Desde el descubrimiento en junio del 2010 del virus Stuxnet , capaz de modificar el funcionamiento de Controladores Lógicos Programables (PLCs) y ocultar los cambios, la preocupación por la securidad en los sistemas de control industrial ha ido en aumento. Teniendo en cuenta que este tipo de infraestructuras tecnológicas son empleadas además de en multitud de procesos industriales, para ofrecer servicios de primera necesidad a los ciudadanos tales como el suministro de electricidad y agua, la preocupación está más que justificada. El impacto que puede suponer el compromiso de uno de estos sistemas para una comunidad y que se vea afectada, en muchos casos es difícil de valorar.

Hace unos meses desde el CERT de INTECO se publicaba un artículo en relación a la “Importancia de la seguridad en los sistemas de control industrial ” con ejemplos reales de intrusión en estas infraestructuras, que no hace más que constatar el hecho de que los ciberdelincuentes tienen este tipo de objetivos en el punto de mira. El interés por atacar este tipo de dispositivos puede ir desde el espionaje industrial y robo de información hasta el provocar daños en las propias infraestructuras.

En relación a este problema, INTECO, a través del Observatorio de la Seguridad ha publicado el “Estudio sobre la seguridad de los sistemas de monitorización y control de procesos (SCADA) “. En él que se recoge información acerca de la aplicación y beneficios, de los riesgos para la seguridad de los sistemas SCADA y cómo gestionarlos entre otros.

El informe finaliza con una serie de conclusiones y, para asimilar mejor la información presentada, ofrece dos ejemplos prácticos sobre dos tipos de infraestructuras que difieren principalmente en el tamaño.

En uno de ellos, correspondiente a una PYME, inicialmente se realiza un análisis para conocer la infraestructura que dispone e identificar los elementos críticos que podrían ser objeto de ataque, evaluando el estado de la seguridad de la infraestructura. En este caso se identifican aspectos tales como:

• Únicamente se cuenta con una red de comunicaciones empleada tanto para controlar el proceso industrial como para las tareas propias del negocio
• Dentro de la red existen puntos de acceso inalámbrico conectados a la propia red
• No existe redundancia de servidores y además estos se encuentran conectados a la red que está conectada a Internet

Parece obvio que este tipo de configuración no es la más adecuada si se desea aplicar un nivel mínimo de seguridad a la infraestructura. Como solución se proponen una serie de mejoras:

• Externalizar servicios con proveedores especializados en el campo de la seguridad
• Segmentar la red identificando las diferentes áreas del negocio
• Cifrar las comunicaciones a través de redes privadas virtuales para acceder a los servicios
• Valorar la eliminación de los puntos de acceso inalámbricos al menos de la red que conecta los sistemas SCADA u otros elementos críticos para el negocio
• Disponer de un plan de recuperación (copias de seguridad, reposición de hardware, etc.) para que ante cualquier problema, la recuperación sea lo más rápida posible

Se puede comprobar que este tipo de recomendaciones, aunque enfocadas a sistemas SCADA, también son aplicables a muchos otros tipos de modelos de negocio. Desde luego se debe tener siempre en cuenta el principio de proporcionalidad dimensionando adecuadamente las medidas a implementar de modo que no afecten negativamente a la operativa de la empresa ni a la actividad de sus empleados.

Para más información consultar el “Estudio sobre la seguridad de los sistemas de monitorización y control de procesos (SCADA) “.