En el nuevo siglo, el control industrial se une a las TIC utilizando medios cableados –and most recently wireless– y mediante la suite TCP/IP. Esto, además de las grandes ventajas que muestra, también tiene, por desgracia, algunos inconvenientes. Para ello, es necesario estudiar a fondo los sistemas de control industrial: sus vulnerabilidades y soluciones.

Vulnerabilities in industrial control systems

Sin embargo, esta novedosa y beneficiosa unión, tiene, como hemos dicho, un gran inconveniente: the vulnerabilities.

Las industrial infrastructure se vuelven críticas y necesitan extremar la precaución pues, al formar parte de un SCI le afectan las vulnerabilidades de este. Así, la beneficiosa unión de estos elementos se vuelve todo un riesgo que hay que estudiar y detener.

Fue en el 2011 cuando las vulnerabilities in industrial control systems se hicieron latentes, con el ataque a Natanz. Desde entonces, la alerta es máxima y realizar las network and security audits correspondientes para estar al tanto en este tema es imprescindible.

Study of network connections

Analyze the vulnerabilities

Existen vulnerabilidades a nivel organizativo. Algunas son:

  • Que no haya una normativa interna de diseño de sistemas OT.
  • That it does not exist monitoring systems adecuados.
  • Que se hayan realizado o se estén realizando testeos inadecuados.
  • Que exista escasez o incluso ausencia de procedimientos de control adecuados para modificar softwares, hardwares, documentación técnica o firmwares.
  • Que no haya redundancia de equipos críticos.
  • That is taking out a policy for control and automation systems inadecuada.
  • Que no se lleve a cabo un buen mantenimiento, revisiones adecuadas ni se parcheen los equipos cuando es necesario.
  • To the implementation guide for equipment OT sea altamente deficiente -incluso a veces inexistente-.

Por otro lado, tenemos las vulnerabilidades tecnológicas o técnicas:

  • No mejorar las configuraciones por defecto de los fabricantes de software, realizando instalaciones y ejecuciones sin personalizar.
  • No definir los perímetros de red o hacerlo de manera ineficiente.
  • That there is no control communication flows.
  • Que se usen protocolos inseguros, como OPC, Profibus, Modbus…
  • Que los accesos físicos y remotos sean inapropiados o se hayan configurado mal.
  • Tener equipos no actualizados.
  • Que existan funcionalidades innecesarias instaladas en equipos críticos.

Propose and carry out the best solutions

Para eliminar estas vulnerabilidades, o para evitarlas si no existen, es necesario comenzar, como hemos dicho, por contratar un servicio de auditoría.

The first step will be to always determine what level of protection and cybersecurity se desea alcanzar. Así, se establecerá una periodicidad para llevar a cabo otras auditorías de control y mejorar la seguridad y la eficiencia de los servicios.

Network connections

Para ello, y teniendo en cuenta que las propias network audits entrañan peligros, lo ideal es realizarlas en un entorno de laboratorio o de preproducción. El problema de esto que es en muchos casos no es posible crear una réplica exacta del entorno real y este, irremediablemente, queda expuesto.

Una vez analizado el entorno, se proponen las soluciones de sistemas más adecuadas en cada caso. Algunas van a ser hacer una segmentación según la criticidad y los niveles de confianza, instalar y activar firewalls que capen la actividad de equipos que no sean de confianza, la use of one-way gateways que conviertan los sistemas de control en inaccesibles, IPSs que parcheen las vulnerabilidades, bloqueo de procesos que no estén autorizados…

Las vulnerablidades y soluciones de los sistemas de control industrial pueden ser muy variables por lo que el primer paso -y completamente necesario- es realizar una good audit of network and security which determine the situation actual antes de pasar a la acción.