Default Alternative Text

Incorporación de confianza y seguridad integrales

La historia de la automatización industrial me fascina. La innovación continua y las nuevas tecnologías han tomado los procesos de fabricación que se originaron en la era industrial y los han catapultado directamente a la era de la información. Justo cuando la productividad parecía llegar a sus límites, Internet ha ayudado a mejorar la productividad y la eficiencia a niveles antes inimaginables. Por desgracia, conforme la automatización industrial irrumpía en el mundo interconectado e impulsado por los datos de hoy en día, dejó rápidamente atrás la seguridad digital sin levantar el pie del acelerador.

Bienvenidos a la era digital, donde un hacker anónimo, desde algún entorno virtual, puede poner palos en las ruedas de los sistemas de automatización industrial. ¿Cómo protegemos estos sistemas sin dejar de satisfacer las necesidades de los grupos de interés corporativos? Los equipos de tecnología operativa (OT) siguen pidiendo una alta resistencia y disponibilidad. Los equipos de tecnologías de la información (TI) exigen interconectividad, seguridad empresarial y cumplimiento. Y ambos equipos deben adaptarse al nuevo vecino del bloque: los analistas de datos, que requieren, en tiempo real, la captura, el intercambio y el análisis de datos de todas las decisiones de la empresa.

En este artículo se analiza el estado actual de la seguridad del sistema de automatización industrial, los retos tecnológicos y organizativos de mejorarlo, y un modelo dinámico para incorporar la confianza y la seguridad integrales en los sistemas de control industrial (ICS) y en los sistemas de control de supervisión y adquisición de datos (SCADA).

El crimen y el conflicto tienen una nueva dirección

Los robos físicos y los ataques a los sistemas SCADA e ICS son en gran parte un fenómeno del siglo XX. En la actualidad, la inmensa mayoría de los ataques los llevan a cabo atacantes bien financiados y altamente motivados que a menudo son consumados ingenieros informáticos que trabajan para grupos organizados del cibercrimen en otros continentes. La competencia empresarial y los estados son los últimos contendientes de la guerra cibernética, ya que el campo de batalla se ha expandido hasta incluir instalaciones de fabricación, empresas de entretenimiento e infraestructuras críticas. He aquí algunos ejemplos notables:

  • El ataque más sonado a un sistema de automatización industrial se produjo en 2010, cuando el gusano informático Stuxnet atacó las plataformas de automatización industrial de una instalación de enriquecimiento nuclear de Irán y manipuló sutilmente la lectura de datos de las unidades de centrifugación. Se cree que este es uno de los primeros ataques llevados a cabo por un estado, aunque la fuente del ataque nunca pudo ser identificada con seguridad.
  • En diciembre de 2014, una agencia federal alemana confirmó que una planta siderúrgica alemana había sido blanco de un correo electrónico malicioso que permitía a los hackers introducirse en la red de producción. El sistema de control de la planta quedó en peligro, ya que se impedía que el horno se apagara. Fue el primer caso de "daño físico masivo" al sistema de producción; lo que nos catapultó repentinamente hacia una nueva era de ataques ciber-físicos que representan una amenaza para la seguridad de las personas.
  • En diciembre de 2014, un proveedor líder de sistemas de automatización industrial parcheó una serie de defectos en sus controladores de terminales remotos utilizados en oleoductos y gasoductos. Los defectos incluían funciones ocultas, un método para evitar la autenticación y credenciales programadas en el código no modificables, lo que podría permitir la manipulación remota de los dispositivos. Aunque no se ha informado de brechas en la seguridad hasta la fecha, la existencia de vulnerabilidades de este tipo podría tener consecuencias muy graves.

Lamentablemente, este tipo de sucesos relacionados con la seguridad siguen aumentando tanto en términos de daños como de frecuencia. Para obtener una lista actualizada de alertas, avisos y ataques documentados, visite el sitio web del Equipo de respuesta de ciberemergencia en sistemas de control (ICS-CERT): https://icscert.us-cert.gov.

Ataques a datos

Hoy en día, la captura y el análisis de datos crean el conocimiento analítico competitivo que permite refinar y optimizar procesos en todas las áreas de negocio. No es raro que los fabricantes inviertan cientos de millones de dólares para conseguir un incremento de la eficiencia de un 10% a un 20%. Las eficiencias provienen de decisiones basadas en datos obtenidos de las conclusiones sobre el uso y la demanda de los clientes, las compras, la optimización de la cadena de suministro, los procesos de producción de fabricación, la planificación predictiva y mucho más.

Al sabotear y manipular sutilmente los datos, los atacantes pueden "desoptimizar" los procesos de una empresa sin que nadie se dé cuenta. Incluso la más mínima manipulación de datos en cualquiera de estas áreas puede paralizar un negocio que trabaje con unos márgenes pequeños.

Mitos y conceptos erróneos de seguridad

Una serie de mitos y conceptos erróneos han obstaculizado la evolución de la seguridad de los sistemas de automatización industrial. Los más comunes incluyen:

  • "Nuestros sistemas de OT siguen a salvo porque nuestra línea de fabricación no está conectada a Internet". Este es un error muy extendido y muy peligroso. Desde 2010, es muy poco probable que cualquier sistema de control de fabricación esté del todo aislado. Solo con que un usuario pueda acceder al sistema de producción mientras está conectado a Internet, o mientras se conecta al sistema a través de un ordenador portátil o una tableta, ya se crean vulnerabilidades de seguridad. ¿Recuerda la instalación de enriquecimiento nuclear de Irán y la planta siderúrgica alemana? No hace falta decir más.
  • "Trabajamos con un sistema propietario de 20 años de antigüedad que no es vulnerable a las técnicas y herramientas de ataque modernas". La vulnerabilidad en sistemas propietarios existentes se encuentra a veces en las comunicaciones y los protocolos, más que en los propios sistemas. La seguridad basada en la opacidad ya no funciona. Pasar de un mundo físico a un mundo virtual/movido por los datos e impulsado por el software plantea retos de seguridad totalmente nuevos. Si los datos tienen valor, los hackers encontrarán la manera de acceder a ellos.
  • "Los proveedores de seguridad traerán la varita mágica que protegerá nuestras tecnologías de explotación de la misma manera que los firewalls y los sistemas de detección de intrusos protegen nuestros sistemas de IT". No existe ninguna solución milagrosa que garantice la seguridad en todo los sistemas ICS conectados a Internet.

Modelo de implementación de seguridad

Establecer una cadena perpetua de confianza

Los sistemas de automatización industrial cliente-servidor actuales han pasado a una arquitectura edge-to-cloud por motivos de coste y flexibilidad. Tienen problemas de seguridad que surgen del mundo interconectado moderno. Independientemente de la aplicación, garantizar la seguridad comienza por establecer una cadena de confianza entre dispositivos, datos y sistemas. Todo dentro del sistema de confianza debe estar autenticado y validado para garantizar una interoperabilidad de confianza y la integridad en todos los puntos.

Por supuesto, los requisitos de disponibilidad y la naturaleza de los sistemas de automatización industrial, muchas veces heredados o preexistentes, añaden nuevos desafíos. Proteger las inversiones existentes en infraestructura ICS es primordial. Por lo tanto, un modelo de seguridad viable debe funcionar tanto con sistemas existentes como con sistemas nuevos. Además, la seguridad es un proceso dinámico, ya que las necesidades y las políticas de seguridad, y los métodos de detección de amenazas cambian con el tiempo. Por lo tanto, cualquier solución viable debe ser adaptable y actualizable.

Requisitos básicos

El modelo de seguridad integrada establece y garantiza la interoperabilidad de confianza que es esencial para la interconectividad de la automatización industrial. Este modelo cuenta con tres requisitos básicos:

  • Dispositivos endurecidos (la seguridad integrada protege las "cosas")
  • Comunicaciones seguras (las "cosas" necesitan hablar entre sí)
  • Supervisión y gestión de la seguridad (responder a los cambios y sucesos)

Dispositivos de endurecimiento

Establecer la cadena de confianza comienza con la validación de la identidad del dispositivo. Los métodos anteriores para validar identidades de dispositivos, como el uso de direcciones IP y de control de acceso de medios (MAC), son poco fiables: las direcciones IP cambian de manera rutinaria y resultan fáciles de falsificar para los piratas informáticos, mientras que las direcciones MAC se pueden restablecer fácilmente. Por lo tanto, la autenticación de dispositivos debe comenzar a nivel físico: en el procesador del hardware.

El endurecimiento de dispositivos puede utilizar tecnología de ejecución de confianza, que aprovecha un coprocesador de seguridad integrado (un microprocesador dedicado diseñado para almacenar claves criptográficas en un recipiente de hardware fijo a prueba de manipulaciones). Esto permite que el propio chip realice operaciones criptográficas como medir el nivel de confianza en el proceso de arranque, en un sistema operativo, en una máquina virtual o en una aplicación. Un aspecto clave de este proceso es la medición precisa de códigos, estructuras de datos, configuraciones, información o cualquier cosa que se pueda cargar en la memoria. Las mediciones consisten en una función hash criptográfica que utiliza un algoritmo hash seguro que permite validar y detectar la integridad en caso de que algún código, configuración o dato medido se haya alterado o esté corrupto. Esto se aplica al software ubicado en el disco para determinar si ha sido manipulado o no antes de cargar el software en la memoria y ejecutarlo.

La cadena de confianza continúa se sigue construyendo y verificando a través de todo el conjunto de software, incluso durante el proceso de arranque, y a través de todo el sistema, incluso durante el cifrado de datos y su transferencia a la nube.

La ejecución de los dispositivos y los datos de confianza es esencial dado el predominio de las comunicaciones de máquina a máquina que manejan la automatización industrial. Por ejemplo, los dispositivos de confianza pueden firmar digitalmente datos recibidos por sensores de control industrial de confianza. En caso de que un hacker manipulara los datos, la firma de los datos sería inexacta y quedarían marcados por el sistema de supervisión. En este caso, el conjunto de datos poco fiable y la máquina o sensor donde se originó se borrarán.

Comunicaciones seguras

Los espacios de transacción de confianza son zonas lógicas que permiten las comunicaciones empresariales autorizadas. Los dispositivos deben garantizar la confianza y la integridad de los datos dentro de cada zona. Dos innovaciones de seguridad integrada permiten la comunicación entre zonas de confianza del pasado y el presente/futuro: las pasarelas de seguridad inteligentes, que permiten a los usuarios agregar, filtrar y compartir datos con seguridad del sistema a la nube; y los entornos de ejecución de confianza, que permiten la ejecución segura y confiable de datos de aplicación en cualquier lugar.

Pasarelas inteligentes: unir el pasado con el futuro

Hay una razón la que los sistemas preexistentes heredados son tan frecuentes en la automatización industrial: funcionan. De hecho, algunos se han perfeccionado durante décadas. Los nuevos tipos de pasarelas inteligentes (algunas de tan solo 5x5 cm) son fundamentales para ampliar los sistemas preexistentes conectándolos a la infraestructura inteligente de nueva generación. Estas pasarelas separan físicamente los sistemas preexistentes, las zonas de producción y el mundo exterior, lo que limita la superficie vulnerable a ataques de un sistema de automatización industrial. La pasarela puede asegurar un dispositivo, o varios, sin necesidad de modificar el dispositivo, por lo que es una solución inicial de seguridad atractiva para crear un nivel consistente de seguridad en un entorno.

Al igual que con cualquier dispositivo endurecido, las pasarelas de seguridad deben arrancar de forma segura, autenticarse en la red y luego realizar cierto número de tareas de seguridad y comunicación en nombre de los dispositivos detrás de ellas. Pueden prepararse para vincular espacios de transacción de confianza mediante la validación de cálculos de integridad, la verificación de los certificados, la aplicación de la criptografía y el establecimiento de enlaces de comunicación de confianza. Las pasarelas también pueden incluir protocolos para la gestión de los sistemas de producción a los que están unidas; además, pueden ampliar la vida de estos sistemas permitiendo la reparación y actualizaciones sin necesidad de una intervención física.

Entornos de ejecución de confianza: seguridad y privacidad en cualquier lugar

Un entorno de ejecución de confianza mejora la seguridad evitando que cualquier dispositivo ejecute código malicioso. Utiliza tecnologías de virtualización y cifrado para crear contenedores seguros para aplicaciones y datos a los que solo pueden acceder dispositivos aprobados. Estos entornos son zonas seguras y de confianza que garantizan una protección a prueba de manipulación de los datos, de manera que los datos y las aplicaciones son invisibles para las terceras partes que puedan transportar, almacenar y procesar información crítica.

Incluso dentro de una máquina virtual que manejen entidades desconocidas, el entorno de ejecución de confianza puede validar la autenticidad de los datos y crear una firma digital para dar fe de su integridad más adelante. Por ejemplo, los datos de producción de un sistema de automatización industrial que almacena y procesa un proveedor de servicios en la nube, como Amazon Cloud, pueden permanecer seguros para garantizar que no se han alterado en secreto.

Gestión y supervisión de la seguridad

Hay un viejo axioma de TI: no puedes gestionar lo que no puedes ver. La supervisión eficaz de los sistemas de automatización industrial distribuidos requiere la capacidad de gestionar de forma centralizada los dispositivos a través de una consola de administración de la empresa, así como la capacidad de monitorizar, recopilar y analizar la información del evento en todos los dispositivos para conocer la situación completa de todo el sistema.

Consolas de gestión de seguridad de la empresa

Una consola de administración de la empresa permite al personal de IT gestionar la complejidad, y poseen la visibilidad global de los entornos altamente distribuidos. La consola de administración es desde donde el personal de IT suministra, administra y actualiza el software en los dispositivos de forma remota, además de definir y perfeccionar las políticas e implementarlas en los dispositivos. Por ejemplo, los dispositivos integrados pueden incluir políticas de listas blancas, que definen las aplicaciones, datos, comunicaciones y otras funciones adecuados para los cuales el dispositivo tiene permiso de procesar.

La consola de administración de una empresa debe estar estrechamente integrada con su solución de información de seguridad y supervisión de eventos (SIEM) y con otros módulos de seguridad. Aquí se debe tener en cuenta la siguiente advertencia: los niveles de integración difieren considerablemente entre proveedores y componentes de gestión de la seguridad. Un mayor nivel de integración puede simplificar en gran medida la complejidad, acelerar el conocimiento preciso de la situación y reducir el tiempo y los costes de gestión. Además, la escalabilidad se convierte en una capacidad crítica para SIEM y para consolas de administración de la empresa.

Información de seguridad y supervisión de eventos

Las soluciones SIEM reúnen, consolidan, correlacionan, evalúan y priorizan los eventos de seguridad de todos los dispositivos administrados que tocan un sistema de automatización industrial. La solución SIEM combina el conocimiento contextual y de la situación de todos los eventos a través de un proceso análisis de tendencias, detección de anomalías y avisos. Las capacidades de comportamiento ayudan a diferenciar entre patrones operativos normales o anómalos, y por tanto a perfeccionar las políticas para minimizar las alertas y respuestas por falsos positivos. Los datos SIEM son también esenciales para realizar análisis que permitan obtener un mayor conocimiento sobre un incidente de seguridad o el fallo de un dispositivo.

La construcción de un ecosistema

Dada la naturaleza interconectada y distribuida de los sistemas de automatización industrial modernos, la seguridad integral se logra mediante el esfuerzo conjunto de múltiples proveedores. Para hacer frente a este desafío, comienza a darse la colaboración de la industria, puesto que fabricantes de equipos originales (OEM) de infraestructura crítica y equipamiento están formando activamente consorcios con los proveedores de seguridad empresarial para garantizar la interoperabilidad, establecer estándares abiertos y definir las interfaces de programación de aplicaciones. Los nuevos sistemas y dispositivos de control industrial se están construyendo de forma segura desde cero y están diseñados con tecnologías de seguridad que garantizan la retrocompatibilidad y la compatibilidad futura.

Consejos: Consejos, trucos y conocimientos esenciales

No hay dos empresas iguales, cada una tiene unas infraestructuras de seguridad, tecnologías de explotación y procesos únicos. Algunas han logrado progresos considerables en la creación de soluciones de seguridad de TI/OT convergentes, mientras que otras están aún en fases iniciales. Independientemente de dónde se encuentre una organización en este proceso, aquí hay ciertas pautas generales a tener en cuenta.

  • Establecer un grupo de trabajo. Asegurarse de incluir personal de TI y de OT. Buscar a personas clave en los grupos de control de los sistemas industriales y de fabricación, e incluirlos en las actividades y las sesiones informativas. Recorrer la fábrica o la planta de producción y hablar con los supervisores y con el personal que trabaja con el público.
  • Planificar las cosas por fases Centrarse en funciones clave que sean realizables y mensurables dentro de unos plazos razonables. Por ejemplo, puede comenzarse con el despliegue de pasarelas inteligentes en dispositivos o zonas de producción clave en una misma instalación, y utilizar ese centro como piloto para la supervisión y la gestión de eventos y para perfeccionar las políticas.
  • Seleccionar a proveedores capaces que trabajen bien con los demás. ¿Los posibles proveedores forman parte de un ecosistema de fiabilidad demostrada que incluye integradores de sistemas, expertos en seguridad y fabricantes de equipos originales? Dadas las formidables complejidades de asegurar los sistemas de automatización industrial, no existe una solución de un único proveedor ni ninguna panacea tecnológica. ¿Es la seguridad su competencia básica? ¿Tienen experiencia en seguridad integrada y en infraestructura crítica? Por último, ¿pueden ofrecer algo además de una bonita presentación o artículos visionarios? Es decir, ¿cuentan con una arquitectura de referencia y con referencias de clientes, y pueden proporcionar diseños de arquitectura y planes de integración claros?
  • Insistir en la escalabilidad. Es necesario asegurarse de que las tecnologías de gestión y supervisión pueden escalarse para adaptarse a posibles adquisiciones u operaciones de fusión. Igualmente, deben poder adaptarse a lo que sin duda será un aumento drástico en el número de dispositivos conectados a Internet y de eventos relacionados con la seguridad cuando la empresa crezca.

Conforme avanza el proceso, debe considerarse cómo utilizar estos conceptos básicos para lograr mayores niveles de integración de la seguridad, comunicaciones seguras y capacidad de gestión en los sistemas de automatización industrial. Después de todo, en estos días nunca se está demasiado protegido.

AVANCE RÁPIDO

  • Los sistemas de automatización industrial interconectados se enfrentan a nuevos retos de seguridad, como la piratería, el espionaje industrial y el sabotaje.
  • Garantizar la seguridad de estos sistemas requiere de una cadena continua de confianza que abarque todos los dispositivos, datos y sistemas.
  • Los requisitos arquitectónicos incluyen dispositivos endurecidos, comunicaciones seguras y una gestión y supervisión de la seguridad consistente.

Una OPA hostil a través de la manipulación de datos: Un ejemplo hipotético

El mundo es un lugar complicado. Agentes sin escrúpulos harán todo lo posible por mejorar sus propias perspectivas dañando a los competidores, lo que incluye piratería, espionaje industrial y sabotaje.

Consideremos este ejemplo teórico: un importante conglomerado químico quiere adquirir a un competidor que no tiene ningún deseo de ser comprado. Pirateando los sistemas de producción del competidor, manipulando los pedidos de inventario o alterando ligeramente las especificaciones de los materiales se podría provocar un efecto negativo en la calidad del producto. Esto hace caer la satisfacción del cliente, lo que a su vez baja las ventas y reduce la rentabilidad; y todo ello probablemente sin ser detectado. El descontento resultante de los accionistas podría crear una oportunidad de adquisición y un precio de compra favorable.

Los sistemas de automatización industrial son particularmente vulnerables a esta tendencia de ataque debido a que muchos de estos sistemas están conectados a Internet, pero sin la protección adecuada. Y, dada la amplia presencia de los sistemas automatizados, muchas decisiones diarias se toman mediante interacciones entre máquinas, lo que hace difícil rastrear tales decisiones sin las consideraciones de seguridad adecuadas.

Aunque la guerra cibernética es claramente una decisión empresarial carente de toda moral, es difícil debatir su valor económico.

Al sabotear y manipular sutilmente los datos, los atacantes pueden "desoptimizar" los procesos de una empresa sin que nadie se dé cuenta.

Dos innovaciones de seguridad integrada permiten la comunicación entre zonas de confianza del pasado y el presente/futuro: las pasarelas de seguridad inteligentes. . . y los entornos de ejecución de confianza.

RECURSOS

ISA99

www.isa.org/isa99

ISA Security Compliance Institute

www.isasecure.org

ACERCA DEL AUTOR

Sven Schrecker (sven_schrecker@mcafee.com) es el arquitecto jefe del Grupo IoT Security Solutions de Intel Security. Es copresidente del Grupo de Trabajo de Seguridad para el Industrial Internet Consortium, donde trabaja en plataformas abiertas y basadas en estándares para permitir la seguridad integral a través tanto de las tecnologías existentes (brownfield) como de las nuevas tecnologías (greenfield).

Consulte la versión en línea en www.isa.org/intech/20150401.

Copyright International Society of Automation Marzo/Abril de 2015

Este artículo fue redactado por Black & Veatch de Breaking Energy, y cuenta con licencia legal a través de la red editorial NewsCred.