lanaccess@lanaccess.es
+34 93 298 86 50

¿Cómo balancear en infraestructuras críticas el conflicto entre seguridad e interconectividad?

Lanaccess > Artículos > ¿Cómo balancear en infraestructuras críticas el conflicto entre seguridad e interconectividad?
  • Enviado por: Lanaccess
  • Categoria: Artículos

Antonio Marco. CISO LANACCESS

¿Tienes bien protegido tu entorno de tecnologías de operación (OT)?

Las consecuencias de vivir en un mundo hiperconectado, donde cada vez crece más la necesidad de mantenerlo todo “online” hace que tanto los entornos OT como las infraestructuras críticas, que históricamente estaban aisladas, comiencen a tener la necesidad de interconectarse.

Este hecho, que podríamos considerar fruto de la evolución normal en los procesos de digitalización, implica la necesidad de extender las redes, incrementar el uso del Wireless o recurrir a la instalación de dispositivos de tipo IoT, que pueden aumentar significativamente la permeabilidad en los entornos críticos, facilitando que se puedan llegar a materializar incidentes de seguridad.

Las infraestructuras críticas “son sistemas que se consideran esenciales y los servicios que prestan son vitales para las operaciones cotidianas, la economía, la seguridad y el bienestar general de las sociedades modernas”.

¿Pero y si un ciberataque dañara cualquiera de estos entornos críticos? Más allá del impacto en el plano digital, todos nos acordamos del incidente WannaCry, surgiría también la posibilidad de que se produjeran daños medioambientales, afectación a la salud pública o simple y llanamente poner en riesgo vidas humanas. Las consecuencias podrían ser de una extrema gravedad, ya que sin duda se trata de instalaciones que prestan servicios esenciales a la sociedad.

Los Planes de Protección Específicos de las diferentes infraestructuras incluyen todas aquellas medidas que se consideran necesarias en función de los análisis de riesgos realizados y en base a las amenazas que afecten a sus activos, incluyendo los sistemas de información. Las amenazas sobre infraestructuras críticas tienen un componente cibernético de enorme importancia que puede afectar tanto a las infraestructuras en sí, como a todos los demás entornos industriales relacionados que dependan de la tecnología para su control y funcionamiento.

El enorme impacto de la actual pandemia ha derivado en una aceleración forzosa hacia soluciones de teletrabajo, abonando el terreno a los ciberdelincuentes, que ahora disponen de un mayor radio de acción, sobre todo en lo que tiene que ver con las soluciones de acceso remoto, que nos permiten acceder desde casa a nuestro puesto de trabajo y que no siempre están correctamente securizadas.

Diferencias entre OT e IT

¿Pero que es OT?, ese gran olvidado. ¿Y que lo diferencia del IT? En el entorno industrial hablamos de Operational Technology (OT), es decir dispositivos inteligentes como: sensores, sondas, controladores, actuadores, etc.; mientras que en el entorno corporativo IT nos referimos a bases de datos, repositorios documentales, servidores, etc. Además, las Tecnologías Operacionales son estructuralmente distintas, pues se componen de multitud de pequeños dispositivos diseminados en un amplio espacio. Diametralmente opuesto a lo que ocurre con los sistemas IT, que suelen agruparse en CPDs.

Otra gran diferencia es que mientras en entornos IT la confidencialidad de la información es uno de los aspectos más importantes que debemos proteger, en los entornos OT la disponibilidad es el factor de mayor criticidad. Si ponemos el foco en las grandes diferencias técnicas que separan ambos mundos, observamos que el conocimiento tecnológico que poseen los profesionales de cada sector es claramente distinto, facilitando el distanciamiento entre ellos.

Desde el ámbito de la ciberseguridad nos enfrentamos a grandes retos. La adopción de nuevas tecnologías de la información unido, a la fuerte demanda de conectividad ha provocado que tecnologías utilizadas en entornos IT hayan pasado a formar parte de entornos OT, aumentando significativamente la superficie de contacto con las amenazas en el ciberespacio.

¿A qué tipo de brechas de seguridad se exponen los entornos OT?

Tanto la seguridad de las plantas industriales, como el de las infraestructuras críticas se ha visto cada vez más amenazada en los últimos años. Sobre todo, con el auge de diferentes formas de ciberdelincuencia y ciberterrorismo, con la proliferación del acceso web a los sistemas SCADA, con la adopción de los paradigmas cloud, móvil y BYOD (Bring Your Own Device) y con la confluencia de las tecnologías IT en el ámbito OT.

En muchas ocasiones, la criticidad y especificidad del entorno industrial no permite implementar las mismas contramedidas que en un entorno IT tradicional. De hecho, existen claras diferencias entre los ámbitos IT y OT, que justifican la necesidad de abordar el desarrollo e implantación de programas de ciberseguridad industrial específicos que estén alineados con las políticas de seguridad IT de la organización.

En los entornos OT, potencialmente más vulnerables, las directrices y políticas que afectan a todos los ámbitos relativos a ciberseguridad se deben desarrollar bajo metodologías de mejora continua, ya que los riesgos y las amenazas se encuentran en constante cambio y evolución. Por este motivo, o aumentamos el presupuesto destinado a la ciberseguridad del sector OT o directamente hacemos converger IT con OT, alineando las medidas de seguridad de ambos entornos. Esta acción comporta un aumento de la exposición, al expandir la superficie de riesgo e implica una completa redefinición de las medidas y políticas de seguridad.

La doble naturaleza IT-OT que hemos abordado, fruto de la digitalización de las tecnologías operacionales eleva de manera exponencial los riesgos de ciberseguridad. En este sentido la protección y la disponibilidad de las instalaciones se vuelve imprescindible, para no verse abocado a situaciones como la del mayor fabricante japonés de productos ópticos Hoya Corporation, afectado por un ciberataque a finales de febrero de 2020, que provocó una afectación en el entorno OT que acabó derivando en un cierre parcial de sus líneas de producción.

Medidas para minimizar el alcance de un ataque

Considerando el alto valor de este tipo de activos, en la definición de la estrategia de protección de las infraestructuras críticas se deberían considerar aspectos como:

  • La identificación de las infraestructuras críticas fundamentales y las accesorias en función de su carácter operacional.
  • Determinar las principales amenazas y los riesgos que podrían interrumpir la continuidad o el correcto funcionamiento de la planta.
  • Establecer las prioridades, en función de su tipología, la relevancia, la peligrosidad y potencial dañino del tipo de riesgo y sus consecuencias.
  • Realizar un estudio de Benchmarking para cotejar los criterios y soluciones que empresas homólogas aplican en industrias pertenecientes al mismo sector.
  • Comparativa. Evaluar las diferentes soluciones de éxito existentes en la protección de las infraestructuras críticas.
  • Plantear un programa de revisiones y actualizaciones periódicas, que ayude a mantener los niveles de seguridad adecuados.

Es importante partir desde el conocimiento del grado de exposición y vulnerabilidad de la red de operación. Para ello, el primer paso es realizar un análisis multidimensional y una auditoría de seguridad de la red. Este análisis nos permitirá asegurar que el procedimiento de convergencia IT- OT, es adecuado. Una vez dado este paso, es importante ir profundizando y realizar análisis cada vez más granulares con el fin de recoger las peculiaridades específicas del entorno y adaptarlo en las nuevas políticas de seguridad.

Para conseguir estos objetivos es muy importante la detección temprana y la implementación de tecnologías que ayuden a aumentar el nivel de seguridad mediante la aplicación de controles y procedimientos seguros. Pero también lo es seguir las mejores prácticas, así como utilizar directivas como NIS, una normativa de ámbito europeo que identifica los sectores en los que es necesario garantizar la protección de las redes y sistemas de información, y establece exigencias de notificación de incidentes de ciberseguridad.

Acciones y procedimientos específicos

  • Realización de auditorías de red IT/OT (no invasivas) de forma periódica, que permitan conocer el estado del tráfico y de la visibilidad existente entre los diferentes segmentos de la red.
  • Identificación exhaustiva de todos los dispositivos que conforman la red, para posteriormente analizar y detectar las vulnerabilidades específicas asociadas a esos sistemas.
  • Análisis de la arquitectura de red, tanto a nivel físico como a nivel lógico para detectar los posibles puntos de mejora, y aplicar medidas de fortificación mediante el uso de soluciones de seguridad específicas.
  • Análisis de los puntos únicos de fallo, para mejorar la disponibilidad de redes críticas, con el objetivo de aumentar la capacidad de resiliencia a fallos mediante el uso de topologías de red redundantes.
  • Utilización de sistemas de vigilancia y detección de intrusos, basados tanto en comportamientos como en firmas, complementado si es posible por tecnologías de engaño.
  • Si se dispone de un entorno controlado de preproducción o de laboratorio, es aconsejable realizar simulaciones de ataques tipo MITM (Man in The Middle), inyección de tráfico malicioso, ataques DoS (Denegación de Servicio), etc. Para observar los resultados y aplicar las medidas de corrección necesarias.

El factor humano

La demanda de conectividad ha provocado que la tecnología usada en entornos IT haya pasado a formar parte de entornos OT sacando a la luz algunas debilidades:

  • En muchas ocasiones, los usuarios que hacen uso de estas tecnologías no están debidamente formados y/o desconocen la tecnología que están operando.
  • Pero también sucede, que a veces el personal de IT ignora qué sistemas están desplegados en OT y por tanto no está en su mano aplicar las medidas y controles de seguridad adecuadas.
  • Derivado del desconocimiento de estas medidas, es posible que el personal de gestión de planta desconozca cuáles son los riesgos que suponen la utilización de ciertas tecnologías IT.

El Internet de las Cosas (IoT) ya no es una tendencia, es una realidad en auge que supone grandes retos en muchos aspectos. Uno de ellos es la necesidad de crear perfiles de seguridad a nivel de usuario, específicos para este tipo hardware.

Brechas de seguridad, prevención de amenazas y vulnerabilidades

La estandarización de tecnologías IT en el ámbito industrial, la proliferación del acceso web a los sistemas o la presencia indiscriminada del IoT, donde casi cualquier dispositivo dispone de su conexión Ethernet, suponen un hándicap, porque no siempre es posible desplegar las mismas contramedidas que en los entornos IT. Por este motivo, factores ampliamente superados en IT, son brechas de seguridad claras en entornos OT como, por ejemplo:

  • Software obsoleto: en entornos industriales rara vez se tienen en cuenta las actualizaciones o en muchos casos es difícil aplicarlas.
  • Controlar el acceso remoto: para facilitar el mantenimiento se suelen conceder privilegios totales de acceso al equipo técnico desde ubicaciones remotas
  • Ausencia de herramientas de seguridad: en muchos casos no se disponen de soluciones para proteger y auditar sistemas y aplicaciones OT, así como su monitorización.
  • Código no seguro: los fabricantes de este tipo de soluciones de carácter industrial no siempre revisan el código de sus aplicaciones y sistemas. Esto impacta en la resiliencia frente a ataques.
  • Formación: es imprescindible adoptar una estrategia permanente de concienciación en seguridad de la información, que evite y mitigue comportamientos peligrosos.
  • Innovación: implementar soluciones novedosas como, por ejemplo, la Cyber Deception para mejorar los indicadores de compromiso IOCs.

Mecanismos de control

Para poder minimizar el impacto que este tipo de amenazas se deben abordar más y mejores procedimientos y políticas específicas para cada tipo de entorno, como por ejemplo:

  • Identificación de las amenazas: entender las amenazas externas e internas en el ámbito de la ciberseguridad por uso inapropiado o falta de conocimiento.
  • Identificar vulnerabilidades: identificar todos los activos y entender los riesgos a los que se enfrentan.
  • Evaluar exposición al riesgo: determinar las probabilidades de que las vulnerabilidades puedan ser explotadas.
  • Desarrollar medidas de protección: reducir el impacto que puede provocar que una amenaza acabe materializándose.
  • Establecer planes de contingencia: desarrollar un plan de acción para reducir el impacto de las amenazas.
  • Responder ante incidentes de seguridad: establecer mecanismos de recuperación para responder y recuperar el estado de normalidad tras un incidente de seguridad.

Monitorización

En el Centro de Operaciones de Seguridad (SOC) además de la monitorización de toda la actividad de planta, se deben poder abordar de forma coherente y estructurada acciones de prevención, defensa, detección, respuesta y recuperación frente a las ciberamenazas. Analizando los eventos en busca actividad sospechosa que pueda ser indicador de un incidente de ciberseguridad en redes, servidores, aplicaciones, etc.

Elementos clave en la monitorización y control

  • Cambios en el firmware de los PLC.
  • Latencia en las respuestas de los PLC.
  • Cambios en el firmware del FMI.
  • Login fallido en el HMI.
  • Creación de cuentas de usuario en el sistema operativo.
  • Incremento del “payload” de los paquetes de datos.
  • Cambios de dispositivos HW en PLC/RTU.
  • Vigilancia de la exposición a Internet.
  • Accesos VPN fallidos o desde ubicaciones “exóticas” (países del Este, Rusia, China, etc.).
  • Cambios en las reglas del FW.

Normativa y cumplimiento

Al igual que sucede con la ciberseguridad en IT, para el entorno operacional también se han definido comités de trabajo, que tienen como objetivo elaborar estándares específicos de aplicación en la ciberseguridad industrial. Este comité es responsable de la elaboración de la serie de normas IEC62443, que es la evolución de los estándares elaborados por ISA99 de la Internacional Society of Automation (ISA).

A nivel estatal para mejorar la ciberseguridad en infraestructuras críticas, el CNPIC y el Instituto Nacional de Ciberseguridad (INCIBE) operan de forma conjunta el Centro de Respuesta a Incidentes de Seguridad e Industria (CERTSI). Que juega un papel importante como enlace entre CNIPC e INCIBE con la Oficina de Coordinación Cibernética (OCC). Este organismo opera como coordinador para el intercambio de información con la Unión Europea.

Limitar la ciberseguridad a los controles puramente técnicos, conduce a descuidar aspectos tan importantes como los organizativos. Gestionar las incidencias, definir responsabilidades o abordar los requerimientos son aspectos vitales para evitar amenazas.

Las fuertes medidas de protección en materia de ciberseguridad que se aplican entornos de criticidad alta, pueden conducir a una falsa sensación de seguridad que hace olvidar que existen otras muchas amenazas que requieren la adopción de medidas específicas. Porque la mayor parte de los problemas de seguridad provienen casi siempre desde dentro de las propias organizaciones.

En este sentido, las organizaciones industriales necesitan evitar el distanciamiento entre IT y OT para así evitar brechas de seguridad. Es imprescindible impedir que la explotación de alguna vulnerabilidad acabe provocando la permeabilidad entre entornos. Siendo el principal objetivo para alcanzar una verdadera convergencia, apostar por la respuesta conjunta, mejorar los indicadores de compromiso y crear un mando único que coordine nuestras defensas contra las ciberamenazas. Con el objetivo de mejorar el grado de madurez de la organización, y a la vez ofrecer un mayor nivel de protección a las instalaciones, donde primen factores fundamentales como la disponibilidad, la integridad y la confidencialidad. Poniendo sobre todo el foco en la creación de nuevas políticas de seguridad que mejoren el despliegue de las medidas de protección.

seguridad e interconectividad
Antonio Marco. CISO LANACCESS