Tercer informe sobre Protección de II.CC. de S2 Grupo. La información está ahí fuera

26 de junio de 2014 Por

Continuando con la línea de trabajo iniciada con los dos anteriores informes sobre protección de infraestructuras críticas S2 Grupo acaba de publicar la tercera entrega. En esta ocasión nos hemos fijado en un problema creciente del que no se habla demasiado: la disponibilidad de información detallada sobre nuestras II.CC. libremente accesible a través de internet, especialmente en lo referente a sus instalaciones, procesos, sistemas de control, procedimientos de operación y, por último, organización y gestión de la seguridad.

En SAW ya hemos hablado de este asunto en alguna ocasión (véase, por ejemplo, esta entrada en el blog). Sin embargo, la gravedad de la cuestión merece una aproximación más sistemática que nos permita hacernos una idea clara de la magnitud del problema. Así, al iniciar la investigación que ha dado lugar al informe nos planteamos responder a las siguientes preguntas:

  • Descubrir qué tipo de información está disponible en internet acerca de nuestras II.CC.
  • Determinar el origen de la información.
  • Estimar el grado de riesgo que puede suponer el uso de la información hallada por parte de un atacante.
  • Establecer si existe alguna diferencia entre los distintos subsectores en que se divide el conjunto de II.CC.
  • Analizar los resultados obtenidos para dibujar un cuadro general que nos permita avanzar conclusiones al respecto.

El foco de la investigación se puso en aquellos sectores considerados críticos según la Ley 8/2011 en los que se hace un uso extendido de sistemas de control industrial. De esta forma nos hemos quedado con:

  • Sector sanitario.
  • Energía.
  • Trasporte.
  • Industria química.
  • Industria nuclear.
  • Abastecimiento de agua.
  • Alimentación.
  • Administración.
  • Sector aeroespacial.

El trabajo ha consistido en la búsqueda en internet de información relativa a sistemas de control, procesos, seguridad física y lógica, equipamiento y maquinaria, etc. de una organización destacada de cada uno de los sectores. Las búsquedas se han realizado entre los meses de noviembre de 2013 y febrero de 2014.
Una vez obtenida la información, esta se ha caracterizado y clasificado para determinar:

  • El tipo de información.
  • El contexto en el que está contenida.
  • El origen.
  • La consideración subjetiva del impacto que podría suponer el uso de esta información. Se han establecido tres niveles: bajo, medio y alto.

Es importante subrayar que la idea detrás de esta investigación no es realizar una campaña exhaustiva de localización de información, algo que, por otra parte, es casi imposible, sino obtener una visión cualitativa de la magnitud del problema, sus causas y posibles soluciones.

Los resultados de la investigación

Se ha localizado información de prácticamente todos los sectores analizados con alguna excepción notable, como el caso del aeroespacial. Los principales canales por los que se difunde son:

  • Proyectos de fin de carrera y tesis doctorales
  • Pliegos de contratación de las Administraciones públicas
  • Casos de éxito de proveedores
  • Publicaciones técnicas especializadas en cada sector
  • Artículos técnicos

Nuestra investigación pone de manifiesto que la información es elaborada y publicada por todos los actores participantes en la vida de una II.CC. El papel de terceros tales como empresas constructoras o contratistas de mantenimiento es poco sorprendente. Sí lo es, en cambio, el hecho de las propias AA.PP. o empresas operadoras de II.CC. ofrezcan tanta información y con tanto detalle acerca de sus propias instalaciones. Una mención específica merecen ciertas universidades que se constituyen en auténticos repositorios online de información técnica muy específica.

En ocasiones los propios empleados ofrecen información fuera de la actividad diaria de la compañía; es el caso de los artículos técnicos publicados con el conocimiento (o no) de sus organizaciones. Hemos localizado, por ejemplo presentaciones elaboradas por personal de una I.C. para su empleo durante un curso de formación. El material describe exhaustivamente componentes y sistemas de la I.C. ofreciendo, incluso, detalles de la operación, gestión, etc., todo ello con abundante material gráfico.

Adicionalmente hemos querido cuantificar los resultados obtenidos. Para ello hemos realizado un análisis en que:

  • A cada sector se le ha asignado un valor de probabilidad entre 1 y 3, que cuantifica la facilidad de localizar información.
  • Además, se ha valorado, nuevamente de 1 a 3, el impacto posible de la información localizada.

El producto de ambas variables constituye el riesgo calculado para cada sector. Este valor se ha ponderado considerando el tamaño relativo de cada sector medido como el número de empleados. La razón para esto es que en lo relativo a la disponibilidad de información, el factor definitivo detrás del problema son las personas: esto es, la solución pasa por modificar la forma en que las personas gestionan la información dentro de cada organización. De esta forma, es más fácil que se filtren documentos sensibles cuanto mayor sea el número de personas que intervengan en su custodia, clasificación o difusión.

Los resultados se muestran en la siguiente gráfica:

Del análisis del gráfico extraemos las siguientes conclusiones:

  • Los sectores con un menor número de empleados, como el aeroespacial o la industria nuclear, no suponen un grave problema a pesar de las ideas a priori acerca del impacto de un ataque sobre estas infraestructuras. Un tamaño pequeño del sector significa que una situación de riesgo (en cuanto a la gestión de la información) es abordable de forma manejable, dado el reducido número de personas implicado (lo que facilita la labor de cambiar procedimientos, establecer políticas, avanzar en la concienciación, etc.)
  • Los sectores de agua, industria química y alimentación se encuentran en la zona alta tanto en cuanto a riesgo como a magnitud del problema, entre otras cosas a causa del elevado número de personas que trabajan en estas organizaciones.
  • Algo similar ocurre con el transporte, que si bien no posee un valor de riesgo alto sí se encuentra en una situación difícil debido a su tamaño.
  • Se evidencia el grave problema que supone la gestión actual de la información en la Administración Pública y organizaciones afines. En el origen están los requerimientos de publicidad exigidos en los procedimientos de contratación.

Conclusiones

El estudio realizado, si bien limitado por necesidad, pone de manifiesto un problema al que generalmente se concede poca o nula consideración cuando se habla de la ciberseguridad de sistemas de control industrial y su relación con la protección de infraestructuras críticas: la absoluta inconsciencia con la que se maneja y hace pública información sensible de gran interés para posibles atacantes. Ello es especialmente grave en un contexto en el que el diseño de una APT tiene como un elemento esencial el conocimiento profundo de la organización objetivo, tanto para diseñar el malware como los mecanismos de infección (por ejemplo, la planificación de un ataque de ingeniería social).

El tipo de información y los mecanismos de publicación son diversos, pero hay uno que destaca sobre todos los demás: las licitaciones de concursos públicos.

El segundo mecanismo que se encuentra detrás de la proliferación de información sensible es la necesidad, a medias científica y a medias comercial, de mostrar las propias habilidades, de forma que se publicitan las propias referencias con todo tipo de detalles. Cuando se mira desde el punto de vista de la ciberseguridad, no deja de resultar chocante la cantidad de información detallada que se ofrece al público general, en ocasiones ante el desconocimiento del promotor o titular y en otros casos con la aquiescencia cuando no la propia participación del mismo.

Independientemente de que la seguridad por oscuridad no es una opción válida, no debe olvidarse que, del mismo modo que el primer paso en un ataque es la recopilación de información, el primer paso de una estrategia de defensa debe ser el control de la misma.

Líneas de acción propuestas

¿Qué puede hacerse para afrontar este problema? Las líneas de trabajo básicas propuestas en el informe son las siguientes:

  • Analizar la legislación en lo relativo a contratación pública para compatibilizar las exigencias de publicidad y libre concurrencia con la necesidad de salvaguardar cierta información.
  • Realizar sesiones de concienciación en las organizaciones mostrando el riesgo que supone el uso de cierta información por parte de agentes malintencionados.
  • Establecer políticas de clasificación de la información en todos los ámbitos.

Para terminar

La investigación realizada pone de manifiesto el grave problema existente con la proliferación de información descontrolada en internet en relación con nuestras II.CC. El principal problema, de hecho, es la absoluta falta de conciencia acerca de las posibles consecuencias con la que se maneja esa información. Como siempre, las personas son parte fundamental en la cadena de la seguridad y, en este ámbito, queda mucho trabajo por hacer.

El informe completo está disponible para su consulta en este enlace.

Referencias
[1]Ley 8/2011. Boletín Oficial del Estado, núm. 102, sec. I, pág. 43370. Abril de 2011.
[2] Resolución de 15 de noviembre de 2011 de la Secretaría de Estado de Seguridad. Boletín Oficial del Estado, núm. 282, sec. III, pág. 124147. Noviembre de 2011.
[3] Ley 30/2007 de 30 de octubre de Contratos del Sector Público
[4] 1er Informe sobre la protección de infraestructuras críticas en España. 2011. S2 Grupo.
[5] 2º informe sobre la protección de infraestructuras críticas en España. 2012. S2 Grupo.

ICS-CERT: vulnerabilidades de sistemas de control industrial

30 de mayo de 2014 Por

Hace unos días, el ICS-CERT publicó el análisis de vulnerabilidades de sistemas de control industrial (ICS) durante el año 2013. En dicho análisis, podemos comprobar como la vulnerabilidad que aparece con mayor frecuencia tiene que ver con las medidas de autenticación (33%), seguida por la denegación de servicio (14%). Es decir, si los administradores de estos sistemas desconectasen (o no conectasen directamente) estos sistemas de Internet, y forzasen una política de contraseñas segura, se acabaría con casi el 50% de las vulnerabilidades reportadas.

En el informe ICS-CERT da una serie de consejos que, implementados correctamente, dificultan de manera significativa el hecho de que un ataque resulte satisfactorio:

  • Minimizar la exposición a Internet.
  • En caso de necesitar acceso remoto, hacer uso de VPN.
  • Eliminar credenciales por defecto.
  • Implementar medidas de bloqueo de cuentas.
  • Establecer e implementar políticas que requieran el uso de contraseñas fuertes.
  • Monitorizar la creación de cuentas de administración por parte de proveedores externos.
  • Aplicar parches de seguridad en el ICS.

(Óscar Navarro apunta correctamente que las medidas de bloqueo de cuentas deben utilizarse con mucha cautela en sistemas SCADA, dado que controlan sistemas industriales y un problema de acceso en una situación de emergencia puede ser fatal. La recomendación de utilizar contraseñas fuertes dependerá mucho de las características del SCADA, ya que no todos permiten tales funcionalidades. Por último, también la aplicación de parches de seguridad debe ser tratada con sumo cuidado, dado que puede implicar un mal funcionamiento del SCADA. Es duro, pero es así.)

En el informe también se puede observar como el 65% del total de vulnerabilidades publicadas (93 de 177) tienen un impacto superior a 7.0.

Por último, cabe mencionar que dos de los investigadores que colaboraron durante el año 2013 con el ICS-CERT son españoles. En concreto Rubén Santamarta y Joel Sevilleja Febrer (es decir, un servidor) :)

El fin del soporte de XP y los sistemas de control de industrial

11 de abril de 2014 Por

En Mateo, 25, 1 se dice: estad atentos y vigilad, pues no sabéis el día ni la hora. Esta admonición nos advierte de la necesidad de estar preparados (y en paz con las autoridades competentes) para el inevitable final que nos acecha a todos.

Sin embargo, esto no es de aplicación para el tan temido fin del soporte de Microsoft para el sistema operativo Windows XP. Al menos, en este caso, el día y la hora eran conocidos de antemano.

[Read more…]

Ciberseguridad Industrial: Por sus hechos les conoceréis

20 de febrero de 2014 Por

Siempre se ha dicho que hay que predicar con el ejemplo. También se dice que una cosa es predicar y otra dar trigo. O ese gran resumen acerca de la educación infantil en el que caen muchos padres pillados en flagrante contradicción por sus hijos: ‘haz lo que digo, no lo que hago’.

Todos estos lugares comunes giran en torno a una idea central: es muy difícil resultar creíble cuando se pide a otras personas que, ante ciertas circunstancias, obren de forma manifiestamente distinta a lo que hacemos nosotros. Y claro, la ciberseguridad de infraestructuras críticas (II.CC. en lo sucesivo) no iba a ser de otra manera.

Se habla mucho (en ciertos ámbitos) de lo que hay que hacer para remediar el grave problema de seguridad que la convergencia tecnológica ha provocado en ciertas infraestructuras que proveen a la sociedad servicios esenciales. O mejor dicho, la no consideración de la seguridad como un elemento tan esencial, al menos, como la funcionalidad. Se elaboran planes, estrategias, hojas de ruta, guías de recomendaciones, de buenas prácticas, directivas, leyes y reglamentos.

Está muy bien.

[Read more…]

Regreso a la edad del cobre

4 de febrero de 2014 Por

Recientemente he leído un buen artículo publicado por Joe Weiss en el que se habla de una vulnerabilidad genérica de un protocolo industrial (HART) cuya base se encuentra en las características de funcionalidad y diseño que son inherentes a los sistemas de control industrial desde su misma concepción.

La idea central del artículo reside en lo siguiente: un sistema de control industrial (SCI en lo sucesivo) está integrado por distintas capas, de las cuales los sensores y actuadores constituyen el nivel más bajo y la interfaz con el operador (HMI o Human-Machine Interface) el nivel más alto. Por deformación profesional, los expertos en ciberseguridad tienden a centrase en los niveles superiores (vulnerabilidades en servidores SCADA, arquitecturas de red, configuración de firewalls,..), objeto de la famosa convergencia, olvidando los niveles ‘de campo’, ya que estos están más alejados de su experiencia y ámbitos de conocimiento. Sin embargo, este nivel (que denominan nivel 0) presenta con frecuencia vulnerabilidades susceptibles, en caso de ser explotadas, de alterar gravemente la marcha del proceso industrial.

[Read more…]

El reto de la Ciberseguridad Industrial

26 de noviembre de 2013 Por

En los últimos años estamos asistiendo a un cambio vertiginoso y radical en el Mapa de Riesgos que afectan a los sistemas de control industrial (ICS).

Tradicionalmente este tipo de sistemas han estado aislados físicamente y desarrollados con sistemas y protocolos específicos pero, en aras de la eficiencia y la flexibilidad, se han integrado con los sistemas estándar de las tecnologías de la información y comunicaciones, con la particularidad de que un fallo en su funcionamiento puede causar la destrucción de equipamiento de costes elevados, la interrupción de operaciones críticas a todos los niveles, un gran impacto económico, una pérdida importante de confianza e incluso la pérdida de vidas humanas.

Los ICS (Sistemas de Control Industrial, por sus siglas en inglés: Industrial Control Systems) en general, encargados de controlar líneas de producción, sistemas de protección contra incendios, arranque y parada de grupos electrógenos, etc, o los distintos tipos en particular: PLCs (Programable Logic Controllers), SCADAS (Supervisory Control and Data Aquisition), RTE (Real Time Embedded Systems), RTU (Remote Terminal Unit), etc., integrados en el mundo TI aprovechan, por tanto, las grandes ventajas de esta tecnología, pero están expuestos a un mundo lleno de nuevas amenazas.

Nos encontramos con un problema añadido al abordar la seguridad de este tipo de sistemas. La convergencia entre los Sistemas de Información Corporativa y los Sistemas de Control Industrial nos ha trasladado a un mundo en el que máquinas, personas e información están interconectados entre sí intercambiando datos, órdenes de control o información a todos los niveles. Mientras los Sistemas de Información Corporativa han estado habitualmente gestionados por profesionales del mundo TIC, los Sistemas de Control Industrial han estado gestionados por otros colectivos como el de los Ingenieros Industriales que, en líneas generales, se ha mantenido alejado y distante del mundo digital y, sobre todo, de sus amenazas. Este es uno de los grandes obstáculos que tenemos que salvar: la incredulidad de los profesionales que gestionan y manejan este tipo de sistemas de control ante la posibilidad de sufrir un “Ciberataque” que afecte al normal funcionamiento de los Sistemas de Control Industrial. Por decirlo de otra manera, una gran mayoría de estos profesionales, directamente, no creen que este tipo de incidentes, ya sea de una forma fortuita o deliberada, puedan producirse y aún en el caso en el que puedan producirse, la inmensa mayoría está convencida de que el impacto sobre el funcionamiento de sus sistemas industriales sería mínimo. Esta creencia representa, en si misma, un problema muy serio para las empresas en particular y para la sociedad en general cuando los sistemas de control industrial son los responsables de velar por el buen funcionamiento de lo que conocemos por Infraestructuras Críticas Nacionales.

Todos los países desarrollados se han puesto manos a la obra a marchas forzadas con declaraciones, normativas, leyes, guías de buenas prácticas y todo tipo de documentos que, entre otras muchas cosas, coinciden en la necesidad de conseguir, a toda costa, una cultura de la ciberseguridad apropiada a las amenazas a las que nos enfrentamos como sociedad.

Así, por ejemplo, la Unión Europea ha publicado, en febrero de 2013, su “Estrategia de Ciberseguridad de la Unión Europea” donde afirma que “Los incidentes de ciberseguridad, tanto deliberados como accidentales, están incrementándose a un ritmo alarmante y podrían llegar a perturbar el suministro de servicios que damos por descontados como el agua, la asistencia sanitaria, la electricidad o los servicios móviles”.

Hasta la fecha la oscuridad con la que se han tratado este tipo de incidentes no ha ayudado mucho a que determinado tipo de colectivos aprendan de los problemas ajenos y de hecho, uno de los aspectos en los que están incidiendo las estrategias de ciberseguridad que se están diseñando por parte de los estados es la obligatoriedad de informar, a los órganos competentes en la materia, sobre los incidentes de seguridad, con el fin de poder compartir información entre organizaciones que ayude a evitar que el mismo tipo de amenaza pueda materializarse sobre más de un objetivo. Cuando nos paramos a leer con detenimiento los sumarios ejecutivos o las exposiciones de motivos de todas estas normas, directivas, leyes o documentos de todo tipo se da cuenta de la dimensión del problema al que nos estamos enfrentando. Según el Foro Económico Mundial hay un 10% de probabilidad de que se interrumpan sistemas críticos en los próximos 10 años con daños por valor de más de 250.000 millones de $. Una afirmación parecida la recoge Gartner en sus predicciones para los próximos años. Symantec valora las pérdidas mundiales anuales por ciberdelincuencia en 300.000 millones de $. En una consulta pública en Europa casi el 57% de los encuestados declara haber sufrido durante el año pasado incidentes de seguridad con un impacto significativo en sus actividades.

La motivación por la que se produce este tipo de ciberataques es múltiple y variada según los expertos. Desde el simple despecho de empleados insatisfechos al espionaje industrial, pasando por el hacktivismo, el ciberterrorismo, el ciberterrorismo de estado, los accidentes o el puro hacking perpetrado por mafias con intereses claramente económicos.

Esto no parece suficiente. Nuestra percepción, como expertos en la materia, es francamente negativa. El grado de desconocimiento en nuestra sociedad es alarmante. Se recoge en las encuestas. Según el eurobarómetro de 2012 el 71% de los españoles reconoce estar mal informado de los riesgos relacionados con la ciberseguridad, frente al 58% de los europeos. Si en los casos de ciberdelincuencia en general la situación es alarmante, en el caso de los sistemas de control industrial en particular, y por tanto de la ciberseguridad industrial, nuestra percepción es que la situación es mucho más grave. En términos generales no se percibe el riesgo. Se percibe como un vector de desarrollo de negocio para las empresas consultoras especializadas en seguridad. Evidentemente eso es cierto, es una oportunidad de desarrollo de una carrera profesional para todos los expertos en seguridad, pero tan cierto como esto es que las ciberamenazas sobre nuestra sociedad existen y si no actuamos pagaremos las consecuencias.

La estrategia de ciberseguridad europea acaba con un “Ha llegado el momento de actuar”. Leon Panetta, Secretario de Defensa de los EEUU ha llegado a decir que “el próximo Pearl Harbor podría consistir en un ciberataque que hiciera descarrilar trenes de pasajeros o cargados con sustancias químicas letales”. Sin llegar a analizar estos extremos, desde estas líneas queremos hacer un llamamiento a la acción, una petición para que se aplique el sentido común y se revise la seguridad de todos y cada uno de los sistemas conectados de una u otra forma a la red, ya sea porque gestionamos una infraestructura importante, ya sea porque queremos proteger nuestros secretos industriales, ya sea porque no queremos que nos roben o que la competencia se entere de nuestra estrategia comercial. Sea por el motivo que sea hagan ustedes que sus equipos técnicos, informáticos o no, revisen la seguridad digital de sus sistemas. Construyamos entre todos una sociedad segura protegiendo no solo la sociedad física tradicional, sino también, la sociedad digital en la que vivimos desde hace ya años.

Una visión global de la ciberseguridad de los sistemas de control (II)

4 de noviembre de 2013 Por
(N.d.E. Este artículo fue publicado en el número 106 de la revista SIC, correspondiente a Septiembre de 2013. Sus autores son Óscar Navarro Carrasco, Responsable de ciberseguridad industrial, y Antonio Villalón Huerta, Director de seguridad. Ambos trabajan en S2 Grupo y pueden ser contactados vía onavarro en s2grupo.es y avillalon en s2grupo.es)

La semana pasada finalizábamos el artículo haciendo al lector una pregunta ¿tiene en cuenta el enfoque actual de la ciberseguridad industrial este contexto?

Y la respuesta, en nuestra opinión, es que NO.

En primer lugar, y siempre en términos generales, los elegidos dentro de las empresas para gestionar la ciberseguridad industrial y todo lo referente a la LPIC son, como no debe ser de otra forma, los departamentos de seguridad, en el mejor de los casos, o los responsables de seguridad tecnológica; incluso si no existen estos roles, es directamente el departamento TI quien pasa a hacerse cargo de cualquier cosa que tenga el prefijo “ciber”. Esta elección puede parecer obvia en ciertas ocasiones, pero como ya indicamos al principio, saber conducir no es equivalente a conocer la ruta.

Estas personas tienen que librar una batalla con departamentos en ocasiones más antiguos, con directivos ‘pata negra’ que han trabajado en el núcleo del negocio –o eso creen- toda la vida (posiblemente en el sentido estricto), que perciben la seguridad como un simple gasto y cualquier cosa tecnológica como algo recién llegado que carece de una importancia real y que llega a invadir su territorio, su reino. Y lo que es peor, es muy posible que en las reuniones quede patente que, efectivamente algunos departamentos de seguridad –o de tecnologías- no conocen ni siquiera este lenguaje, al igual que esos “expertos” en negocio no entienden ni una palabra del riesgo tecnológico. El resultado de las confrontaciones las debe resolver un superior jerárquico que posiblemente proceda, igualmente, del ‘núcleo duro’ y que entiende lo que dice una parte, pero por desgracia posiblemente no lo que dice la otra. Y es muy difícil convencer a alguien cuando el único argumento que queda es el de la amenaza, especialmente si ésta no se percibe como tal. Otras amenazas, como las consecuencias de un fallo en el sistema de control a causa de una intervención incorrecta (medible en repercusión social y lucro cesante) son mucho más fácilmente asimilables, ya que suponen la preocupación diaria de estos directivos.

Es poco realista fijar objetivos a largo plazo considerando como tal el horizonte 2017-2018, como se propone en el Mapa de ruta de ciberseguridad industrial en España. Guste o no, en un sector donde algunos PLC todavía usan sistemas operativos y protocolos de más de 20 años de antigüedad, 5 años constituye un plazo, a lo sumo, medio, al menos de momento. Es a consecuencia de todo ello que se llega a una situación de bloqueo como la actual, lo que tiene como resultado que los plazos previstos en la LPIC y en el Reglamento que la desarrolla se estén incumpliendo.

Es posible, incluso, que los responsables de los sistemas de control industrial intenten adoptar medidas en este ámbito, siempre bajo su supervisión. El problema de esta aproximación es que ni la formación ni la cultura facultan al personal de este departamento para trabajar en esta cuestión, siempre hablando en términos generales. Incluso puede que estas medidas no tengan más objeto que justificar que se están ‘haciendo cosas’, una razón más para apartar de la cuestión al departamento de seguridad o al departamento TI y proseguir con esa lucha entre reinos que tanto suele preocupar a esos directivos “pata negra” y tan poco preocupa a la sociedad.

Certificaciones polémicas

Es fácil caer en la tentación de trasladar directamente las estrategias y experiencias que han dado buen resultado en el ámbito TI al ámbito industrial. Recuérdese el dicho: “cuando todo lo que tenga sea un martillo, todo lo que vea le parecerá un clavo”. Sólo un ejemplo, existe ya una certificación expedida por el IACRB denominada CSSA (Certified SCADA Security Architect). En primer lugar, en el campo profesional industrial un pie de firma repleto de acrónimos correspondientes a certificaciones resulta, cuando menos, extravagante —al igual que a muchos nos parece ridículo en el ámbito tecnológico—. La pregunta es: ¿Cuántos sistemas SCADA o procesos industriales han diseñado los poseedores de tal acreditación? ¿Es necesaria experiencia previa en sistemas SCADA para obtenerla? Más aún, los profesionales que se dedican, por ejemplo, a programar PLC ¿poseen la base necesaria para alcanzar la certificación? Antes de responder afirmativamente, rogamos al lector que se pregunte con cuántos programadores de PLC ha hablado. La realidad es que tal certificación está en posesión, al menos en España, de profesionales del ámbito TIC. Es fácil y obvio imaginar la escasa disposición de un responsable de un sistema de control a aceptar recomendaciones de un CSSA sin experiencia en diseño, operación o mantenimiento de sistemas SCADA.

fotoOtro error consiste en pretender que el sector industrial y de infraestructuras adopte cambios o acometa acciones radicales a la velocidad a que suele ocurrir o es posible en las TIC. En este caso hay que buscar un término medio entre pretender lo imposible y retrasar lo inevitable, dos caminos que conducen al desastre. En este sentido es, en nuestra opinión, poco realista fijar objetivos a largo plazo considerando como tal el horizonte 2017-2018, como se propone en la recientemente publicado Mapa de ruta de ciberseguridad industrial en España del Centro de Ciberseguridad Industrial. Guste o no, en un sector donde algunos PLC todavía utilizan sistemas operativos y protocolos de comunicaciones de más de 20 años de antigüedad (un éxito, sin duda, de sus creadores), 5 años constituye un plazo, a lo sumo, medio, al menos de momento. Es a consecuencia de todo ello que se llega a una situación de bloqueo como la actual, lo que tiene como resultado que los plazos previstos en la LPIC y en el Reglamento que la desarrolla se estén incumpliendo.

Lo dicho anteriormente no se basa en especulaciones sin fundamento. Es el resultado de nuestra experiencia al respecto, tanto de S2 Grupo como la nuestra en particular. Uno de los autores es Ingeniero Industrial y hasta su incorporación a S2 Grupo había desarrollado su carrera en el ámbito de la ingeniería y construcción; nunca había trabajado con ingenieros informáticos. Por el contrario, otro de los autores es Ingeniero Informático, especializado en seguridad, por lo que para él hablar de meses o años para corregir una vulnerabilidad, o utilizar sistemas operativos de hace lustros es, sencillamente, algo no asumible. Tanto uno como otro llegan a afirmar que la relación con los otros profesionales es comparable a la del contacto con alienígenas y sólo cuando han desarrollado un lenguaje común y tenido una noción del trabajo llevado a cabo por la otra parte ha sido posible iniciar una relación fructífera. A la vista de todo lo expuesto, cabe cuestionar si el enfoque actual de la ciberseguridad industrial es el adecuado o si los que trabajamos en seguridad desde hace tiempo estamos pensando que la situación —y la solución— es sólo cosa nuestra. Se dice que no por mucho madrugar amanece más temprano y lo urgente de la cuestión no justifica adoptar medidas precipitadas, más aún cuando éstas pueden resultar contraproducentes.

Se ha hablado mucho de la falta de formación en ciberseguridad de los profesionales del ámbito industrial, asi como de concienciación. Sin duda, son aspectos en los que se debe trabajar. Pero hay dos cuestiones en las que no se suele reparar y que son de la mayor importancia: la inercia/conservadurismo y el corporativismo.

En nuestra opinión, el trabajo de mejora de la ciberseguridad industrial no puede realizarse de espaldas a los profesionales que han diseñado, construido y mantienen en explotación las infraestructuras que se deben proteger, igual que esos profesionales no pueden vivir ni un minuto más sin concienciarse –siempre es el primer paso- de la importancia de la seguridad. Es evidente que ambas partes tienen mucho que aportar y su participación es imprescindible. Los expertos en seguridad tecnológica poseen la experiencia y las herramientas técnicas, mientras que los profesionales en procesos y sistemas de control industrial deben aportar su conocimiento de los sectores productivos, los procesos controlados y las limitaciones que el contexto impone a las soluciones específicas.

Por ejemplo, hay cuestiones que el sector tecnológico ha resuelto de forma excelente y que deben incorporarse, con las consideraciones específicas oportunas, al ámbito de los sistemas de control. En primer lugar, el empleo de técnicas de correlación compleja para la identificación y caracterización de incidentes de seguridad. Ello es tanto más importante por cuanto los ataques a estos sistemas están adoptando la forma de APT y son, por tanto, bastante más complejos que una simple orden de ‘shutdown’. En segundo lugar, el modo en que se gestionan los incidentes en el ámbito tecnológico; los sistemas industriales están diseñados para hacer que el fallo sea algo extremadamente raro (tanto más raro cuanto más peligroso resulte). Su gestión está poco regulada y depende altamente de las personas y su experiencia y conocimiento de la instalación controlada. En cambio, en las TIC se ha aprendido a convivir con el fallo, razón por la cual se han desarrollado herramientas, sistemas y procedimientos de gestión que permiten tratar eficazmente las consecuencias, por ejemplo, de un ciberataque. A modo de ejemplo y en esta línea en S2 Grupo disponemos de un iSOC (industrial Security Operation Center) destinado a tratar estas incidencias con un enfoque mixto.

En definitiva, creemos que la estrategia actual en ciberseguridad industrial ha descuidado, hasta el momento, algunos aspectos cruciales. Como consecuencia, el progreso ha sido más lento de lo esperado a pesar de las exigencias legislativas. Para corregir esta situación hay que incidir en cuestiones que hasta el momento no han recibido la atención necesaria:

1. Tener en cuenta que el sector industrial es muy heterogéneo, por lo que no existen soluciones generales. Es imprescindible conocer las particularidades de cada uno de ellos para realizar un enfoque adecuado. Este trabajo sólo pueden hacerlo profesionales de los sectores implicados.
2. Recordar que un sistema SCADA no es sólo el software de supervisión, el servidor SCADA o la red de comunicaciones (elementos familiares para un profesional TI). Se trata de un sistema complejo en el que también hay elementos físicos (como, por ejemplo, instrumentación y actuadores). En este sentido, posibles soluciones para problemas específicos irresolubles a nivel TI pueden pasar por volver a recuperar cosas como la lógica cableada y los enclavamientos físicos y eléctricos, viejos conocidos de los profesionales industriales.
3. Tener en cuenta el ritmo a que se asimilan los cambios en el sector industrial para no fijar horizontes no realistas.
4. Prestar la máxima atención al factor humano, evitando que se den situaciones de enfrentamiento tipo Nosotros vs. Ellos que acaben en posiciones ultradefensivas o de bloqueo.
5. Desarrollar aproximaciones sucesivas teniendo en cuenta las largas vidas útiles de equipos e instalaciones.
6. Las Administraciones y otras entidades licitadoras de infraestructuras deben incluir en los pliegos exigencias concretas relativas a la ciberseguridad industrial de las instalaciones proyectadas, de forma que estas condiciones pasen a formar parte del proceso proyecto-construcción.
7. Es imprescindible la formación de equipos interdisciplinares lo que debe alcanzar también a la interlocución con los responsables de la gestión de las infraestructuras críticas. De esta forma, éstos podrán comunicarse, además de con expertos en ciberseguridad, con personas de formación y experiencia afines, lo que ayudará a salvar los obstáculos culturales (especialmente a un nivel intermedio).
8. Se hace mucho énfasis en la formación, especialmente en la forma de másteres específicos. Pero no debe olvidarse que, en muchas ocasiones, los propios programadores disponen de gran autonomía en la toma de decisiones técnicas específicas en el diseño de los sistemas, por lo que no se debe descuidar ningún nivel educativo o profesional.
9. Siguiendo con la formación, creemos que debe evitarse extender el modelo basado en certificaciones específicas, tan habitual entre los profesionales TIC, a los especialistas en sistemas de control industrial.
10. Se deben desarrollar instalaciones dotadas de sistemas de control, industrial suficientemente realistas como para permitir adquirir experiencia en ciberseguridad (tanto en estrategias de ataque como de defensa o gestión de incidentes). Estas instalaciones son el ámbito idóneo para los equipos mixtos que deben trabajar en ellos desde el momento mismo del diseño. Además, constituyen un medio de demostración importantísimo para el personal no formado en ciberseguridad.
11. A modo de resumen final: evitar trasladar tal cual la experiencia y procedimientos de ciberseguridad en el ámbito TI al ámbito industrial. Una nueva cultura común debe surgir del trabajo conjunto de todos.

Pueden descargar el artículo original desde este enlace: Una visión global de la ciberseguridad de los sistemas de control. Revista SIC, número 106, Septiembre 2013.

Una visión global de la ciberseguridad de los sistemas de control (I)

24 de octubre de 2013 Por
(N.d.E. Este artículo fue publicado en el número 106 de la revista SIC, correspondiente a Septiembre de 2013. Sus autores son Óscar Navarro Carrasco, Responsable de ciberseguridad industrial, y Antonio Villalón Huerta, Director de seguridad. Ambos trabajan en S2 Grupo y pueden ser contactados vía onavarro en s2grupo.es y avillalon en s2grupo.es)
La ciberseguridad de los sistemas de control industrial y la protección de infraestructuras críticas se encuentra a caballo entre dos mundos: el de los expertos en seguridad y el de los profesionales de los sistemas industriales. Actualmente la aproximación a este problema se ha realizado exclusivamente desde una perspectiva, la tecnológica, posiblemente por incomparecencia de la otra parte. Sin embargo la aportación de ambas visiones del problema es fundamental para una adecuada protección de nuestras infraestructuras.

Es un hecho que la ciberseguridad de los sistemas de control industrial constituye una de los grandes asuntos del momento. Desde hace algunos años existe una preocupación generalizada acerca de las amenazas que se ciernen sobre estos elementos críticos para el funcionamiento de las sociedades modernas y su capacidad para enfrentarse a ellas. Sin embargo, el progreso es exasperadamente lento y, en términos prácticos, poco parece haberse avanzado. ¿Por qué? ¿Acaso la magnitud del riesgo no justificaría que se adoptasen medidas con la máxima urgencia?

Para descubrir la causa de esta aparente contradicción hay que comenzar por cuestionarse incluso lo que parece evidente. Y para empezar, nada mejor que repasar la primera afirmación de este texto:

¿Es un hecho que la ciberseguridad de los sistemas de control industrial constituye uno de los grandes asuntos del momento? ¿Constituye este asunto una preocupación generalizada?

[Read more…]

“Núcelar”. La palabra es “nuu-ce-lar” (*)

2 de octubre de 2013 Por

Recientemente leí un artículo publicado por Joseph M. Weiss en su blog Unfettered blog. El título reza “The system is still broken. The failure of a cyber-sensitive substation device affecting a nuclear plant” y puede consultarse aquí. El título es bastante elocuente y capta inmediatamente la atención del lector. Y ello, en mi opinión, ocurre por la combinación de tres palabras: failure + cyber + nuclear. Toda época tiene sus miedos y la nuestra, como recuerdo de la guerra fría y la posibilidad cierta de una catástrofe atómica, lo tiene al holocausto nuclear. Este terror es reforzado de tanto en tanto, de forma que nunca deja de estar presente. Tras el fin de la guerra fría vino Chernóbil, y ahora tenemos Fukushima. La bestia atómica ha actuado contra su creador en tres ocasiones: a causa de un acto de guerra en Hiroshima y Nagasaki, a causa de la incompetencia y el mal diseño en Chernóbil y, finalmente, a causa de la Tectónica de placas en Fukushima. ¿Qué será la próxima vez? En la era de las TIC un acto de ciberguerra, ciberterrorismo o ciber-mala suerte se postula como candidato para abrir la puerta del terror nuclear.

Planta de generación de energía eléctrica de Didcot (UK)(1)

Ahora bien, tras captar nuestra atención con semejante título, ¿qué hay en el texto? Pues, básicamente, se describe un incidente reportado en una central nuclear. Según se refiere en el artículo, un cambiador de tomas falló tras estar operando de forma continuada durante un intervalo de tiempo demasiado largo. Este tipo de dispositivos se emplean en los transformadores de potencia para regular automáticamente la tensión en los devanados de salida manteniendo ésta dentro de límites prefijados. Puesto que estos dispositivos tienen capacidad de conectarse y gobernarse de forma remota, se especula con la posibilidad de que haya sido víctima de un ciberataque. Y nada más. ¿Pudo haberlo sido? Quizá sí, quizá no. ¿Cuál fue la afección sobre la central? Pues posiblemente ninguna. Como bien se dice en el texto, estos dispositivos se emplean en muchos puntos de la red eléctrica y no constituyen un componente exclusivo de una central nuclear. De hecho, hay muchos otros lugares donde un fallo de este tipo de dispositivos es, potencialmente, más dañino.

Así pues, la sensación tras leer el artículo es que nos encontramos con la descripción de un caso tipo “alguien ha matado a alguien”. La adición del factor nuclear actúa como multiplicador para dar entidad al caso.

Esto es sólo un ejemplo de cuán automática es la asociación de las palabras “Infraestructuras críticas” y “energía nuclear”. Y esta asociación, por tópica, acaba por diluir el riesgo real ya que, a fin de cuentas, la mayor parte de las infraestructuras críticas no son centrales nucleares y la mayor parte de los ciberataques no buscan (o buscarán) provocar un síndrome de China. Y es que una cosa es provocar la indisponibilidad de una central de generación (de cualquier tipo) y otra cosa es hacer volar un reactor nuclear. ¿Cuál es la diferencia (más allá de un impacto local) de provocar la indisponibilidad de un tipo de planta u otro? A efectos comparativos, la participación en la generación total durante el año 2012 del parque nuclear español fue del 22,1%, mientras que las centrales de carbón produjeron un 19,3% (2). Alguien podría argüir: “de acuerdo, pero Francia sí que tiene gran cantidad de generación nuclear, por lo que, ya que adquirimos gran cantidad de energía de nuestro vecino, la indisponibilidad de sus centrales sí que nos afectaría”. De nuevo hay una falacia aquí. El saldo de energía intercambiada con Francia durante 2012 fue de 1.524 GWh. El consumo total de España de 251.710 GWh (3). Por cierto que este año no fue una excepción: eléctricamente, la península es una isla a causa de la escasa capacidad de intercambio con el resto de Europa.

Hemos de tener cuidado, pues, con estas cosas. Los mensajes catastrofistas suelen ser contraproducentes, ya que la sociedad termina por insensibilizarse.

Especialmente cuando pasa el tiempo y el Juicio Final no parece llegar tal y como se anunció.

NOTA FINAL: la imagen que acompaña este artículo no es de una central nuclear. Pero es curiosa la tendencia de los medios de comunicación a asociar imágenes de torres de refrigeración, no exclusivas de este tipo de centrales, con noticias sobre energía atómica. O con noticias sobre emisión de CO2, pese a que lo que sale por ellas es vapor de agua.

(*) Simpson, Homer J.
(1) Imagen tomada de Wikipedia. Autor: Owen Cliffe.
(2)(3) Informe sobre el sistema eléctrico español. Año 2012. Red Eléctrica de España.

SCADA e Internet, una pareja mal avenida (II)

25 de septiembre de 2013 Por

La entrada de hoy corre a cargo de Xavi Morant, coordinador técnico de CSIRT-CV. Xavi es Licenciado en Informática por la Universidad Politécnica de Valencia y ha desarrollado su carrera profesional dentro de la Generalitat Valenciana, tanto en el ámbito de la administración de Sistemas como en el de la Seguridad; desde 2007 ocupa el puesto de coordinador técnico del CSIRT-CV, el centro de seguridad TIC de la Comunitat Valenciana.

El lunes publicamos la primera parte de Scada e Internet, una pareja mal avenida. Pues bien, hoy continuamos con la segunda parte para centrarnos en el posible impacto que tendrían las amenazas actuales contra alguno de estos sistemas.

Podríamos hablar de 3 tipos de impacto:

  • Impacto físico: Como consecuencia de un incidente de seguridad podemos sufrir daños en personas, pérdidas de operaciones, pérdida de propiedad o incluso pérdidas de vidas.
  • Impacto económico: Esta situación viene derivada de los daños físicos. El impacto físico, tal como se ha comentado, puede afectar a procesos operacionales que a su vez pueden afectar negativamente la economía local, regional, nacional o incluso la economía global. Adicionalmente las corporaciones que experimenten pérdidas en la continuidad de negocio y/o impacto físico de un incidente de ciberseguridad verán afectada su reputación, lo cual repercutirá en el mercado financiero por la supuesta pérdida de ingresos debido a clientes insatisfechos, desconfiados, etc. Para obtener de nuevo una buena reputación habrá que promover campañas y destinar fondos a una mejora de imagen.

    • [Read more…]