Valoración
  • Actualmente 4 de 5 Estrellas.
Tu valoración
  • Actualmente 4 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
OPINIÓN

José Luis Laguna, Ingeniero de Sistemas de Fortinet

Seguridad en los sistemas de control industrial

El autor hace referencia a los clientes que comenzaban a incluir requisitos de ciberseguridad para los Sistemas de Control Distribuido (DCS), aunque no muy detallados ni específicos, lo que denotaba desconocimiento de las medidas de prevención frente a ciberataques. Hoy la situación ha cambiado.

En mis años de experiencia en una de las cinco compañías de ingeniería más importantes del mundo [ex CISO de Grupo Técnicas Reunidas], fui testigo de la falta de preocupación sobre la ciberseguridad por parte de sus clientes; en gran medida grandes compañías petrolíferas y de producción de energía de todo el mundo. En los últimos años, algunos de estos clientes comenzaban a incluir requisitos de ciberseguridad para los Sistemas de Control Distribuido (DCS), aunque no muy detallados ni específicos, lo que denotaba desconocimiento de las medidas de prevención frente a ciberataques.

En España, ha sido necesario tener evidencias de amenazas dirigidas a los entornos de control industrial para llegar a un nivel de concienciación adecuado por parte de las compañías que operan las infraestructuras industriales.

Hoy todas estas compañías cuentan con mayor conocimiento e información. La Ley de Protección de Infraestructuras Críticas ('Ley PIC') es un perfecto catalizador para que las compañías que operan las infraestructuras industriales que más preocupan a nuestra sociedad, emprendan acciones para evitar pérdidas de servicios esenciales para los ciudadanos.

Europa y Estados Unidos llevan una ventaja considerable en lo que a ciberdefensa se refiere, pero las medidas empleadas por otros países o por los fabricantes de sistemas de seguridad están también a nuestra disposición.

Aplicar las mismas medidas que se han aplicado en los entornos corporativos para proteger los sistemas TI, no siempre es posible. Los Sistemas de Control Industrial (SCI) se asemejan a los utilizados en entornos corporativos, pero ciertas diferencias no permiten aplicar las mismas medidas de protección. Por ejemplo, los plazos de amortización de los equipos de los SCI son muy superiores y esto lleva a utilizar sistemas operativos en desuso que, en ocasiones, no son soportados por los fabricantes y de los que no hay parches disponibles.

Aplicar las mismas medidas que se han aplicado en los entornos corporativos, no siempre es posible

Además los SCI han estado tradicionalmente protegidos de forma física. Eran entornos totalmente aislados, en los que no cabía la posibilidad de esperar conexiones a la red que utilizaran protocolos ajenos al del propio sistema. La seguridad se limitaba a restringir el acceso físico a la instalación y a sus puestos de control. Este aislamiento, conocido como air gap, ha desaparecido, en parte por la necesidad de consolidar información del proceso de fabricación y de negocio; y así realizar una optimización en el proceso productivo en base a los parámetros y necesidades del negocio.

Los fabricantes de seguridad recomiendan separar a nivel lógico las diferentes capas de una red de control. Se requieren equipos con un elevado rendimiento ya que en muchas de estas capas la comunicación necesita realizarse en tiempo real. Por ello no sirven equipos que introduzcan elevada latencia en la red sino dispositivos que dispongan de circuitos de aceleración hardware (ASIC).

En cuanto a las aplicaciones, en los corporativos existirán cientos de ellas que los administradores deben permitir para el funcionamiento de los sistemas, pero en un entorno industrial se reduce drásticamente su número. Además éstas son mucho más previsibles, lo que facilita su control.

La autenticación de usuarios de los SCI no solía ser una preocupación, ya que el control físico de los usuarios a las instalaciones era suficiente y se utilizaban usuarios genéricos con contraseñas débiles. Actualmente es necesario realizar un control de acceso de los usuarios, bien en los propios sistemas de control mediante servidores de autenticación que se integren con estos, o si no es posible, con sistemas de seguridad de red que sean capaces de autenticar a los usuarios al acceder desde un sistema a otro. Pueden incluir autenticación fuerte (doble factor de autenticación) para aquellos usuarios con privilegios elevados.

Finalmente, la centralización y correlación de los eventos de seguridad es otra de las cuestiones clave que puede ayudar a detectar y prevenir ciberataques, del mismo modo que lo hacen en los sistemas TI tradicionales. Así evitaremos malware corriendo en una red de control durante años sin ser detectado, como ha ocurrido en estos entornos. 

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual