Protegiendo Infraestructuras Críticas: no es suficiente con medidas IT

Publicado el 11/11/2014, por Jesús Díaz (INCIBE)
Protegiendo Infraestructuras Críticas: no es suficiente con medidas IT

Hace unos días ha tenido lugar el III Congreso Iberoamericano de Ciberseguridad Industrial, compuesto por ponencias y talleres impartidos por expertos internacionales. A continuación, resumimos algunos de los principios y conceptos que se trataron en algunos talleres, que ponen de manifiesto que es esencial mejorar la seguridad en IICC y, al mismo tiempo, que ésta tiene requisitos adicionales con respecto a la seguridad IT.

Durante la última década ha quedado patente que la seguridad en entornos industriales requiere atención especial. Tanto por la criticidad de los procesos que controlan, como por las propiedades especiales que presentan. Prueba de ello son los cada vez más numerosos incidentes y eventos relacionados con este tipo de infraestructuras. A continuación representamos algunos de ellos:

Eventos PIC

Como defiende la experta Marina Krotofil, es ya claro en la comunidad de seguridad en infraestructuras críticas que no es suficiente con incorporar medidas típicas de seguridad IT, como protección perimetral y segmentaciones seguras de red. También, al contrario que en sistemas IT estándar, en sistemas industriales es peligroso portar directamente una solución de un sistema a otro, ya que las características de éste último pueden incluir factores que hagan vulnerable esta integración «directa».

En concreto, en ICS, hay que ir más allá de las propiedades que típicamente se tienen en cuenta en seguridad IT (CID: Confidencialidad, Integridad y Disponibilidad, y conceptos derivados). Por ejemplo, un atacante que conozca los detalles de una planta química, podría manipular los procesos de control de la misma de forma que, aun manteniendo unos niveles «válidos y no sospechosos» de todos los parámetros (es decir, sin violar la integridad), provocase un funcionamiento ineficiente de la planta, o generase productos de peor calidad.

Para resolver estas deficiencias, complementando los modelos de seguridad que utilizan CID como base para las metodologías de diseño de sistemas industriales, una propuesta que está cobrando fuerza es el concepto de seguridad «ciber-física». La base de este modelo es que, más allá de CID, hay que conocer en profundidad las propiedades físicas del sistema a diseñar o proteger.

En este aspecto, son tres las propiedades principales a proteger:

  • «Observabilidad». Todo proceso industrial debe ser observable por los operadores que lo controlen, de forma que éstos puedan reaccionar ante imprevistos o situaciones anómalas. Esta propiedad se puede subdividir a su vez en:
    • Mensurabilidad. Debe ser posible tomar medidas de los procesos.
    • Veracidad. Las medidas mostradas deben ser legítimas, y corresponder con precisión con los valores reales del sistema.
  • Controlabilidad. Debe ser posible controlar el sistema en todo momento, para reaccionar de la manera adecuada a las distintas situaciones que puedan surgir.
  • Operabilidad. El funcionamiento del sistema debe asegurarse en todo momento, o, en el peor de los casos, debe mantenerse funcionando al menos «bajo mínimos».
    • Resiliencia. El sistema debe ser capaz de recuperarse ante situaciones anormales, ya sean estas debidas a ataques o a condiciones especiales, pero no malintencionadas.
    • Supervivencia. Nunca debe detenerse el funcionamiento del sistema.
    • Degradación controlada (graceful degradation). Si la supervivencia completa no es posible, se deben evitar «caídas» incontroladas, intentando limitar el impacto del incidente.

Veamos algunos ejemplos de estas propiedades.

Observabilidad: veracidad

Los procesos de control son fundamentales en estos sistemas. El término proceso hace referencia a las tareas en sí mismas realizadas en la industria, destinadas a refinar (procesar) materiales para crear un nuevo producto. El término control se refiere a los métodos utilizados para controlar dichos procesos.

Bucle de control

- Esquema de bucle de control sencillo -

En el esquema anterior toman parte 4 valores distintos:

  • SP (Set Point): Es el valor que se desea mantener. Por ejemplo, el volumen de líquido en un depósito.
  • PV (Process Variable): Son las variables que se utilizan en el proceso para estimar el parámetro que se quiere aproximar al SP. Podría ser, por ejemplo, la cantidad de líquido saliente y la cantidad de líquido entrante.
  • Error: La diferencia entre el valor deseado (SP) y el estimado a partir de las PVs.
  • MV (Manipulated Variable): El valor devuelto por el proceso de control para acercar el valor estimado al SP. No tiene por qué ser igual al error (por ejemplo, cambios bruscos podrían no ser deseables).

Retomando el concepto de veracidad, independientemente de si se implementa un proceso de control perfecto que consigue mantener el/los parámetro/s a controlar siempre en el SP, si la información (los PVs) que se pasan al proceso no son legítimos, el resultado producido (el MV) será incorrecto.

Los ataques que afectan a la veracidad, pese a encontrarnos en un entorno restringido, son posibles. Por ejemplo, en la sesión Miniaturization de la Black Hat USA 2014, Jason Larsen expuso cómo crear rootkits para sistemas industriales, teniendo en cuenta las limitaciones de espacio de las memorias flash presentes en los controladores, diferencias entre los lenguajes ensamblador de ordenadores comunes frente a los utilizados en entornos industriales, etc. En la presentación, se ve cómo, manipulando los controladores del sistema, es «sencillo» producir PVs que, pese a parecer legítimas, han sido evidentemente manipuladas por medio del rootkit.

Es decir: es esencial garantizar la veracidad de la información que toma parte en los procesos de control.

Controlabilidad y operabilidad

Como hemos visto, estas propiedades se refieren a que debe ser posible controlar el sistema, para reaccionar adecuadamente ante cualquier situación (controlabilidad) y asegurar que el sistema se mantenga en funcionamiento (operabilidad).

Un buen ejemplo es el que se puede ver en el siguiente vídeo, sobre el efecto conocido como «water hammer», muy importante en instalaciones industriales. Este efecto se produce cuando se cierran bruscamente las válvulas que permiten (o detienen) el flujo de líquidos. Al ocurrir esto, el líquido rebota, «chocando» con el fluido que venía inmediatamente después y produciendo un aumento de la presión ejercida sobre las tuberías.

En el escenario mostrado en el vídeo, se muestra un mecanismo para controlar estas situaciones y mantener la operabilidad del sistema, reduciendo los riesgos del water hammer, que podría llegar a provocar rupturas de las tuberías por las que circula el líquido.

Un atacante que fuera capaz de alterar el comportamiento del sistema para provocar este efecto podría dañar la infraestructura. Por lo tanto, incorporar mecanismos físicos para minimizar la efectividad de tales ataques redundaría en un sistema más robusto (y seguro).

Conocer el sistema y su funcionamiento

Por lo tanto, podemos concluir que en sistemas críticos no es suficiente con aplicar medidas de seguridad IT, sino que también es necesario conocer en profundidad los principios físicos y el funcionamiento del sistema a proteger, para crear un diseño del mismo que permita garantizar las propiedades de «observabilidad», «controlabilidad» y «operabilidad».

Tal y como expone el experto Ayman Al- Issa, hay que conocer la infraestructura del sistema a proteger, entender cómo funciona cada una de sus partes, cómo se integran, el orden de eventos y procesos, etc. O en otras palabras, hay que conocer el mapa de procesos y las relaciones entre procesos. Esto, a su vez, ayudará a conocer la cadena de consecuencias que puede derivarse de un ataque, lo cual será fundamental para determinar qué puntos (de la infraestructura física, IT, de los procesos, etc.) son los apropiados para incidir con el fin de limitar sus efectos.