Resulta vital reconocer exhaustivamente qué partes de la instalación pueden suponer objetivos que pongan en peligro las plantas de generación de energía eléctrica

La importancia de la seguridad en las plantas de generación de energía eléctrica

Jordi Fernández, End User Business Group - Industry Business

28/06/2013
La red, una frontera digital que custodia billones de datos, secretos y bienes de todo tipo que son y quieren seguir siendo privados. ¿Pero, es la red un lugar seguro? ¿Existen vulnerabilidades? Lo cierto es que cualquier ordenador que esté conectado a la red ya es susceptible de recibir un ataque a través de alguna flaqueza del sistema. Este hecho afecta de manera directa a un mundo empresarial cada vez mas informatizado que ya empieza a comprender la utilidad de un plan de ciberseguridad para protegerse de las intrusiones no deseadas. La ciberseguridad es una disciplina de administración de sistemas dirigida a proteger activos, procesos y personas, mediante la implementación de tecnologías especializadas en la protección activa, el análisis del entorno y la recuperación de desastres.

En la década de los 60 se crearon los Sistemas de Control Industrial (ICS) como respuesta a la creciente complejidad de los ambientes productivos, donde las limitaciones que imponían la lógica cableada con componentes electromecánicos no permitían su evolución. Por aquel entonces el hecho de operar los ICS dentro de un perímetro delimitado y sin práctica conexión con el exterior suponía confiar en una seguridad implícita en virtud del entorno de ejecución, ello motivó que los Sistemas nacieran y crecieran afectados por vulnerabilidades. Por aquel entonces las redes permitían y aceptaban el transporte de cualquier tipo de datos, la información mostrada a los operadores era considerada de confianza y la comunicación entre controladores se efectuaba sin verificación alguna. Medio siglo después, los considerables avances en materia de conectividad y el hecho de disponer de Internet a gran escala han hecho de la red un lugar intrínsecamente inseguro, donde las amenazas no han perdido el tiempo en su evolución ni han dejado de actualizarse. Con el paso del tiempo, los sistemas de control han incorporando muchas tecnologías IT que han permitido el uso de servicios de alto valor y han facilitado a los ICS trascender el perímetro de la planta para abarcar altos niveles de distribución, beneficiándose de un gran abanico de aplicaciones para ordenadores y telecomunicaciones que permitan almacenar, recuperar, transmitir e interpretar datos.

A diferencia de los equipos puramente IT, que suelen renovarse cada 3 a 5 años, el ciclo de vida de las instalaciones de control industrial oscila entre los 5 y los 15 años, tiempo suficiente para que aparezcan malwares especializados en el robo de datos de los procesos e incluso capaces de alterar la lógica de control de los dispositivos industriales. Así, la única opción que resulta factible para protegerse es una prevención de riesgos constante y con una metodología pautada hasta el último detalle. Atacantes externos aleatorios, como hackers casuales, grupos organizados financiados o no financiados e incluso colaboradores internos o subcontratados pueden llegar a ser el talón de Aquiles de una organización si las acciones que pueden llevar a cabo provocan pérdidas o alteración de datos del proceso productivo. Por ese motivo, resulta vital reconocer exhaustivamente qué partes de la instalación pueden suponer objetivos que pongan en peligro las plantas de generación de energía eléctrica.

foto

Programa de ciberseguridad.

Metodología

Un ciberataque suele desplegarse en fases diferenciadas que tienen como objetivo distintas metas interrelacionadas. La recolección de información da paso a la ejecución del ataque en sí, tras el cual se procede a la explotación de los recursos deseados y finalmente se da el ataque por concluido. En este escenario, el primer paso es el reconocimiento del objetivo, que puede efectuarse siguiendo una metodología de bajo impacto aprovechando la información presente en sitios web corporativos, datos indexados por buscadores y datos personales de empleados o posts con información sensible extraídos de redes sociales. Una fase posterior, realizada con herramientas específicas y de carácter más intrusivo, permite obtener información sobre la topología de las redes, características del hardware de soporte, sistemas operativos en uso y servicios y protocolos empleados en la instalación, que mediante ingeniería inversa proporcionan al atacante valiosos recursos para fases posteriores. Asimismo, metodologías aplicables a sistemas no actualizados, como la inyección de código, pueden facilitar al atacante acceso a datos de usuarios, cuentas y sus privilegios. Durante esta fase, el uso de botnets o proxys anónimos evita riesgos de detección del atacante y bloqueos de acceso por los eventuales sistemas de seguridad presentes en la instalación.

En paralelo, el atacante posiblemente se encuentre desplegado en servidores vulnerables diversos centros de mando y control distribuidos globalmente y que tendrán como misión la recopilación de datos sustraídos y la actualización periódica de los malware implantados en el objetivo.

La ejecución del ataque, una vez finalizadas las fases de reconocimiento e implantación de los centros de mando y control, se basará en diferentes estrategias que el atacante empleará según la información adquirida previamente. En algunos casos, los accesos a Internet en las plantas cuentan, por descuido, con usuarios, configuraciones y contraseñas por defecto, a veces las redes de control se encuentran accesibles desde el exterior desde puntos de acceso WIFI, radios e incluso módems analógicos, en ocasiones existen aplicaciones con vulnerabilidades conocidas pero no parcheadas. En todos los casos, un atacante puede aprovechar estos puntos débiles para desplegar el malware con éxito. Pero hasta en instalaciones perfectamente configuradas y con las aplicaciones actualizadas existen otros métodos útiles para introducir el software malicioso, como el spear phising, que combinando el envío de emails personalizados con información extraída de redes sociales y en algunos casos, hasta llamadas telefónicas diseñadas para alcanzar altos niveles de credibilidad, acaban induciendo a los operadores de la planta a llevar acciones ofensivas bajo la apariencia de ser totalmente inocuas. Actualmente, a los clásicos dispositivos de memoria USB infectados hay que añadir nuevas potenciales amenazas derivadas de tendencias como el BYOD, en la que dispositivos sustraídos, apps vulnerables o maliciosas o simplemente bugs en el software constituyen puntos de entrada de alto riesgo.

Las razones para explotar una vulnerabilidad pueden ser distintas, pero todas comparten un denominador común: acceder a datos y bienes privados. Hackers en busca de notoriedad, espionaje industrial, sabotajes pensados para la destrucción física de bienes y alteración de datos almacenados o la preparación de futuros ataques con la creación de botnets y obtención de información sensible del objetivo son las principales amenazas en la fase de explotación del ataque.

La fase de conclusión dependerá en gran medida de la motivación del atacante, no obstante, es común que la finalización del ataque o bien incluya la instalación de puertas traseras para facilitar futuras incursiones o bien restaure el sistema, autodestruya el malware y centros de mando y control e implante pistas falsas que distorsionen los resultados de futuros análisis forenses.

foto
Conexión Firewall.

Defensa en profundidad

Combatir unas amenazas tan agresivas solo puede hacerse mediante una estrategia de defensa en profundidad orientada a mitigar riesgos siguiendo un modelo de capas.

El punto de partida es la elaboración del plan de seguridad, que incluirá análisis según normativa vigente, recomendaciones de diseño de arquitecturas, transferencia de conocimiento, implementación de sistemas de protección y detección y en algunos casos, hacking ético.

Del plan de seguridad se derivarán acciones de mejora, como la separación de redes corporativas de las redes de control creando DMZ en base a cortafuegos convencionales, se establecerán políticas de gestión de protocolos con cortafuegos de tercera generación capaces de actuar en la capa de aplicación, se segmentarán las redes con el uso de VLAN para disminuir la superficie de ataque y se aplicarán criterios de prevención de riesgos en controladores y software Scada, reemplazando contraseñas por defecto, limitando soporte a dispositivos USB, implementando listas blancas, desactivando servicios no utilizados y manteniendo la aplicaciones y firmware actualizados, por ejemplo.

Otras medidas adecuadas para la detección de ataques en curso incluyen la comparación del uso de red actual con el uso en otros periodos en el tiempo, útil para ver desviaciones anómalas. Estudiar peticiones lanzadas a los servidores DNS para detectar direcciones URL sospechosas y revisar los logs del sistema facilita detectar intentos de accesos fallidos u otras actividades similares. El uso de honeynets simulando software Scada, bases de datos e incluso controladores, constituye tanto una estrategia de defensa como de análisis de los métodos de ataque para mejorar la robustez de la instalación.

Desde sus orígenes, hemos empleado sistemas de control en edificios, automatización de procesos productivos, infraestructuras críticas y en múltiples ambientes industriales. La evolución tecnológica de los propios sistemas y la de los subsistemas asociados nos han permitido disfrutar de prestaciones que poco imaginaban los precursores en los años 60. Hoy la ciberseguridad ha dejado de ser un requerimiento secundario en el mundo industrial y empieza a establecerse firmemente como un proceso más de mejora continua en las instalaciones.

Comentarios al artículo/noticia

Nuevo comentario

Atención

Los comentarios son la opinión de los usuarios y no la del portal. No se admiten comentarios insultantes, racistas o contrarios a las leyes vigentes. No se publicarán comentarios que no tengan relación con la noticia/artículo, o que no cumplan con las condiciones de uso.

TOP PRODUCTS

ENLACES DESTACADOS

Homsec 2017 Marzo 14-16 2017- Madrid- España

ÚLTIMAS NOTICIAS

OPINIÓN

OTRAS SECCIONES

SERVICIOS