El informe Control Systems Cyber Security Awareness del año 2005 (US-CERT) analizaba cómo entre los años 2002 y 2004 el 66% de los incidentes de seguridad ocurridos con sistemas SCADA se debían a ataques externos, mientras que el 22% se debían a accidentes, el 3% a errores o fallos de funcionamiento internos y el resto, a causas desconocidas. Para que os hagáis una idea, entre 1982 y 2001, sólo el 29% de los incidentes de seguridad se habían catalogado como externos.

Este incremento tan espectacular se debe principalmente a lo que ya hemos comentado en alguna entrada anterior dedicada a CIIP: a principios del siglo XXI los sistemas SCADA han comenzado a trabajar con tecnologías y protocolos estándar y conocidos por todos, como suelen estar distribuidos geográficamente se conectan a centros de supervisión y control mediante tecnologías y protocolos estándar, y a su vez estos centros suelen estar conectados a la red corporativa de la empresa o institución propietaria del proceso, y a través de esta red, a Internet.

Por este motivo la preocupación por la seguridad de los sistemas SCADA ha sido creciente. Algunos ejemplos son las nuevas normativas, mejores prácticas, instituciones, etc; dedicadas a la seguridad de estos sistemas. Además, dentro de la protección de infraestructuras de información críticas (CIIP), la protección de los sistemas de control industriales es un punto clave. Incluso se ha comenzado a hablar de ciberterrorismo después de los incidentes ocurridos en Estonia en el año 2007 y de la cantidad de información técnica acerca de los productos de diferentes fabricantes de sistemas SCADA que se han encontrado tras las detenciones de diferentes terroristas en los últimos años.

Aunque en España ya tenemos el CNPIC y por algo se empieza, en otros países como Estados Unidos nos llevan mucha ventaja trabajando en estos temas. Allí se creó dentro del DHS (Department of Homeland Security), el US-CERT y el Control Systems Security Program, que se dedica exclusivamente a la seguridad de sistemas SCADA.

En este enlace pueden encontrarse las últimas noticias relacionadas con la seguridad dentro del área industrial (ataques y vulnerabilidades descubiertas), y se encuentra multitud de información, artículos y noticias para comenzar a profundizar en estos temas: http://www.us-cert.gov/control_systems

Especialmente interesante, dentro de la pestaña Top10, es el recurso Secure Architecture Design.

Aunque todavía no existen estándares y normativas universalmente aceptadas, sino que suelen ser más bien iniciativas a nivel nacional, y/o sectorial sí que existen ciertos principios básicos que todos estamos de acuerdo en que deben ser los fundamentos de la seguridad industrial en la actualidad:

  • Conciencia de seguridad y formación.
  • Definición de políticas y procedimientos.
  • Diseño de arquitecturas seguras.
  • Control del acceso remoto.
  • Análisis de vulnerabilidades y riesgos.
  • Respuesta ante incidentes.
  • Gestión de configuración y actualización.
  • Monitorización y control.
  • Gobernanza de IT.
  • Gestión del cambio.
Shares
Share This