A medida que los sistemas de control industrial (ICS) se conectan más y utilizan componentes estándar, surgen nuevas vulnerabilidades a los ataques cibernéticos. Este tutorial se centra en tres tipos de ICS: controladores lógicos programables (PLC), sistemas de control de supervisión y adquisición de datos (SCADA) y sistemas de control distribuido (DCS) para analizar problemas y soluciones de seguridad.
Resumen: A medida que los sistemas de control industrial (ICS) se conectan más y utilizan componentes estándar, surgen nuevas vulnerabilidades a los ataques cibernéticos. Este tutorial se centra en tres tipos de ICS: controladores lógicos programables (PLC), sistemas de control de supervisión y adquisición de datos (SCADA) y sistemas de control distribuido (DCS) para analizar problemas y soluciones de seguridad. Este documento también analiza las ventajas y limitaciones de dos soluciones criptográficas (firmas digitales y cifrado) y detalla por qué ICS utiliza circuitos integrados de seguridad para respaldar la criptografía.
prólogo
Hasta ahora, la mayoría de los sistemas de control industrial (ICS) se diseñaron principalmente para una alta confiabilidad, seguridad y el máximo tiempo de actividad. Si bien la industria se ha centrado en cumplir con estos requisitos durante décadas, históricamente se ha prestado poca atención a la seguridad digital. En la década de 1990, algunas agencias gubernamentales comenzaron a investigar la ciberseguridad de la infraestructura crítica, como la distribución de energía eléctrica. Estos esfuerzos aún se mantuvieron en secreto. Ahora, con la llegada de Stuxnet y la multitud de publicaciones que generó, los ataques cibernéticos a los sistemas de automatización y control industrial se han convertido en una preocupación importante para todas las partes interesadas.
Los sistemas de control industrial están en riesgo
Admito desde el principio que la discusión de todas las estructuras ICS susceptibles a ataques de seguridad merece un artículo completo. Ciertamente, es difícil limitar nuestra discusión a unos pocos ICS importantes, pero eso es lo que tenemos que hacer. Entonces, consideremos tres tipos diferentes de ICS.
Los controladores lógicos programables (PLC) se utilizan ampliamente para automatizar procesos de fabricación y controlar subsistemas. Los PLC suelen estar conectados como parte de una infraestructura más amplia.
Sistema de Supervisión, Control y Adquisición de Datos (SCADA). Supervise y controle la infraestructura crítica dispersa geográficamente, como los sistemas de distribución de agua y energía.
Sistema de Control Distribuido (DCS). Controle procesos industriales como la fabricación de productos químicos y la generación de energía. Suelen constar de varios subsistemas automatizados.
La implementación de estos sistemas variará mucho dependiendo de la aplicación industrial final. Algunos sistemas están físicamente centralizados, confinados a instalaciones de fabricación bien definidas o dispersos en áreas geográficas muy grandes. No obstante, todos estos sistemas operan bajo restricciones debido a ciertas expectativas o argumentos de desempeño. Por ejemplo, un sistema SCADA idealmente debería tener un “cinco nueves” o “seis nueves” (“cinco nueves” significa una disponibilidad del 99,999 %, lo que equivale a aproximadamente cinco minutos de tiempo de inactividad por año). Debe tener un alto nivel de tiempo de actividad. Para otros sistemas de automatización y control industrial, la restricción de rendimiento más importante puede ser tiempos de reacción muy rápidos.
Entonces, si bien los ICS pueden parecer similares, son muy diferentes. Además de esto, hoy vemos dos tendencias. ICS está cada vez más conectado. También utiliza componentes disponibles en el mercado más estándar, como estaciones de trabajo que se basan en software estándar, como el sistema operativo Windows® y la comunicación a través de IP. Estas tendencias están creando nuevas vulnerabilidades a los ciberataques.
Tecnología de TI en un entorno industrial: no siempre encaja a la perfección
ICS ahora también incorpora tecnología utilizada en TI, pero ICS todavía necesita operar dentro de ciertas metas o restricciones de rendimiento. Esta convergencia de tecnologías tiene implicaciones importantes y directas. Algunas de las amenazas a los componentes de TI estándar ahora también se aplican a ICS. Sin embargo, las medidas de seguridad utilizadas en el mundo de TI no siempre son aplicables a ICS debido a los diferentes objetivos de rendimiento y entornos de trabajo.
Antes de entrar en detalles, veamos un ejemplo sencillo. Los sistemas SCADA monitorean la presión del agua de enfriamiento en equipos industriales y se espera que emitan una alarma cuando se detecta una pérdida de presión. En esta posible emergencia, nos gustaría que el operador tome medidas inmediatas.
Ahora considere la respuesta del operador en una infraestructura de TI tradicional. Después de unos minutos de inactividad, es posible que su estación de trabajo de TI se bloquee. El operador debe ingresar una contraseña para iniciar sesión, generalmente después de tres intentos fallidos, la estación de trabajo se bloqueará nuevamente. Ahora el operador de TI debe ponerse en contacto con el administrador para restablecer la contraseña. El tiempo pasa. Un procedimiento iterativo similar sería devastador en un entorno industrial. Si se va a utilizar ICS para esta emergencia, nos gustaría que los operadores actuaran de inmediato. La vacilación es una pérdida significativa de tiempo. Este es un ejemplo de un procedimiento de TI muy estándar que no es aplicable a ICS e incluso dañino.
Amenazas a los sistemas de control industrial
No puede confiar en una arquitectura ICS personalizada para proteger ICS de amenazas electrónicas. Históricamente, los ciberataques no se consideraban una amenaza importante para los sistemas de control y automatización. La red ICS estaba aislada o no seguía los estándares de TI. Se pueden hacer tres observaciones importantes al respecto.
Las redes de control y automatización están cada vez más conectadas a redes estándar y abiertas, ya que requieren interfaces con otros sistemas.
La industria puede aplicar fácilmente ingeniería inversa a los protocolos propietarios a un costo razonable. El peligro aquí es que las debilidades en ese protocolo pueden no haber sido investigadas, comprendidas o reparadas.es peligroso. Se ha demostrado que esta suposición es incorrecta e irrelevante. Ese es el concepto de “seguridad a través de la oscuridad”. ¹ Esta vulnerabilidad de los protocolos inseguros contrasta marcadamente con los protocolos confiables y conocidos públicamente cuyas amenazas y respuestas se comprenden bien.
Las redes no son el único vector de ciberataques. Como resultado, la infraestructura aislada dentro de ICS puede ser vulnerable a otros medios de ataque, como llaves USB y consolas de mantenimiento.
Al igual que las redes industriales que no siguen protocolos bien conocidos y documentados, la arquitectura propietaria de los PLC tampoco suele ofrecer protección de seguridad. Desafortunadamente, Stuxnet es un muy buen ejemplo de esto. De hecho, Stuxnet solo dañó el software propietario y los PLC con configuraciones específicas. El malware no podría haberse diseñado sin un conocimiento profundo de los sistemas específicos a los que se dirigía. “La seguridad de un sistema no debe depender de la confidencialidad de su implementación o de sus componentes”.² De hecho, ese enfoque hace que el hardware (el PLC en este contexto) sea muy vulnerable. Entonces, de nuevo, esto no se puede decir con demasiada frecuencia. No puede confiar en la arquitectura personalizada de ICS para que sirva como protección contra amenazas electrónicas.
Aunque ICS tiene una arquitectura diferente a la infraestructura de TI típica y cumple con diferentes requisitos, la mayoría de las amenazas a la infraestructura de TI típica también pueden afectar a ICS. Desafortunadamente, la lista de estas amenazas es larga y desagradable. Inyección de malware como gusanos y virus. Cambios en la configuración del software o hardware. Mensajes falsos u órdenes de los atacantes. robo de identidad y visualización no autorizada.
En resumen, estamos ante una situación muy difícil. Las amenazas de seguridad de ICS son similares a las que acosan a la infraestructura de TI, pero los requisitos específicos de las operaciones de ICS a menudo no permiten la reutilización de técnicas de seguridad de TI conocidas.
Poniendo el más alto nivel de protección dentro del ICS
La seguridad es una preocupación generalizada en las aplicaciones industriales y de automatización, por lo que existen medidas de protección y mitigación. Históricamente, la mayoría de estas defensas han incluido procedimientos de seguridad, protecciones ambientales y físicas y capacitación del personal. El propio ICS sigue siendo vulnerable. Antes de criticar a la industria por estas precauciones mínimas, debemos recordar cómo comenzó la seguridad en el dominio de TI tradicional. Este es en realidad el primer nivel de protección y la base para comenzar.
Estas tácticas defensivas tradicionales no brindan el máximo nivel de protección requerido para ICS. Los procedimientos, incluso si se auditan regularmente, nunca se siguen al 100 %. Las protecciones físicas, como el bloqueo de puertas, se pueden eludir y no se pueden aplicar en todas partes. Lo que es más importante, los pasos manuales defensivos no cubren los ataques llevados a cabo por personas altamente capacitadas que tienen el tiempo y el presupuesto para construir los escenarios más avanzados. Peor aún, ha habido casos de operadores de ICS que eluden los procedimientos a través del soborno.
No, las respuestas de seguridad están integradas. Reside en el hardware del ICS. La capa superior de técnicas de protección de seguridad incluye técnicas comunes de seguridad de TI, como criptografía y seguridad de hardware (Figura 1).