Uno de los mayores retos de las personas inteligentes de nuestra época es resumir todo lo que un concepto quiere decir en pocas palabras de forma que el resto de los seres humanos seamos capaces de entenderlo. Sin embargo, muchas veces caemos en el error de creer que lo entendemos sin parar a mirar los detalles. En el campo de los Sistemas de control Industrial, es lo que ha hecho Amit Yoran:
Intrusions into systems that control operations in the chemical, electrical, water, and transport sectors have increased 17-fold over the last three years. The advent of connected and automated sensors aggressively exacerbates these issues. The growth in the use of cyber technology for terrorism, hacktivists, and other actors, combined with the weakness of ICS security generally, combined with the potential impact of bringing down a power facility or water treatment plant (hello, California), makes the critical breach of an ICS in 2016 extremely concerning and increasingly likely.[1]
Realmente, en menos de 100 palabras ha definido cuál es el marco del riesgo en los ICS. Si analizamos la frase más a fondo, nos damos cuenta de las claves de las que habla
- Fuentes y eventos de amenazas: “Growth in the use of cyber technology for terrorism, hacktivists, and other actors”
- Exploits, con probabilidad de éxito:“Intrusions into systems that control operations in the chemical, electrical, water, and transport sectors have increased 17-fold over the last three years”
- Vulnerabilidad, en el contexto de las condiciones de predisposición: “The advent of connected and automated sensors aggressively exacerbates these issues”
- Controles de seguridad, con efectividad: “The weakness of ICS security generally”
- Efecto adverso: “The potential impact of bringing down a power facility or water treatment plant (hello, California)”
- Riesgo, como una combinación de impacto y probabilidad: “The critical breach of an ICS in 2016 [is] extremely concerning and increasingly likely”
Las empresas se están dando cuenta esta realidad hace mucho, pero esto no quiere decir que se hayan blindado contra estos riesgos. El día a día nos muestra como no estamos tan preparados como pensábamos para soportar estos ataques. Joel Brenner, un investigador del MIT, asegura que un ataque a algún sistema de control industrial puede resultar catastrófico para el sector en el que se centra el ataque. En foro de ciberseguridad europeo CyberSec[3] o en Cracovia que la amenaza venía de dos puntos distintos, de las naciones y de las organizaciones criminales. A pesar de que existen ciertos factores que disuaden a las naciones a llevar a cabo este tipo de ataques, estos factores no afectan a las organizaciones criminales.
En los últimos años ha habido numerosos ejemplos de ciberataques que han afectado a alguna infraestructura crítica de la sociedad. WannaCry afecto al servicio nacional de salud del Reino unido[4], los ciberataques contra el sistema de energía ucraniano[5], el ataque al proveedor de DNS Dyn[6] o el ataque a Saudi Aramco[7]. A finales de 2016, la firma Kaspeski lab afirmó que el 24% se los ICS estaban bajo ataque.
Ya somos somos conscientes de cuáles son las causas que han generado estos problemas. La entrada de Internet en la industria sirvió para abrir muchas nuevas oportunidades para las compañías, que supieron aprovechar, pero cerrando los ojos a los riesgos o simplemente ignorándolos. Sin embargo, no todo esta perdido, desde el MIT llegan algunas recomendaciones para tratar de blindar el ICS:
- Los controles clave de ICS deben aislarse de las redes públicas para que sean razonablemente seguros.
- Los gobiernos deben respaldar un mercado para una tecnología de control más simple y segura.
Aislar el ICS del Internet puede ser una solución para eliminar las amenazas entrantes, pero negando todas las oportunidades por las que una vez el Internet entró en el sector.
¿Qué es lo más correcto ahora?¿Cortar por lo sano o invertir en seguridad y procesos de control de calidad?
Referencias
[1]<<Breaking Down the Risk of Industrial Control Systems Security>>, Acceso el 20 de octubre de 2017,http://www.aberdeenessentials.com/techpro-essentials/breaking-down-the-risk-of-industrial-control-systems-security/
[2]<<Industrial control systems under attack, warns MIT researcher>>, Acceso el 20 de octubre de 2017, http://www.computerweekly.com/news/450428010/Industrial-control-systems-under-attack-warns-MIT-researcher
[3] <<CYBERSEC FORUM>>, Acceso el 20 de octubre de 2017 https://cybersecforum.eu/en/
[4] <<WannaCry a signal moment, says NCA>>, Acceso el 20 de octubre de 2017, http://www.computerweekly.com/news/450421936/WannaCry-a-signal-moment-says-NCA
[5]<<Ukraine cyber attacks extend beyond power companies, says Trend Micro>>, Acceso el 20 de octubre de 2017, http://www.computerweekly.com/news/4500273017/Ukraine-cyber-attacks-extend-beyond-power-companies-says-Trend-Micro
[6]<<Dyn reveals details of complex and sophisticated IoT botnet attack>>, Acceso el 20 de octubre de 2017, computerweekly.com/…/Dyn-reveals-details-of-complex-and-sophisticated-IoT-botnet-attack
[7] <<Saudi Aramco oil firm claims to be over cyber attack>>, Acceso el 20 de octubre de 2017, computerweekly.com/…/Saudi-Aramco-oil-firm-claims-to-be-over-cyber-attack
G V M
Latest posts by G V M (see all)
- Un día más… - 22 enero, 2018
- Hablando de emociones de una forma racional - 20 diciembre, 2017
- IIoT ¿Es el futuro? - 30 noviembre, 2017
Bien Gaizka, pero por favor, usa el corrector ortográfico. Este post es sobre datos y cifras, y está bien ir hacia el pasado, pero también hay que ir hacia el futuro. Tendencias? proyecciones??