En el nuevo siglo, el control industrial se une a las TIC utilizando medios cableados –y más recientemente inalámbricos– y mediante la suite TCP/IP. Esto, además de las grandes ventajas que muestra, también tiene, por desgracia, algunos inconvenientes. Para ello, es necesario estudiar a fondo los sistemas de control industrial: sus vulnerabilidades y soluciones.
Vulnerabilidades de los sistemas de control industrial
Sin embargo, esta novedosa y beneficiosa unión, tiene, como hemos dicho, un gran inconveniente: las vulnerabilidades.
Las infraestructuras industriales se vuelven críticas y necesitan extremar la precaución pues, al formar parte de un SCI le afectan las vulnerabilidades de este. Así, la beneficiosa unión de estos elementos se vuelve todo un riesgo que hay que estudiar y detener.
Fue en el 2011 cuando las vulnerabilidades de los sistemas de control industrial se hicieron latentes, con el ataque a Natanz. Desde entonces, la alerta es máxima y realizar las auditorías de red y seguridad correspondientes para estar al tanto en este tema es imprescindible.
Analizar las vulnerabilidades
Existen vulnerabilidades a nivel organizativo. Algunas son:
- Que no haya una normativa interna de diseño de sistemas OT.
- Que no existan sistemas de monitorización adecuados.
- Que se hayan realizado o se estén realizando testeos inadecuados.
- Que exista escasez o incluso ausencia de procedimientos de control adecuados para modificar softwares, hardwares, documentación técnica o firmwares.
- Que no haya redundancia de equipos críticos.
- Que se esté llevando a cabo una política para sistemas de control y automatización inadecuada.
- Que no se lleve a cabo un buen mantenimiento, revisiones adecuadas ni se parcheen los equipos cuando es necesario.
- Que la guía de implantación de equipamiento OT sea altamente deficiente -incluso a veces inexistente-.
Por otro lado, tenemos las vulnerabilidades tecnológicas o técnicas:
- No mejorar las configuraciones por defecto de los fabricantes de software, realizando instalaciones y ejecuciones sin personalizar.
- No definir los perímetros de red o hacerlo de manera ineficiente.
- Que no haya control de flujos de comunicaciones.
- Que se usen protocolos inseguros, como OPC, Profibus, Modbus…
- Que los accesos físicos y remotos sean inapropiados o se hayan configurado mal.
- Tener equipos no actualizados.
- Que existan funcionalidades innecesarias instaladas en equipos críticos.
Proponer y llevar a cabo las mejores soluciones
Para eliminar estas vulnerabilidades, o para evitarlas si no existen, es necesario comenzar, como hemos dicho, por contratar un servicio de auditoría.
El primer paso va a ser siempre determinar qué nivel de protección y ciberseguridad se desea alcanzar. Así, se establecerá una periodicidad para llevar a cabo otras auditorías de control y mejorar la seguridad y la eficiencia de los servicios.
Para ello, y teniendo en cuenta que las propias auditorías de red entrañan peligros, lo ideal es realizarlas en un entorno de laboratorio o de preproducción. El problema de esto que es en muchos casos no es posible crear una réplica exacta del entorno real y este, irremediablemente, queda expuesto.
Una vez analizado el entorno, se proponen las soluciones de sistemas más adecuadas en cada caso. Algunas van a ser hacer una segmentación según la criticidad y los niveles de confianza, instalar y activar firewalls que capen la actividad de equipos que no sean de confianza, la utilización de gateways unidireccionales que conviertan los sistemas de control en inaccesibles, IPSs que parcheen las vulnerabilidades, bloqueo de procesos que no estén autorizados…
Las vulnerablidades y soluciones de los sistemas de control industrial pueden ser muy variables por lo que el primer paso -y completamente necesario- es realizar una buena auditoría de red y seguridad que determine la situación actual antes de pasar a la acción.