redseguridad 079

Sistemas de gestión de infraestructuras críticas E n el mundo de los sistemas de control y automatización industrial hay numerosos puntos por donde los ata- cantes pueden tratar de vulnerar los sistemas. Estos vectores de ataque podrían poner en peligro la opera- tiva de empresas de manufactura, compañías con procesos continuos, control de infraestructuras, sistemas de distribución de electricidad, gas o agua, aeropuertos, sistemas de con- trol de edificios y un largo etcétera. En definitiva, estamos ante sistemas que no siempre reciben la atención debida en materia de seguridad, cuando los impactos que se derivarían de inci- dentes de seguridad serían más que notorios. Para ejercer el debido control, por supuesto se deben trasladar las necesarias exigencias en materia de seguridad a proveedores de talla mundial de este campo, como pue- dan ser General Electric, Siemens, Rockwell, Honeywell, etc.; pero ade- más se deben cuidar otros aspectos como los accesos remotos a los sistemas, la securización de las redes, el empleo diligente de recursos como tabletas y, principalmente, la interco- nexión segura entre el entorno indus- trial y el entorno corporativo. Además, y en estas infraestructuras es algo muy proclive, se debe entender que la funcionalidad no debe estar por encima de la seguridad, entendido por la misma no la parte de safety , que históricamente si es algo muy cuidado en estos entornos, sino la parte relativa a la seguridad lógica. Por otro lado, hablamos de entor- nos donde todavía queda mucho por hacer en concienciación en ciber- seguridad, además que la obsoles- cencia y heterogeneidad tecnológica no son precisamente elementos de ayuda. De igual modo, la existencia de protocolos de comunicación vul- nerables, de servicios en producción no estrictamente necesarios o las configuraciones por defecto, aumen- tan aún más esa posibilidad de que los sistemas sean vulnerados. En definitiva, una serie de circunstancias que nos hace pensar que el entorno de las infraestructuras críticas tiene aún un importante margen de mejora, debiendo en primer lugar erradicar aquellas malas prácticas que ponen en peligro dimensiones como la con- fidencialidad, la integridad y la dispo- nibilidad de los sistemas. Así, la falta de parches, ateniendo a la máxima de que "si funciona mejor no tocarlo", un control de accesos inadecuado o en algunas ocasiones inexistente, o la falta de gestión de logs más allá de los relativos a los problemas de dis- ponibilidad, son claramente puntos que necesitan ser abordados. ¿De qué forma? Contando con un pro- ceso de seguridad y herramientas para ello. De esta manera se podría reducir la probabilidad y/o impacto derivado de ataques como los ya sufridos en este sector en el pasa- do. Hablamos de ejemplos como Night Dragon –que afectó a diversas empresas relacionadas con el petró- leo y gas–, el ataque de disponibi- lidad que sufrió en 2011 la planta de tratamiento de agua en Illinois, el ataque en 2012 contra la petrolera Saudi Aramco o los daños materia- les masivos que sufrió una planta siderúrgica en Alemania debido a la imposibilidad de apagar un alto horno debido a tal ataque. ISA 62443-2-1 Más recientemente, podríamos men- tar los ataques sufridos en 2014 por varias empresas energéticas de Reino Unido usando la técnica de wate- ring hole , o el apagón eléctrico en 20 red seguridad cuarto cuatrimestre 2017 José Antonio Rubio PhD Cybersecurity & Digital Trust del Centro de Estudios Europeos URJC-Icraitas opinión PIC monográfico