Los ICS (sistema de control industrial) se refiere a los sistemas, dispositivos, redes y controles utilizados para operar y/o automatizar un proceso industrial (book-Industrial Network security)

EL día 28 de septiembre el laboratorio de Kaspersky dio a conocer su reporte semestral sobre el panorama de los ataques a las infraestructuras industriales, en el cual hace un análisis del porcentaje de ataques a Latinoamerica y la Peninsula Iberica, donde se identifica que los ataques a las infraestructuras críticas de Latinoamerica se encuentra por encima del promedio mundial, lo cual genera preocupación debido  a que en nuestra región aun  existe aun muchos retos para mejorar la seguridad en los ICS, entre los que se puede nombrar regulaciones mas fuertes en temas de seguridad de la información y personal capacitado para atender incidentes de seguridad.

tomado de:https://securelist.lat/threat-landscape-for-industrial-automation-systems-in-h1-2017/85531/

Esto implica que debemos aumentar aun más los esfuerzos por mejorar nuestros controles de seguridad en la industria, y es allí donde surge el primer problema, debido a las características especiales que tienen los ICS, como lo es mantener la alta disponibilidad, a menudo se requiere que estos sistemas apliquen la regla de los “4-5 nueves“(99,99% – 99,999%) de disponibilidad al año, dando un margen de un máximo entre 5,26 a 50 minutos para atención de fallas, lo cual implica que no se puedan aplicar las mismas tecnologías o incluso las mismas técnicas a la hora de abordar buenas prácticas para mejorar la seguridad de la información.

Las organizaciones empresariales generalmente se centran en mantener bajo niveles aceptables la confidencialidad, la integridad y disponibilidad de los activos de información; sin embargo, en un entorno de control industrial, la seguridad de la información adicionalmente también debe enfocarse en los siguientes ámbitos, teniendo en cuenta que se puedan agregar otros factores, esto depende de la criticidad y el análisis de riesgo asociado a cada ICS:

  • La seguridad física: Cualquier falla generada por un atacante puede llegar a tener fatales consecuencias como la perdida de vidas humanas.
  • Los factores ambientales: Una falla en un ICS también podría tener un impacto negativo en el medio ambiente debido a la liberación de productos químicos peligrosos, radiación u otros materiales. Hay muchas facetas de ecosistema que podría ser dañado por un ICS, incluidas las plantas, la vida silvestre, la calidad del aire,y fuentes de agua
  • Las interdependencias: Se pueden ver afectados  otros ICS, un ejemplo es una la Falla en una Hidroeléctrica no solo puede comprometer el suministro de electricidad, si no que adicional afectar temas de suministro de agua a la ciudad  o corregimientos.
  • La rentabilidad de los proceso físicos: Con un ataque hay que evaluar la afectación sobre la disminución del margen de ganancia de las organizaciones.

La seguridad para ICS es diferente a la seguridad de TI. Las tecnologías de seguridad de TI están bastante maduras y el personal de seguridad y los proveedores tienen una buena comprensión de cómo administrar y soportar los procesos y tecnologías necesarios para proteger las redes y sistemas de TI de ataques informáticos y espionaje.

El soporte de seguridad de ICS es relativamente nuevo tanto para los proveedores como para los administradores de sistemas, debido a los requisitos de alta disponibilidad de los sistemas y a la naturaleza crítica de las funciones de ICS, asegurar una postura de defensa para los sistemas de control industrial se convierte en un desafío.

A continuación se establecen algunos desafíos que tienen los ICS vs TI:

 

Categoría TI

Sistemas de control Industrial

Actualización de parches de seguridad Jornadas continuas para actualizar los sistemas operativos Es muy complicado realizar esta tarea ya que normalmente no siempre se cuenta con ambientes de pruebas que permitan realizar las actualizaciones y evidenciar posibles afectaciones sobre el área de producción.

Lo que implica un riesgo alto debido al sistema de alta disponibilidad que deben manejar los ICS.

Antimalware Se realiza análisis sobre los sistemas operativos periódicamente y los agentes funcionan de forma permanente. No se puede realizar análisis  en tiempo real debido a  que se podría saturar el canal, ademas la mayoría de dispositivos del ICS cuentan con recursos de hardware reducidos.

Las firmas no están disponibles para muchas variantes de código malicioso centradas en ICS. Además, las actualizaciones oportunas de las firmas de virus son difíciles de implementar debido a la naturaleza “siempre activa” de ICS.

Gestión de usuarios y contraseñas Se puede utilizar sistema de Directorio Activo e individualizar a los usuarios, y solicitar contraseñas robustas. Un nombre de usuario y una contraseña diferentes para cada operador pueden retrasar una operación de tiempo crítico y una política de contraseña que obliga a cambios regulares de contraseña y una cierta cantidad de complejidad podría impedir que el operador tenga acceso al sistema bajo coacción.
Gestión de Cambios La mayoría de los administradores de TI pueden aplicar actualizaciones durante el tiempo de inactividad programado. Cualquier impacto negativo del cambio puede ser corregido por una simple restauración de las configuraciones anteriores, y cualquier impacto en la disponibilidad del sistema es generalmente aceptable. Todos los cambios que se deben hacer a un ICS, ya sea para consolas de operador o dispositivos de campo, deben ser probados, rigurosamente debido a la gran variedad de firmware que manejan los dispositivos. Además cualquier interrupción en un sistema de producción debe ser cuidadosamente planificada y la estrategia para implementar el cambio cuidadosamente diseñada.

 

En conclusión las organizaciones que tienen implementado o piensan implementar un ICS deben realizar un análisis concienzudo acerca de como llevan sus procesos de aseguramiento de la información con la finalidad de mitigar el  riesgo frente a los diversos factores expuesto anteriormente al verse afectado por un ataque, ademas se debería pensar en establecer lazos de comunicación más eficaces con los CSIRT(Centros de respuestas a incidentes de Seguridad), con la finalidad de replicar la información a la comunidad en tiempo real y colaborar con la contención del ataque.

No Comment

You can post first response comment.

Leave A Comment

Please enter your name. Please enter an valid email address. Please enter message.

You may also like