias que no contemplan un incidente de ciberseguridad como causa de la situación de emergencia. 13.1.1 Notificación de los eventos de seguridad de la información.

10.10.5 Registro de fallos.

·         En gestión deficiente de la información
o   Obligación legal de publicar cierta información 6.1.5 Acuerdos de confidencialidad.

6.1.1 Compromiso de la Dirección con la seguridad de la información.

o   · La información que se comparte con los proveedores se envía en claro a través de correo electrónico o se utilizan plataformas no verificadas por la organización. 6.1.8 Revisión independiente de la seguridad de la información.

10.8.1 Políticas y procedimientos de intercambio de información.

10.8.4 Mensajería electrónica.

·         En gestión deficiente del software
o   No existe un inventario de programas y versiones de cada equipo. 7.1.1 Inventario de activos.
o   No se revisan de manera periódica los equipos en búsqueda de documentación o software no pertinente. 9.2.4 Mantenimiento de los equipos.

7.1.3 Uso aceptable de los activos.

·         En asignación deficiente de responsabilidades y gestión de la seguridad
o   No existe un responsable de ciberseguridad de los ICS. 6.1.3 Asignación de responsabilidades relativas a la seguridad de la información.
o   No existen procedimientos para la transferencia de propiedad de activos 7.1.2 Propiedad de los activos.

9.2.7 Retirada de materiales propiedad de la empresa.

·         En gestión deficiente de usuarios y contraseñas
o   No se renuevan las contraseñas del ICS. 11.1.1 Política de control de acceso.

11.3.1 Uso de contraseñas.

o   Los operadores usan usuarios genéricos en vez de nominales. 11.1.1 Política de control de acceso.

11.3.1 Uso de contraseñas.

o   Existen usuarios y contraseñas escritas junto a los equipos del ICS. 11.1.1 Política de control de acceso.

11.3.1 Uso de contraseñas.

o   Existen equipos o software desfasado 11.3.2 Equipo de usuario desatendido.

9.2.4 Mantenimiento de los equipos.

·         En falta de gestión técnica de la seguridad y sistemas
o   No se hace uso de protocolos cifrados en la red de control 12.3.1 Política de uso de los controles criptográficos.

Como podéis ver los sistemas de control industrial más atacados son los sistemas SCADA que esta basados en datos, a los hackers les interesa mucho los datos de las cosas, saber cómo funcionan y recopilar cuanta más información y más valiosa mejor. Por lo tanto para poder analizar estos riesgos y obtener los controles más apropiados para solucionar esos riesgos he utilizado el estándar ISO 27002:2005 sobre la seguridad de la información.

Con el uso de esos controles prevendremos escenarios de riesgo que puedan provocar que nuestra empresa tenga vulnerabilidades a la vista y que puedan generar entradas fáciles para ataques o posibles incursiones.

 

REFERENCIAS:

https://www.knowledgeleader.com/KnowledgeLeader/Content.nsf/Web+Content/ChecklistsGuidesISO17799Questionnaire!OpenDocument

http://www.iso27000.es/download/ControlesISO27002-2005.pdf

https://www.ccn-cert.cni.es/informes/informes-ccn-cert-publicos/1381-ccn-cert-ia-04-16-amenazas-y-analisis-de-riesgos-en-sistemas-de-control-industrial-ics/file.html

http://ieeexplore.ieee.org/document/7750821/




Ciberataques que pueden arrasar una ciudad!

 

La cosa esta calentita, ya sabemos el contexto de los sistemas de control industrial, como han evolucionado y los riesgos en general que pueden sufrir dichos sistemas debido a los ciberataques. Pero vamos a indagar un poco más  dentro de esos riesgos, vamos a exprimir  un poco el tema para entender la importancia de protegerlos. Y es que me gustaría recalcar que los sistemas de control industrial son inmensamente importantes en cualquier país del mundo, son los encargados de cosas muy importantes dentro de las infraestructuras de cualquier país y pueden generar consecuencias extremadamente dañinas.

Pensareis que estoy exagerando, que me gusta dramatizar, pero os voy a ir enseñando las cosas poco a poco. Para empezar ha llegado a mi poder el Informe de Amenazas CCN-CERT IA-04/16 (no es que lo haya conseguido a través de una fuente secreta en medio de una misión de vida o muerte, no, simplemente buscando en Google he dado con el). El CCN-CERT (www.ccn-cert.cni.es) es la Capacidad de Respuesta a incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN, que es el creador de la guía antes mencionada. En ese informe he tenido la oportunidad de recoger datos importantísimos para poder organizar adecuadamente este post, y así poder entender y explicaros la magnitud de las amenazas a los sistemas de control industrial y sus riesgos.

Los sistemas de control industrial están integrados en muchísimos sectores dentro de las infraestructuras de un país, por lo que se han clasificado en 4 grupos dependiendo de su naturaleza. En la siguiente tabla, veremos los distintos grupos en los que se han dividido los sistemas de control industrial.

tabla

En el primer grupo tenemos los sistemas que no forman parte del proceso principal de negocio pero sirven de sostén en procesos esenciales. El grupo número 2 si están los sistemas que son parte del proceso principal de negocio y además están muy extendidos geográficamente hablando. En el tercer grupo tenemos los sistemas acotados y en los que las consecuencias serían solamente en sus instalaciones. Por ultimo en el grupo cuarto tenemos lo que aun estando acotados en áreas pequeñas, las consecuencias serían muy extensas y devastadoras.

Para ir poniéndoos en situación y como anotación a este punto, vamos a ver algunos de los ejemplos de ciberataques a sistemas de control que aparecen en los grupos anteriores, y así ver de manera más nítida las posibles consecuencias de sus hackeos. Estaréis conmigo en que los más impactantes son los del grupo 4, ya que jugar con químicos o energía nuclear es muy peligroso, pero no son los únicos:

  • En 1982 Un Troyano camuflado causó una explosión en un gaseoducto transiberiano.
  • En 1985Una fuga de productos químicos en Unión Carbide provoco 134 hospitalizados en Virginia.
  • En 1988 El gusano Morris, paralizó Internet y causó elmayor daño por malware visto hasta el momento.
  • En 2000Un ex empleado al que despidieron de una planta de tratamiento de aguas vertió litros y litros de aguas residuales en ríos y parques de Maroochy en Australia.
  • En 2003El gusano Slammer infectó la central nuclear de Davis-Besse en Ohio bloqueando el sistema durante varias horas. Todo por culpa de un ordenador portátil de una persona subcontratada.
  • En 2010Uno de los más conocidos o más graves fue la detección de Stuxnet en las centrales nucleares. Logró parar la central nuclear de Natanz en Irán, destruyendo una quinta parte de los centrifugadores nucleares. Fue descubierto en más de 45.000 equipos alrededor del mundo.
  • En 2012La friolera de 35.000 ordenadores de la petrolera Saudí Aramco, sufrieron el peor ciberataque de la historia, eliminándolos y causando que el 10% del petróleo que podía suministrar la empresa estuviera en peligro.
  • En 2014Una empresa siderúrgica alemana sufrió graves daños al sufrir un ataque a través de phishing.
  • En 2015 El troyano BlackEnergy ataca a una planta de energía eléctrica en Ucrania, dejando a la mitad de hogares de Ivano –Frankivsk sin energía.
  • En 2016  El proveedor de dominios Dyn era víctima de un ataque DDoS (o de denegación de servicio) y con él, gran parte de las mayores páginas del país norteamericano.

hackers

Muchas de estas noticias se las tengo que agradecer a mi compañero de clase Luis Carlos Fernández y a sus fantásticos post en el año anterior. Como veis, fabricas nucleares, empresas de servicios y suministros y muchas más están en el objetivo de los hackers, concretamente sus sistemas de control industrial. Por último, analicemos bien esta fila de noticias y veremos que tipos de impactos surten estos ataques. Realmente son diferentes, muy diferentes a los hackeos convencionales o a los que estamos acostumbrados a ver, y es que estos dispositivos controlan dispositivos físicos por lo que sus impactos pueden ser totalmente nuevos a los ataques tradicionales. Como ejemplo veremos que pueden afectar a:

  • Impactos sobre la seguridad física y el entorno:Teniendo en cuenta sobre todo el grupo 04, vemos que los impactos sobre las centrales nucleares podrían causar daños a nivel físico en las personas y medio ambiente, desde muertes a daños medio ambientales.
  • Impactos económicos:Si atacáramos a una empresa de servicios cortando su distribución de suministro, el impacto económico sobre ella seria importante, además causaría problemas en la empresa y sus correspondientes consecuencias.
  • Impactos sociales y mediáticos: Este impacto podríamos considerarlo como consecuencia del segundo punto o verlo también de manera independiente. Si una empresa deja de suministrar sus servicios, la gente perdería su confianza en ella, Pero, aun sin ser una empresa de servicios, el mero hecho de ser una empresa vulnerable a la que han atacado y no ha podido defenderse, ya le da una imagen débil que provoca la pérdida de confianza de la gente sobre ella.

Como os he dicho anteriormente, os he explicado poco a poco los riesgos, dándoos los grupos de diferentes naturalezas y la importancia de cada uno, ejemplos de ataques a cada uno de eso grupos con sus impactos y la magnitud de dichos impactos. Supongo que ya tendréis claro la importancia de proteger esos sistemas de control industrial, pero tranquilos, no todo es negativo, también tenemos los controles para contener esos ataques y sobre todo para prevenirlos. En el siguiente post veremos los las soluciones que podemos darle a los malos, no os lo perdáis.




Comienza la ciber guerra!!

Después de ponernos en situación con el anterior post, sabemos que los sistemas de control industrial han pasado de ser la zona más segura de una empresa a ser la zona más caótica. El resultado de la entrada de nuevas tecnologías como Ethernet, TCP/IP y  Web han dejado al desnudo al Hércules de la industria, unos sistemas a los que no había opción de atacarlos ya que no tenían conexión alguna con el exterior. Pero todo llega, y la conexión de los sistemas de control industrial con el temido internet se ha producido, ya son vulnerables, y lo peor de todo, es que no saben cómo defenderse al mismo nivel que lo hacen los sistemas de seguridad más avanzados.

Mientras buscaba ataques a sistemas de control industriales, las respuestas han sido muy numerosas, los comienzos o los primeros artículos relacionados con esos ciber ataques se remontan a 2012 en los que por ejemplo EEUU sufrió el solo en su gobierno y empresas más de 30.000 ataques. Son muchos, pero teniendo en cuenta que eran los inicios… son mínimos con respecto a los que van a llegar.

Sin título

Los hackers  siempre están alerta, y en cuanto los sistemas de control industrial se quedaron vulnerables empezaron los ataques indiscriminados, y con ellos, los intentos de poner soluciones. En febrero de 2013 por orden del ministro de defensa Pedro Moreñes y a través de la orden ministerial 10/2013, se crea el mando conjunto de ciber defensa del gobierno, y un mes más adelante, el  centro  de ciber seguridad industrial cci-es, que es un centro independiente y sin ánimo de lucro que se crea para mejorar la ciber seguridad industrial en España y Latino américa.

Pero, tenemos otra pregunta que hacernos, y es: ¿Por qué son tan atacados los sistemas de control industrial? ¿Por qué crece de tal manera el interés en ellos? Y es que los sistemas industriales son la  base de las principales  infraestructuras críticas y servicios esenciales de nuestro país, la obtención de todos esos datos tan importantes dejaría visibles nuestras vulnerabilidades y daría la clave de nuestras fortalezas al resto del mundo, además, hoy en día ya se conoce el dicho, la información es poder!

Por culpa de todo ese poder que significa poseer tanta información, los sistemas SCADA (Supervisión, Control y Adquisición de Datos) son los peor parados en todo esto. Los sistemas SCADA están integrados en redes basadas en IP y se encargan de supervisar y controlar sistemas de control  industrial a distancia. Esas dos condiciones, los hacen muy apetecibles a la vez que vulnerables, además clara prueba de ello es que según el informe «SCADA Security Report 2016«  de la  empresa Fortinet, más de la mitad  de las organizaciones encuestadas (51%), han tenido un fallo de seguridad relacionado con SCADA en los últimos 12 meses.

Con todos estos datos vemos que la situación de los sistemas de control industrial no están en su mejor momento, la evolución está avanzando en su contra y la creación de tecnologías web les está perjudicando tanto como les esta beneficiando. Pero indaguemos más halla, que tipos de ataques son los que podemos recibir en nuestros sistemas de control industrial? para que querría alguien hackear nuestros sistemas además de por información industrial? Como podrían perjudicarnos? Bien, pues analizando varias noticias sobre ataques a estos sistemas, encontramos algún que otro ejemplo que podemos destacar para informar sobre este tipo de ataques:

– El 23 de Diciembre de 2015, en Ucrania un malware provoco que  57 subestaciones eléctricas dejaran de funcionar, dejando así a  la mayoría de las regiones del  oeste de Ucrania sin energía.

-En Diciembre del 2015 también, pero esta vez en estados unidos, la presa de Bowman en nueva york fue  atacada e infectada por  hackers iraníes, en este caso lo que pretendían era sacar información. Al igual que en la presa, también fue atacada con los mismos fines la mayor empresa generadora de electricidad, a partir de gas y recursos geotérmicos, de América, Calpine.

Estos datos tan desalentadores no son solo publicados por el informe de la empresa Fortinet, sino que también los respaldan el instituto SANS, Kaspersky Lab y las diferentes organizaciones gubernamentales expertas en la materia. En concreto, Kaspersky lab informa de que España es el tercer país más atacado después de EE.UU. y Alemania, cosa que debería de preocuparnos y hacer que pongamos mas hincapié en nuestra defensa.

Sin título2

Por último y a modo de conclusión, la seguridad vuelve a estar a la orden del día, por desgracia la evolución de las cosas trae nuevas vulnerabilidades y hay mucha gente muy capacitada para sacar partido de ello. Como dato positivo, seguiremos aprendiendo y además, la continuación de  los ataques provocara varios puestos de trabajo entorno a la seguridad.

 




En busca de la felicidad

PRIMERO NOSOTROS!!

Planificación, confianza, flexibilidad, misión, visión, valores… llevamos prácticamente un mes viendo todas estas palabras y todas las relaciones que tienen entre ellas. Pero, realmente entendemos el porque? Le vemos el sentido? Y para mí, lo más importante, humanizamos todos esos conceptos? los extrapolamos a nosotros? En las empresas los vemos claros, son conceptos importantísimos y hay que seguirlos, sabemos que las empresas dependen de ellos, pero… y los nuestros? Pronto acabaremos y saldremos a buscar trabajo, así que, en mi humilde opinión tendremos que tenerlos muy en cuenta.

Recuerdo el primer día de Sistemas de información empresarial, concretamente cuando Pablo pregunto si éramos tecnólogos o personas. La verdad que en ese momento ya supe que la asignatura iba a ser diferente, iba en buen camino. Todo esto me hizo darle otro enfoque, verla de manera distinta y sobre todo, guardarme todo lo que aprendiéramos en ella para mí mismo, y así, mejorar esa faceta personal de mi vida, que será vital en mi vida laboral.

Estamos acostumbrados a mirar la visión, valores, condiciones… de las empresas, y cuando nos ponemos a trabajar y nos dan un proyecto, miramos la planificación, las condiciones y el carácter del jefe. Cuidamos a la empresa, nos preocupamos por ella y tratamos de hacerlo de la mejor manera posible. Esto es importante, de echo le damos la importancia que tiene, incluso me atrevería a decir que más de la debida. Pero, donde nos quedamos nosotros en todo esto? Qué Importancia le damos a estos mismos conceptos en nosotros mismos? La empresa nos cuida como la cuidamos nosotros, o nos cuida aunque sea algo? Si no nos cuida la empresa, quien nos va a cuidar? Y digo esto porque el ser humano tiende a no quererse, a no valorarse, a dejarse influir y guiar.

No nos cuidamos nada, el trabajo está por encima nuestro, incluso en nuestra propia cabeza, hay que tener trabajo a toda costa y nosotros no somos más que una herramienta para ello. Por eso mismo, nos cuesta hacer una planificación estratégica de nuestra vida, y sobre todo una en la que nos valoremos y pensemos también en nuestra felicidad, pero cuando conseguimos hacerla… Es nuestra? La hemos hecho nosotros o todas las influencias de nuestro entorno? Nuestro entorno tiene un poder increíble sobre nosotros, nos cambia y encima después se va!! Nuestro entorno cambia con la mirada y nos deja tirados, es como seguir a un líder que de repente desaparece. Os voy a poner un ejemplo para que entendáis mejor el concepto de lo que quiero decir:

Imaginaros… que vais en el autobús, viajáis de pies después de un día duro de trabajo en el que las cosas no os han salido como queríais y vuestro jefe la ha tomado con vosotros y encima delante de todo el mundo. Estáis tranquilamente viajando en el autobús cuando de repente sentís por detrás un empujón impresionante que os tira literalmente al suelo. Cual es vuestra reacción? Supongo que la más suave será maldecir a la persona que os ha empujado. El caso es que os levantáis y cuando os dais la vuelta…veis que el hombre es invidente.

Teníais un contexto al que estabais siguiendo, el día era una mierda, todo salía mal y encima viene este tío y me empuja, me lo como! Pero al darlos la vuelta… el contexto se ha ido y resulta que ha venido otro contexto, pobre hombre, si no me ha visto, se abra asta asustado y todo. Tendemos a prejuzgarlo todo, a dejarnos llevar en vez de vivir relajados y pensar antes de exteriorizar nuestros primeros impulsos. Es difícil contener esos impulsos que nuestro carácter y experiencia han forjado durante tanto tiempo.

Por lo tanto, todo esto nos influye, nos influye tanto que hasta nos planifica la vida, por lo que a la hora de hacer la planificación estratégica de nuestra vida es algo que no podemos hacer desaparecer fácilmente. Y yo os pregunto, realmente habéis mirado vuestra misión, visión y valores? Os interesa de verdad esa empresa, así sois felices o creéis que los sois? Es muy difícil poder abstraerse de todo el entorno y eso que no siempre nos influye para mal, pero, hay que saber valorarse y buscar la forma de ser feliz.

Las empresas tienen su propia planificación y normalmente se basa en ganar dinero, eso está muy bien, Pero no nos cuida, no nos da un valor añadido, y lo que realmente tenemos que pensar es si la empresa y su planificación van acorde con la nuestra, si se pueden solapar bien o si son totalmente opuestas. Primero somos nosotros!! Cada paso que demos puede influirnos durante toda la vida y muchas veces por dejarnos influir tomamos malas decisiones, como por ejemplo coger un trabajo que nos va a tener amargados toda la vida por el miedo de que si lo rechazamos a saber cuándo podemos conseguir el que realmente deseamos.

Aquí nos guiaría el contexto de la crisis, la negatividad que vemos en la televisión ante el trabajo, todo son parados, gente sin trabajo… Valorémonos!! Si nosotros mismos no nos valoramos, quien lo va a hacer? Actitud, todo se basa en actitud, saber que la vida puede darte algún que otro revés, o incluso muchos, pero saber también que tienes la actitud necesaria para pisotear todos eso inconvenientes, problemas… y levantarte cada vez más fuerte! Qué tipo de flexibilidad tienes al cambio, a TU cambio. Pon todo eso en orden y serás un activo muy valioso para una empresa, pero sobre todo serás un gran activo para ti mismo!

 




Industrial Control Systems and Risks

Industrial Control Systems and Risks

Evolución, podríamos describir esta palabra de muchas formas y adjudicarle palabras que pueden hacer referencia a la evolución, como por ejemplo: innovación, futuro, mejorar… pero, hay una concretamente que para mi humilde opinión enfoca de mejor manera la evolución del ser humano, EL CONTROL.

La mayoría estaréis extrañados, ya que, normalmente solemos tender a pensar en mejoras y futuro, pero cuanto más evoluciona el hombre más se acentúa su ansia de control. Hemos pasado de preocuparnos por comer y no pasar frio (en la prehistoria) a querer controlar hasta el más mínimo detalle de nuestro entorno, hasta el punto de querer controlar cosas como la naturaleza (el cambio climático sería un buen ejemplo), los animales o incluso a otras personas (podemos crear rasgos de nuestros hijos genéticamente). Cada paso que damos en la evolución significa controlar algo nuevo.

Resultado de imagen de Industrial Control Systems and Risks

Viendo que el control nos causa una obsesión nerviosa, cabe destacar que las empresas no se quedan atrás, la necesidad de controlar el trabajo lleva mucho tiempo establecido entre el ser humano, y a causa de ello, se crean los sistemas de control (control en el trabajo = más dinero). ¿Pero, que son los sistemas de control? Son un conjunto de dispositivos encargados de administrar, ordenar, dirigir o regular el comportamiento de otro sistema, con el fin de reducir las probabilidades de fallo y obtener los resultados deseados.

Los primeros sistemas de control aparecen en el siglo 3 antes de Cristo, en Grecia, cuando Ktesibios crea un reloj de agua, conocido también como Clepsydra, algo parecido al reloj de arena pero con agua. Con esto empezamos a controlar el tiempo. Pero el verdadero salto e impulso, se da junto con la revolución industrial, nace la máquina de vapor y se mejoran los sistemas de control. Watt crea reguladores centrífugos para regular el vapor de las máquinas y eso da el pistoletazo de salida para la mejora y evolución de los sistemas de control industrial (ICS).

La rapidez con la que evolucionan crece, los sistemas mecánicos se desarrollan hasta 1900, entonces son superados por sistemas hidráulicos y los motores eléctricos además el desarrollo de la electrónica adquiere gran relevancia durante la segunda guerra mundial. En 1960 aparecen los primeros autómatas programables (antes existían los armarios eléctricos formados por relés, temporizadores y contadores), y junto con ellos aparecen los primeros PLC (controladores lógicos programables), robustos para aguantar el contexto industrial, fácilmente programables y modulares.

Todo era fantástico, los sistemas de control industrial (ICS) evolucionaban bien y sin problemas graves, no tenían amenazas grandes y todas las mejoras eran implementadas con la única pega de los problemas internos en su montaje o creación. Era probablemente la rama más segura dentro de la industria, siempre libres de peligros externos y fuera del alcance de los ciber peligros. No eran infalibles, pero externamente nadie podía dañarlos.

Resultado de imagen de Industrial Control Systems and Risks

Los sistemas de control de procesos y SCADA (Supervisory Control And Data Acquisition) se consideraban inmunes a los  ataques de red gracias a la dependencia de las redes propietarias y hardware, pero, por desgracia la llegada de Ethernet, TCP/IP y las tecnologías Web los ha dejado al descubierto ante los ataques de los hackers. No es simplemente el hecho de que estén desprotegidos lo preocupante de este tema, sino que, la inexistencia de amenazas anteriores, había provocado que las empresas se acomodaran a la hora de proteger sus sistemas de control industrial, y ahora se ven sobrepasadas por este problema, ya que son totalmente ignorantes en este campo.

Mientras otros sectores de las empresas evolucionaban para protegerse de los ciber ataques, ¿qué pasaba con los sistemas de control industrial? en mi opinión no ejecutaron una buena planificación, cuando internet irrumpe tan fuertemente en la industria y empiezan a verse los problemas que gente externa puede causar en diferentes sectores, creo que mínimamente tendrían que haberlo contemplado y tener una posible solución o escapatoria al menos. Afortunadamente muchas buenas iniciativas están en marcha para la mejora de la seguridad en los ICS.

Después de leer este párrafo anterior, me acuerdo de cosas dichas en clase: me recuerda, porque las auditorias, a pesar de ser no muy bien recibidas son importantes dentro de las empresas, concretamente me viene a la mente la evaluación de riesgos. Pero también me surgen algunas dudas sobre cual es realmente el origen del problema de los ICS: ¿Falta de planificación? ¿Un mal análisis de riesgos dentro de la empresa? tal vez consideraban ese riesgo pero les costaba más ponerle solución o no le dieron la importancia que realmente tenía. Sea lo que sea, ahora mismo la situación de los ICS podría describirla en una frase:

Los controladores sin control.

 

Referencias:

https://es.wikipedia.org/wiki/Sistema_de_control

 

http://isa.umh.es/asignaturas/asc/temasautomatas/Tema1.pdf

http://iaci.unq.edu.ar/materias/laboratorio1/archivos/Clases/Evoluci%C3%B3n%20Hist%C3%B3rica%20de%20los%20Sistemas%20de%20Control.pdf

 

http://automata.cps.unizar.es/Historia/Webs/IntroduccionI.htm

 

https://keats.kcl.ac.uk/pluginfile.php/1251665/course/section/414590/byres-myths-and-facts-cyber-security-scada.pdf

 

http://www.gocs.com.de/pages/fachberichte/archiv/164-sp800_82_r2_draft.pdf

 

http://cds.cern.ch/record/532624/files/mc1i01.pdf

 

http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/industrial-control-systems-a-primer-for-the-rest-of-us.aspx

 

http://www.isaca.org/Journal/archives/2010/Volume-4/Pages/JOnline-Security-of-Industrial-Control-Systems.aspx