Me fascina la evolución del ser humano, me fascina ver como después de crear el fuego, la rueda, la tecnología y un montón de mil cosas más, sirven de base para que la evolución avance a todavía más velocidad hasta el punto de que casi ni nos damos cuenta de su avance. Hemos pasado de evolucionar lentamente a que las cosas que construimos se nos queden obsoletas en una media de tres años, porque enseguida hay alguien que es capaz de mejorarlo, ya que, tenemos los medios suficientes para realizar grandes avances. A los sistemas de control industrial les ha pasado lo mismo, no son una excepción, y es que desde que Ktesibios creara el reloj de agua o Clepsydra, hasta la revolución industrial, los avances eran muy lentos. Las bases tanto tecnológicas como científicas tenían un recorrido demasiado corto, pero con la revolución industrial todo cambió, empezó a dársele mucha importancia y las bases para ellos iban creciendo, cosa que provocó que incrementara en gran medida esa velocidad de evolución al punto de convertirla en vertiginosa, que es para mí en el momento en el que estamos en la actualidad.
Pero la evolución no solo les trajo cosas buenas, en un principio los sistemas de control industrial avanzaban muy rápido, eran seguros y fuera de la propia empresa no tenían un interés demasiado grande. Digamos que evolucionaban felices sin que nadie les acechara, pero un día eso se acabó, la evolución empezó a dañarles, la entrada de Ethernet, TCP/IP y las tecnologías Web los dejaba vulnerables, cosa, que dio lugar a que los hackers comenzaran a fijarse en ellos. Eran sus nuevos juguetes, y se empezaban a divertir comprobando sus límites, hasta donde podían llegar y mirando que cosas encontraban.
Esto podía quedarse en una mera anécdota, pero no, las cosas no eran tan sencillas, los sistemas de control industrial estaban presentes en demasiadas áreas críticas de demasiadas empresas importantes, hasta el punto de ser la llave de incidentes muy dañinos tanto como para las personas, el medio ambiente, como la economía de las ciudades e incluso países enteros. Además, hasta esa época los sistemas de control industrial, no habían necesitado ser defendidos, no tenían ni el conocimiento ni la experiencia suficiente como para protegerlos, por lo que hacía más peligroso el interés de los hackers en ellos. Para colmo, los gobiernos empezaron a ver que podían sacar tajada de estas cosas, y su interés… no suele traer nada bueno, así que comenzaron a tomar parte en ello, como ejemplos tenemos los móviles Huawei, que están en constante envío de información a China con miles de datos sobre nosotros, o los interés de muchos países en saber cómo funcionan las infraestructuras de otros países para mejorar las suyas propias.
La información es poder, y todo el mundo quiere información así que, en esta parte entran en juego los sistemas SCADA (Supervisory Control And Data Acquisition) el control de datos es muy atacado por muchas y diversas fuentes. Debido a todo esto los riesgos son muy grandes y los ICS se exponen a grandes ataques, hoy en día sufren el 51% de todos los ciberataques, y es que los hackers solo tienen que emplear técnicas como los fuzzers, que son programas que se envían a las aplicaciones y tratan de encontrar vulnerabilidades para retornarlas, de esa manera, en cuanto el hacker recibe el fallo que contiene el sistema ya tiene vía libre para entrar y crear sus propios comandos con todo lo que eso conlleva.
Los motivos que hacen que los sistemas de control sean tan vulnerables son: Que no requieren autentificación, ni autorización, no usan cifrado, no manejan adecuadamente los errores y no suelen guardarse Logs sobre ellos. Así que los hackers pueden generar ataques muy diversos sobre ellos, suplantando identidades, denegando servicios, accediendo a muchos tipos de información clasificada al que no deberían de poder acceder, manipulando esos datos….
Pero no os preocupéis, como todo en esta vida tiene solución, los sistemas de control industrial no se quedan atrás, y es que gracias a nuestra querida asignatura sabemos que auditando las cosas ponemos soluciones a problemas dentro de todas las estructuras y departamentos de una empresa. En este caso en particular he buscado los estándares que más se puedan ajustar a sus características y a los posibles riesgos, lo que me llevó a centrarme en los estándares de seguridad, concretamente en la seguridad de la información ISO 27002.
Por lo tanto, definiría los sistemas de control como unos sistemas que han evolucionado a la vez que toda la tecnología en general aunque en esta última época por desgracia se hayan visto vulnerables con la entrada de las nuevas tecnologías basadas en internet. Si a todo eso le sumamos que los sistemas de control están ubicados en lugares tan críticos como controladores en empresas con un gran poder destructivo, los hacen todavía más peligrosos. Por suerte y gracias a la auditoria, tenemos una gran serie de controles que harán de métodos preventivos ante ataques. Todo esto nos lleva a comprender la gran importancia que tienen los sistemas de control para una empresa y la necesidad de protegerlos.
Referencias:
http://www.isaca.org/chapters8/Montevideo/cigras/Documents/CIGRAS2015/CIGRAS-2015.09.10-09-Ciberataques%20Estamos%20Preparados-Enrique%20Larrieu-Let.pdf
http://www.infoplc.net/actualidad-industrial/item/103719-scada-punto-mira-ciberataques
http://www.infiernohacker.com/bugs-y-exploits/que-es-un-fuzzer-y-para-que-sirve/
http://www.magazcitum.com.mx/?p=1605#.WDm8DbLhDIU
https://blogs.deusto.es/master-informatica/industrial-control-systems-and-risks/
https://blogs.deusto.es/master-informatica/comienza-la-ciber-guerra/
https://blogs.deusto.es/master-informatica/1990-2/
https://blogs.deusto.es/master-informatica/a-los-escudos-vamos-a-controlar-esto/
http://ieeexplore.ieee.org/document/7744960/
Julen San Tirso Hernández
Latest posts by Julen San Tirso Hernández (see all)
- Abre los ojos! - 21 enero, 2017
- Líderes - 30 noviembre, 2016
- Sistemas de control industrial. - 29 noviembre, 2016
Deja una respuesta