La problemática de la ciberseguridad para los profesionales de los sistemas de control industrial

Publicado el 17/02/2015, por Miguel Herrero (INCIBE)
La problemática de la ciberseguridad para los profesionales de los sistemas de control industrial

Los Sistemas de Control Industrial (ICS por sus siglas inglesas) comprenden aquellos sistemas diseñados para el control y automatización de los procesos industriales, en cualquiera de sus variantes. Desde el control de la temperatura de un horno industrial hasta el avance de una cinta transportadora en una fábrica.

La arquitectura de ICS de forma muy simplificada y típica podría constar de los siguientes elementos:

  • Sensores: Reciben información del mundo físico y lo traducen a un rango eléctrico (por ejemplo un sensor del caudal de una tubería).
  • Actuadores: Capaces de alterar físicamente algún parámetro capaz de afectar al proceso (siguiendo con el ejemplo, una válvula que puede cerrar el flujo de agua por la tubería).
  • Sistema de Control y Adquisición de Datos (SCADA): Sistema que permite controlar y supervisar los procesos industriales, mandando instrucciones a los actuadores según la información recibida por los sensores. Las decisiones acerca de las acciones tomadas por el SCADA pueden ser automáticas, según lógicas precargadas en los sistemas, o tomadas por un operario (En nuestro ejemplo, una pantalla donde aparece el caudal y en función del mismo se abre y cierra la válvula).

Estos sistemas utilizan protocolos de comunicación diseñados principalmente para la comunicación en tiempo real. Son protocolos en los que generalmente prima una comunicación rápida y efectiva, por encima de la seguridad de la comunicación. Normalmente los despliegues realizados utilizando este tipo de protocolos eran bastante caros (los protocolos son propietarios, hay pocos fabricantes…).

El desarrollo y la masificación de Internet de los últimos años provocaron un abaratamiento de la electrónica de red asociada a los protocolos de comunicación relacionados con Internet, concretamente con la pila TCP/IP. Este abaratamiento de la electrónica de red junto con la oportunidad de hacer los sistemas más interconectables, hicieron que los protocolos de control industrial empezaran a adoptar TCP/IP como base de protocolo e implementándose como protocolos de capa superior. Aparecen entonces las versiones de TCP de algunos protocolos (como Modbus, que mantiene una versión para comunicación mediante puerto serie y otra para comunicación mediante Ethernet).

El uso de protocolos industriales basados en TCP ha dotado a estos sistemas de una mayor estandarización, lo que supone un arma de doble filo para la industria. Por un lado facilita el trabajo de los encargados de monitorizar y controlar los procesos industriales al poder realizar su labor desde la red corporativa interaccionando y utilizando herramientas de uso común en sistemas operativos modernos. Sin embargo, conectar las redes de ICS a las redes IP corporativas ha proporcionado nuevos objetivos para los ciberdelincuentes, que buscan las pasarelas para “saltar” de una red corporativa comprometida a la red de control industrial, generalmente más vulnerable.

Es por tanto prioritario dotar a los diseñadores de los sistemas de control industrial de conocimientos en ciberseguridad para que tengan en cuenta la seguridad en todas las fases de sus despliegues e incorporen, en la medida de lo posible, elementos de seguridad. También es recomendable que los técnicos que operan estos sistemas mejoren sus conocimientos de ciberseguridad, a fin de mejorar su capacidad de detección de ataques dirigidos contra ese colectivo.

Las certificaciones en seguridad son un método para mejorar las capacidades de ciberseguridad de estos actores. Por tanto, la Agencia de la Unión Europea para la Seguridad de la Información y de las Redes (ENISA), con la colaboración del Centro de Ciberseguridad Industrial (CCI) y contando con la colaboración de miembros de la industria, han recopilado en un documento “Certification of Cyber Security skills of ICS/SCADA professionals” las iniciativas a nivel europeo para la certificación de los profesionales en ciberseguridad para los profesionales de los Sistemas de Control Industrial y SCADA.

También se recogen en el documento otros roles de profesionales, junto con los conocimientos necesarios, en el ámbito de los ICS y los resultados de una encuesta, en la cual consultaron a los expertos acerca de las certificaciones de seguridad. Esta encuesta muestra que tres de cada cuatro expertos están pensándose conseguir algún tipo de certificación en ciberseguridad en ICS, pero que sólo uno de cada tres tenía o había iniciado el proceso para conseguirla.

El documento prosigue con los retos a superar a fin de crear un esquema de certificación de profesionales a nivel europeo. Destacan entre esos retos la obtención del apoyo de todos los actores involucrados, el evitar los intereses comerciales de los fabricantes y conseguir aunar la ciberseguridad en IT con conocimientos técnicos operativos, de forma que, aquellas medidas de ciberseguridad que se incorporen, se hagan desde un punto de vista de la operación de los procesos de control industrial.