Las aplicaciones de control se hacen mayores

Publicado el 10/11/2015, por INCIBE
Las aplicaciones de control se hacen mayores

Las aplicaciones utilizadas en los sistemas de control industrial van más allá de los propios mecanismos de interfaz hombre-máquina (HMI). Los HMI son la cara más visible dentro de los sistemas de control pero detrás existen otras muchas aplicaciones, destacando aquellas para el análisis de tendencias, gestión de históricos, o las aplicaciones para crear y gestionar los HMI que utilizan los operadores.

Interfaz Hombre-Máquina

De la evolución de los HMI ya se comentaron algunos aspectos en el artículo “La evolución del software en los sistemas de control industrial”. Originalmente los HMI eran paneles pintados que representaban el proceso a gestionar, y mediante luces y botones se observaba el estado del proceso y se interactuaba con él, similar al que se ve en la imagen siguiente. Evidentemente, con la evolución y extensión de los sistemas informáticos estos HMI pasaron a ser aplicaciones.

Sala de control del barco nuclear NS Savannah

-Sala de control del barco nuclear NS Savannah-

Las primeras aplicaciones trataron de representar en las pantallas de ordenador los paneles, por lo que quedaban muy recargadas, confundiendo y desviando la atención del operador en muchas ocasiones. En la actualidad, los HMI tienden a contener el mínimo de elementos posibles y a utilizar pocos colores, para centrar al operador en lo que realmente es importante.

A nivel de seguridad, el acceso a un HMI se basaba en seguridad física, puesto que era necesario el acceso a la sala donde se ubicaba. Al introducir los ordenadores no se realizó ningún cambio en la seguridad, aunque ya no era necesaria su ubicación en una sala exclusiva y cualquiera podía tener acceso al HMI y modificar el proceso. Se ha de tener en cuenta que si un atacante se hace con el control de un HMI puede alterar los datos mostrados por el mismo a su antojo. Para solucionar los problemas derivados del uso no autorizado del HMI se introdujo la autenticación en los HMIs.

Sala de control de un incinerador de parrilla móvil para los residuos sólidos urbanos

-Sala de control de un incinerador de parrilla móvil para los residuos sólidos urbanos-

La autenticación en los HMIs comenzó siendo muy simple, con la utilización de un solo perfil y una contraseña. Posteriormente se vio la necesidad añadir perfiles con diferentes funcionalidades, lo que se podía traducir incluso en distintas pantallas para cada perfil. Hoy en día, los HMI modernos permiten incluso la autenticación delegada en directorio activo.

Representación de tendencias

Las aplicaciones de representación de tendencias nacieron de la necesidad de gestionar el proceso futuro de acuerdo a un estado pasado. Las gráficas de tendencias muestran el estado de una determinada variable, como puede ser las existencias, la producción, etc. Los datos mostrados provienen de la base de datos histórica del sistema de control.

Originalmente, estas gráficas sólo eran usadas en las plantas para prevenir posibles fallos, pero posteriormente se le dio más utilidad desde el entorno corporativo al usarse los datos para la previsión de ventas, adecuando la producción a esa predicción. La modificación de la información por parte de un atacante podría suponer altas pérdidas para la empresa que pueden venir desde distintos ámbitos, elaboración de producto no necesario actualmente, pérdidas por ventas no efectuadas al no disponer de producto, compra de material innecesario…

Hoy en día estas aplicaciones pueden ser integradas en las herramientas ofimáticas estándar, como Excel, para facilitar el trabajo y no depender de aplicaciones propietarias.

La seguridad en estas aplicaciones ha seguido el mismo camino que en los HMIs a nivel de autenticación. A nivel de acceso a la información, se ha cambiado el modo de acceso directo a los datos guardados en el histórico desde el entorno corporativo por un acceso a través de un histórico replicado en una red DMZ.

Aplicaciones de diseño y configuración

La estación de ingeniería es el equipo desde el que se configura tanto el HMI como de los dispositivos de campo. Originalmente, la creación y modificación del HMI la realizaban los propios operadores. Sin embargo, la evolución de la complejidad del software exigió personal especializado para estas tareas. Actualmente, los paquetes de aplicaciones SCADA proporcionan este servicio mediante diferentes aplicaciones regidas por control de accesos.

Este cambio mejoró la seguridad, puesto que el HMI era modificado exclusivamente por una persona y se permitía tener un registro adecuado de los cambios llevados a cabo.

La gestión de dispositivos, también llevada desde la estación de ingeniería, ha variado sustancialmente desde los orígenes, ganando en seguridad. Los dispositivos antiguos sólo soportaban la configuración en local, sin ningún tipo de protección de acceso, ni físico ni lógico, por lo que no se podía saber quién o cuándo se llevaba a cabo una modificación de la programación.

Hoy en día, los dispositivos modernos se gestionan mayoritariamente a través de algún tipo de servicio Web, cuyo acceso se controla mediante usuario y contraseña. Los dispositivos más evolucionados también permiten la autenticación delegada en directorio activo, así como el uso de protocolos de autenticación y control de acceso como RADIUS y TACACS+.

El acceso a las aplicaciones de configuración por un atacante puede permitirle modificar la programación de cualquier dispositivo, lo que implica que se va a variar el proceso y, por tanto, la producción completa en la fábrica. Si el acceso es a la aplicación de generación del HMI, una modificación supone que el operador no va a ser consciente de lo que realmente está ocurriendo en el proceso.

Paquetes SCADA

Los paquetes de aplicaciones SCADA no son más que las agrupaciones de todo el software necesario para poder hacer funcionar un sistema de control industrial.

Las primeras aplicaciones utilizadas en los sistemas de control eran exclusivas para cada sistema, pasando después a ser propietarias y dependientes de los fabricantes.

A lo largo de los años han existido unos cuantos paquetes SCADA conocidos y extendidos por todo el mundo, pero con la apertura y la evolución de los dispositivos, comentada en La evolución de los dispositivos en los sistemas de control industrial, se han desarrollado nuevos paquetes de aplicaciones, algunos de ellos incluso gratuitos.

La evolución de la red y de las comunicaciones, junto con las necesidades globales de información, ha contribuido a la evolución del software hacia los dispositivos móviles, creado aplicaciones para teléfonos inteligentes y tabletas.

Nueva concepción de aplicaciones de sistemas de control industrial

-Nueva concepción de aplicaciones de sistemas de control industrial-

La seguridad en los diferentes paquetes de aplicaciones SCADA también ha ido evolucionado, aunque no al ritmo deseado. Los desarrolladores han permitido integrar sistemas de autenticación y han mejorado la calidad del código (suprimiendo contraseñas embebidas por ejemplo). Sin embargo, aún existen numerosas vulnerabilidades, sobre todo causadas por no seguir metodologías adecuadas para el desarrollo seguro del software. Estas vulnerabilidades se traducen en posibles ataques que derivan en denegaciones de servicio en la mayoría de los casos, aunque también se dan fugas de información (incluyendo credenciales).

Evolución y futuro de aplicaciones

La evolución en las aplicaciones nos lleva a la nube, tal y como se comentó en el artículo "Mi SCADA en las nubes", y a los diferentes modelos de prestación de servicios en la nube (SaaS, IaaS o PaaS). Utilizar este modelo permite a empresas de todos los tamaños acceder al software, ya que el precio de los paquetes es más ajustado en precio y la cantidad de recursos necesarios es menor. Ahora el cliente paga por la utilización de un software y tanto el código de la aplicación como los datos se almacenan en remoto.

El futuro de las aplicaciones de los sistemas de control va a converger con el de los sistemas corporativos, accediendo a aplicaciones en la nube mediante terminales que no requerirán muchos recursos y estarán especialmente pensados para la navegación Web.

 

Tras comentar todas las mejoras sufridas en las aplicaciones dentro de los sistemas de control industrial, hay que tener en cuenta que estas evoluciones llevan consigo la aparición de nuevos riesgos asociados a la tecnología, o la configuración aplicada.

  • El uso de una nueva tecnología, en este caso la tecnología en la nube, para centralizar el control y mantenimiento de los sistemas industriales se traduce en tener tras un solo punto de acceso el control a los procesos del sistema.
  • Con el uso de perfiles en los HMIs es vital la configuración y el desarrollo de aplicaciones teniendo en cuenta una buena gestión de roles y contraseñas. El objetivo es evitar escaladas de privilegio o fallos en la gestión y/o almacenamiento de credenciales.
  • Es importante tener en cuenta que el creciente uso de aplicaciones móviles aumenta el nivel de exposición a más vulnerabilidades, ya que los propios dispositivos móviles (tablets, PDAs, móviles, etc.) heredan vulnerabilidades de los sistemas operativos como Android, blackberry OS y iOS.