Con demasiada frecuencia, la ciberseguridad se entiende solo en términos de TI , donde el énfasis está en proteger, en igual medida, la confidencialidad, integridad y disponibilidad de los datos, la llamada tríada CIA. Desafortunadamente, este enfoque no funciona para los activos cibernéticos que mantienen segura y en funcionamiento a la sociedad moderna. Estos activos, también conocidos como infraestructura crítica, se encuentran en una amplia gama de sectores, como energía, salud, manufactura y transporte.
El Internet industrial de las cosas (IIoT) ha acelerado el crecimiento de los sistemas ciberfísicos, donde convergen los dominios antes separados de TI y tecnología operativa (OT). Los sensores y monitores conectados a OT recopilan, analizan y comunican datos con otros dispositivos y sistemas para mejorar la calidad, la eficiencia y la seguridad.
Esto debe reflejarse en cualquier estrategia de ciberseguridad para proteger OT porque los entornos industriales tienen que hacer frente a diferentes tipos de riesgos. Las prioridades son la protección de las personas y el medio ambiente. En el mundo ciberfísico, todo está orientado hacia el movimiento físico y el control de dispositivos y procesos para mantener los sistemas funcionando según lo previsto. Por ejemplo, OT ayuda a garantizar que un generador entre en línea cuando hay un aumento en la demanda de electricidad, o que una válvula de desbordamiento se abre cuando un tanque químico está lleno, para evitar el derrame de sustancias peligrosas.
En entornos OT, los sistemas de control y automatización industrial (IACS) se ejecutan en un bucle para comprobar continuamente que todo funciona correctamente. Estos sistemas incluyen la tecnología de control de supervisión y adquisición de datos (SCADA) y las interfaces hombre-máquina (HMI) que se encuentran en el corazón de los sistemas ciberfísicos. Desde una perspectiva de seguridad cibernética, el desafío es que, a diferencia de los sistemas comerciales, los IACS en realidad están diseñados para facilitar el acceso desde diferentes redes. Además, los ciberataques a los sistemas de TI y OT tienden a tener diferentes consecuencias. Los ataques cibernéticos a la TI tienen efectos casi exclusivamente económicos, mientras que los ataques cibernéticos a la infraestructura crítica pueden afectar el medio ambiente, dañar el equipo o incluso amenazar la salud y la vida pública.
Protección de los sistemas SCADA
La protección de los sistemas SCADA, que se utilizan para supervisar las redes eléctricas, así como la maquinaria en las instalaciones industriales, a menudo se basa en la "seguridad por oscuridad", lo que refleja una mentalidad arraigada de que, dado que nadie conoce ni se preocupa por sus sistemas de comunicaciones o sus datos, no es necesario protegerlo. Sin embargo, los sistemas SCADA ahora pueden tener redes de comunicación generalizadas que llegan cada vez más directa o indirectamente a miles de instalaciones, con amenazas cada vez mayores (tanto deliberadas como involuntarias) que pueden causar daños graves a las personas y los equipos. Por lo tanto, la adaptación de medidas de seguridad adecuadas y efectivas se ha vuelto bastante difícil para estos sistemas SCADA.
En el mundo de TI, por ejemplo, los sistemas de detección y prevención de intrusiones (IDPS) están en la primera línea de defensa contra el malware. Los IDPS suelen ser aplicaciones de software que escuchan a escondidas el tráfico de la red. Dependiendo de cómo estén configurados, los IDPS pueden hacer de todo, desde informar sobre intrusiones hasta tomar medidas destinadas a prevenir o mitigar el impacto de las infracciones. El desafío con los sistemas SCADA es cómo distinguir entre datos normales y datos que podrían causar daño. De hecho, si el intruso usa mensajes de protocolo bien formados, es posible que el IDPS ni siquiera lo reconozca como una intrusión.
La mejor solución es que los sistemas SCADA usen seguridad con sus protocolos de comunicación. La seguridad no significa necesariamente encriptar mensajes, sino al menos agregar autenticación y autorización, así como verificar la integridad de los datos, al mismo tiempo que permite la inspección de paquetes de los mensajes mismos, lo que puede ayudar a los IDPS a determinar si se están pasando datos no válidos.
Ciberataques a sistemas ciberfísicos
La infraestructura crítica ha sido atacada en varias ocasiones. En 2014, por ejemplo, una planta siderúrgica en Alemania sufrió graves daños después de que piratas informáticos obtuvieran acceso a los sistemas de control de la planta a través de una campaña de spear phishing: correos electrónicos dirigidos que parecen provenir de una fuente confiable y engañan a los destinatarios para que abran un archivo adjunto malicioso o hacer clic en un enlace malicioso. Los piratas informáticos robaron los nombres de inicio de sesión y las contraseñas que necesitaban para acceder a la red de oficinas de la fábrica y, desde allí, cruzaron a su sistema de producción.
Probablemente el incidente más conocido fue en Ucrania en 2015 cuando los piratas informáticos se infiltraron con éxito en el sistema SCADA de la empresa de electricidad. Se dispararon los disyuntores clave y el sistema SCADA se convirtió en un " ladrillo ", lo que provocó un apagón en todo el sistema. Dejó a casi un cuarto de millón de personas sin electricidad, en pleno invierno, durante hasta seis horas.
En octubre de 2019, informes de India confirmaron que piratas informáticos se habían infiltrado en la central nuclear más grande del país, en Kudankulam, en el estado sureño de Tamil Nadu. Según el sitio web de detección de virus VirusTotal , los piratas informáticos lograron infectar al menos una computadora con malware antes de que se detectara la infracción.
En 2020, una serie de ataques cibernéticos se dirigieron a los sistemas de agua israelíes , incluidas las estaciones de bombeo, los sistemas de alcantarillado y las plantas de aguas residuales. Según los informes, los ciberterroristas explotaron vulnerabilidades en ICS obsoletos para obtener acceso. Afortunadamente, los ataques no lograron interrumpir el suministro de agua, pero se cree que los piratas informáticos intentaban aumentar los productos químicos como el cloro en el agua a niveles dañinos. Estos son solo algunos ejemplos, pero el mensaje claro es que se debe hacer más para proteger la infraestructura crítica.
Un enfoque holístico
Un informe de tecnología IEC esencial sobre ciberseguridad industrial recomienda priorizar la resiliencia sobre otros enfoques de ciberdefensa más tradicionales. El informe dice que lograr la resiliencia consiste principalmente en comprender y mitigar los riesgos, así como en poder detectar y hacer frente a los eventos de seguridad cuando ocurren. Por supuesto, no hay forma de prevenirlos por completo. Incluso los sistemas seguros por diseño , aunque intrínsecamente más seguros, requieren un monitoreo continuo y generalizado. Los estándares IEC para ciberseguridad enfatizan la importancia de aplicar la protección adecuada en los puntos apropiados del sistema mientras se presta atención a la seguridad, la protección y la confiabilidad de los procesos.
Es vital que este proceso esté estrechamente alineado con los objetivos de la organización porque las decisiones sobre qué pasos tomar para mitigar el impacto de un ataque pueden tener implicaciones operativas. “La resiliencia no es solo una cuestión técnica”, advierte el informe de IEC, “sino que debe implicar un enfoque comercial general que combine técnicas de ciberseguridad con ingeniería y operaciones de sistemas para prepararse y adaptarse a las condiciones cambiantes, y resistir y recuperarse rápidamente de las interrupciones”. .
Estándares internacionales
Los estándares internacionales brindan soluciones a muchos de estos desafíos basados en las mejores prácticas globales. Por ejemplo, IEC 62443 está diseñado para mantener los sistemas OT en funcionamiento. Se puede aplicar a cualquier entorno industrial, incluidas las infraestructuras críticas.
El programa de seguridad cibernética industrial de IECEE , el sistema IEC para esquemas de evaluación de la conformidad para equipos y componentes electrotécnicos, prueba y certifica la seguridad cibernética en el sector de la automatización industrial. El esquema de evaluación de la conformidad con IECEE incluye un programa que brinda certificación de estándares dentro de la serie IEC 62443.
En un mundo ideal, las centrales eléctricas y otras infraestructuras críticas serían seguras por diseño. Además de los estándares de seguridad para protocolos de comunicación clave, IEC 62351 brinda orientación sobre el diseño de seguridad en sistemas y operaciones antes de construirlos, en lugar de aplicar medidas de seguridad después de que se hayan implementado los sistemas. La idea es que tratar de parchear la seguridad después del hecho puede ser, en el mejor de los casos, solo una solución rápida y, en el peor de los casos, llega demasiado tarde para evitar que se produzca el daño.
Fuente: etech.iec