52 revista abb 412 · 54 revista abb 412 − los sistemas de control de las empre sas de suministro...
TRANSCRIPT
52 revista ABB 4|12
53Protección frente a las ciberamenazas
PATRIK Boo – La intensidad de los ciberataques a los sistemas informáticos aumenta día a día. no deja de resultar preocupante que la creciente conectividad y el perfeccionamiento de los hackers (piratas informáticos) estén haciendo a los sistemas de TI más vulnerables a las intrusiones informáticas. Uno de los objetivos de estos ataques, que hasta hace poco han permanecido relativamente a salvo o, al menos, inadvertidos, son los sistemas que supervisan los procesos industriales en todo el mundo. El sofisticado ataque de software malintencionado llamado Stuxnet y otros incidentes han aumentado la sensibilización generalizada sobre las vulnerabilidades de los sistemas de control. Si un sistema de control sufre un ataque, o incluso si se pone en riesgo de forma inadvertida, los resultados podrían ser infracciones de normativas, daños en el equipo, pérdida de producción, daños al medio ambiente o peligro para los ciudadanos o los empleados de una empresa. En respuesta a una amenaza potencial y la subsiguiente demanda de los clientes, ABB ha creado Cyber Security Fingerprint, un servicio no invasivo que contribuye de forma significativa a disminuir el riesgo de que un sistema de control sea objeto de un ataque.
¿Se pueden permitir los servicios públicos y las industrias una violación de la seguridad informática?
Protección frente a las ciberamenazas
Imagen del título El entorno “conectado” actual plantea problemas de seguridad informática a los propietarios de sistemas de control. Cyber Security Fingerprint de ABB ofrece una solución integral.
54 revista ABB 4|12
− Los sistemas de control de las empresas de suministro de agua en Illinois y Texas (Estados Unidos) fueron supuestamente pirateados. En Illinois, una bomba de agua fue activada y desactivada incesantemente hasta que se quemó [1]. Poco después, un hacker publicó imágenes suyas en el sistema de control de una empresa de aguas de Texas para demostrar la facilidad con que el sistema de control –o cual quier otro– de Illinois podía ser víctima de un ataque informático. El sistema de vigilancia de la seguridad de la central nuclear de DavisBesse en Ohio fue infectado por el gusano “Slammer” en enero de 2003 y tuvo que desactivarse durante cinco horas. El gusano logró burlar los cortafuegos de la planta a través del ordenador portátil de un contratista que estaba conectado a la red de la central eléctrica. Afortunadamente, la central nuclear estaba inactiva en ese momento porque se estaba realizando uno de los procesos de mantenimiento programado. No obstante, el gusano recorrió Internet y provocó una denegación de servicio en algunos hosts, lo que ralentizó drásticamente el tráfico general de Internet. Además de la planta nuclear, el gusano infectó a casi otras 75.000 víctimas en cuestión de 10 minutos, entre ellas el sistema de control de una compañía eléctrica, a través de una red privada virtual (VPN); el sistema de control de una planta de petróleo, a través de un ordenador portátil; y una estación de operador de una máquina del papel, a través de un módem de acceso tele fónico. Se calcula que provocó daños por valor de más de mil millones de dólares.
Un estudio realizado en 2011 por el Instituto Ponemon sobre la ciberdelincuencia en grandes organizaciones multi nacionales con sede en los Estados Unidos cuantificó el impacto económico de los ciberataques y puso de relieve los graves daños que pueden causar en los resultados econó micos de una organización [2]. El estudio reveló que el coste medio de los ciberataques para una empresa es de 5,9 millones de dólares al año, aunque esta cifra varía entre 1,5 y 36 millones de dólares. No está previsto que estos costes disminuyan. La cifra de 5,9 millones de dólares representa un aumento del 56% con respecto a 2010.
L os sistemas de control de hoy en día son más vulnerables que nunca a las ciberamenazas, debido a la mayor interconecti
vidad, a la “informática en la nube” y al perfeccionamiento de las destrezas de los hackers. Mientras que las TI empresariales han sido siempre uno de los objetivos favoritos de estos piratas informáticos, su atención se dirige cada vez más a los sistemas de control. Uno de los factores que añade urgencia a la situación es el hecho de que en las economías emergentes están proliferando los sistemas de control.
Los ataques a los sistemas de control pueden causar estragos:− En una planta de tratamiento de
aguas residuales en Australia, un antiguo contratista descontento con la empresa accedió al sistema de control de esta e inundó el área circundante con millones de litros de aguas residuales sin tratar, acción que contaminó parques, ríos y los terrenos de un hotel. En Australia, el gusano “Sasser” infectó el sistema de señalización y control de RailCorp e hizo que se detuvieran todos los trenes durante ese día, lo que impidió que 300.000 trabajadores de Sídney acudieran a sus puestos de trabajo.
Dado que los costes de la ciberdelincuencia son dos o tres veces mayores que el coste de las medidas preventivas, la inversión proactiva en ciberseguridad es una decisión muy sensata.
55
Ciberataques: la respuestaLos hackers, o piratas informáticos, son cada vez más creativos y competentes, y el número de personas y grupos organizados dedicados a estas actividades va en aumento, lo que deja unos daños cuyo coste asciende a millones, si no miles de millones, de dólares. Desde Stuxnet, el software malintencionado que infectó y paralizó la central de tratamiento de combustiblenuclear de Natanz (Irán) en 2010, los servicios públicos y las plantas industriales se han puesto en alerta. No hace mucho que la irrupción del virus “Flame”, el código malintencionado más complejo hasta la fecha, hizo que la tensión fuera en aumento.
Tales amenazas, sumamente peligrosas para los sistemas de control, han atraído la atención de los gobiernos, que están tomando medidas para regular la ciberseguridad si no lo hacen las empresas. Aunque no es una opción necesariamente mala, las normativas impuestas por las Administraciones pueden errar el tiro o añadir costes innecesarios. Además, un enfoque de seguridad basado en normativas no es una alternativa eficiente a un enfoque basado en el riesgo. Por tanto, las empresas deben demostrar que toman medidas de forma correcta y proactiva para abordar la ciberseguridad, aunque un estudio de Bloomberg Government de 2012 llegó a la conclusión de que los servicios públicos, los bancos y otros operadores de infraestructuras tal vez necesiten dedicar hasta nueve veces más tiempo que el que dedican en la actualidad a mejorar su seguridad [4].
Según el informe del Instituto Ponemon, una muestra de referencia que incluía 50 organizaciones indicaba que estas fueron objeto de 72 ciberataques manifiestos y concluidos con éxito a la semana en 2011, lo que se traduce en 1,4 ataques por organización de referencia cada semana. Esto representa un aumento del 44% de los ataques concluidos con éxito respecto al año anterior. Prácticamente todas las organizaciones sufrieron ataques relacionados con virus, gusanos y/o troyanos en el periodo de cuatro semanas tomado como referencia ➔ 1. Curiosamente, esos ataques malintencionados representan solo en torno a una cuarta parte de los inciden tes de seguridad en el ciberespacio: los demás son consecuencia de negligencias, malware o fallos de TI.
Los ciberataques son comunes, caros y perjudiciales. En 2011 se publicó una encuesta realizada a 200 ejecutivos de TI a cargo de servicios de abastecimiento de agua, petróleo y gas en 14 países. El 80% de ellos afirmaba que habían sufrido ataques de denegación de servicio a gran escala [3]. Tales estadísticas, aunque están relacionadas principalmente con TI empresariales, indican que cualquier empresa sin una estrategia de seguridad informática bien elaborada está expuesta a un riesgo demasiado alto si piensa que no será objeto de un ataque. Dado que los costes de la ciberdelincuencia son, como mínimo, dos o tres veces mayores que el coste de las medidas preventivas, la inversión proactiva en ciberseguridad es una decisión muy sensata.
Procedimientos y protocolos: análisis cualitativo que indica que las instrucciones y directivas bien escritas protegen a las organizaciones.
1 Los tipos de formas de ataque que sufren las empresas que participan en el estudio de Ponemon [2]
(%)
Virus, gusanos, troyanos
Malware
Botnets
Ataques basados en la Red
Dispositivos robados
Código malintencionado
Personal interno malintencionado
Phishing e ingeniería social
Denegación de servicio
0 20 40 60 80 100
100
96
82
64
44
42
30
30
4
Protección frente a las ciberamenazas
56 revista ABB 4|12
expertos en seguridad están muy preocupados por la vulnerabilidad de los sistemas de control ante los ciberataques.
Cyber Security FingerprintPara ayudar a los clientes a hacer frente a las ciberamenazas, ABB desarrolló Cyber Security Fingerprint, un servicio no invasivo que puede aplicarse a la mayoría de los sistemas de control que funcionan con versiones actuales del sistema operativo Microsoft Windows. El servicio sigue la avanzada metodología de servicios en tres pasos de ABB, de eficacia probada ➔ 2. Esta metodología ayuda a los propietarios de sistemas de control a proteger sus inver siones y sus empresas identificando vulnerabilidades y describiendo cuál es la mejor forma de mitigar los riesgos:1) Diagnóstico: una evaluación y compa
ración del estado actual con las buenas prácticas y normativas industriales y de equipos es el primer paso para desarrollar una estrategia que reduzca el riesgo frente a las ciberamenazas de seguridad para los sistemas de control. El objetivo de este ejercicio es identificar las áreas vulnerables y formular recomendaciones sobre cómo abordarlas.
2) Aplicación: a partir de las vulnerabilidades identificadas en el paso 1, los elementos físicos y virtuales del sistema de control se protegen con las configuraciones de seguridad, las directivas y los procedimientos pertinentes. Esto puede hacerse siguiendo las recomendaciones, por ejemplo, creando protocolos para los ajustes de las contraseñas, lo cual se explica en el informe de Fingerprint.
El desafío de la protecciónEn el pasado, los sistemas de control se aislaban del resto de los sistemas de información de las plantas. Ahora, las empresas exigen un planteamiento mucho más integrado. Los servicios públicos y las industri as cuentan con este intercambio de información sin precedentes para poder disponer de una visibilidad detallada de sus actividades y para facilitar una mejor toma de decisiones.
Y la situación se complica aún más por el hecho de que los sistemas de control tienden a tener una vida activa muy larga, de entre 15 y 20 años o más. En consecuencia, las defensas frente a los ciberataques pueden quedarse anticuadas o incluso ser nulas. Además, muchos sistemas incluyen pequeños dispositivos de procesamiento que realizan tareas específicas y que sencillamente no están equipados para ejecutar el software antivirus o los cortafuegos de protección.
Por otra parte, un ataque a un sistema de control puede tener consecuencias muy diferentes de una empresa a otra. En lugar de pérdidas de información o financieras, las consecuencias podrían ser infracción de los requisitos normativos, daños a los equipos, pérdida de producción, daños al medio ambiente o amenazas a la seguridad de los ciudadanos y de los empleados.
Aunque unas medidas de seguridad básicas podrían haber evitado o reducido los efectos de la mayoría de las intrusiones que se describen en este artículo, los
Para ayudar a los clientes a hacer frente a las amenazas que acechan en Internet, ABB ha creado Cyber Security Fingerprint.
2 El ABB Cyber Security Fingerprint cumple la metodología de servicios avanzados de tres etapas de ABB, ya bien probada.
1. Diagnosticar (fingerprint)– Medir las desviaciones de
rendimiento– Predecir ROI– Emitir un plan de acción
2. Aplicar (práctica)
– Corregir desviaciones de rendimiento
– Definir y super visar un plan
3. Conservar (exploración/seguimiento)
– Controlar desviaciones de rendimiento
– Programar mantenimiento– Definir activadores de
condición– Mantener las condiciones
Service
Mayor rendimiento
3 Las capas de protección múltiples reducen considerablemente el riesgo de sufrir ataques
Capas de protección de ciberseguridad
Seguridad física
Cortafuegos de software
Cortafuegos y arquitectura
Directivas de seguridad del grupo
Gestión de cuentas
Actualizaciones de seguridad
Soluciones de antivirus
Sistema de control
57
recopilación de datos– para recoger información y configuraciones del sistema de control y de los ordenadores de la red de la planta. Se carga un archivo ejecutable temporal para buscar en todos los ordenadores y terminales conectados en la red del cliente y para recopilar información sobre el perfil y la configuración. Este proceso sigue estrictamente las directivas y los procedimientos de seguridad de ABB.
Estos datos se añaden a la información recogida en entrevistas estructuradas con el personal clave de la planta, y se compara el estado de seguridad del sistema y la planta con las buenas prácticas y normas del sector, como la serie ISO/IEC 270001,
NERCCIP 2 e ISA62443 ( ISA99 ) 3. Después se utiliza el analizador de seguridad de ABB para generar indicadores clave del rendimiento (KPI), que indican los puntos fuertes y débiles de la ciberseguridad del sistema de control evaluado ➔ 4. ABB deter mina indica
dores clave del rendimiento para tres áreas fundamentales:− Procedimientos y protocolos: análisis
cualitativo que indica que las instrucciones y directivas bien escritas protegen a las organizaciones.
− Directivas de seguridad del grupo: directivas implementadas en el sistema, implantadas desde un
3) Conservación: la vigilancia perma nente del estado de los sistemas o, al menos, las comprobaciones periódicas, son medidas necesarias para proteger un sistema en un entorno que cambia con suma rapidez.
Este proceso de identificar los puntos fuertes y débiles a partir de datos recogidos de los sistemas críticos y del personal clave, y de compararlos con las buenas prácticas del sector, es el fundamento de Cyber Security Fingerprint de ABB. El enfoque de ABB sigue el principio de “defensa en profundidad”, lo que significa que Fingerprint comprueba si un sistema de control tiene los múltiples niveles de
protección necesarios para reducir significativamente el riesgo de ser objeto de un ataque ➔ 3.
Para completar el primer paso del procedimiento de Fingerprint, un técnico de asistencia in situ de ABB utiliza Security Logger –herramienta patentada por ABB de alta velocidad y basada en software para la
La avanzada metodología de servicios de ABB ayuda a los propietarios de sistemas de control a proteger sus inversiones mediante la identificación de vulnerabilidades y la reducción del riesgo.
notas a pie de página1 La serie ISO/IEC 27000 (también conocida
como “familia de normas ISMS) incluye normas de seguridad de la información publicadas conjuntamente por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC).
2) NERC es una organización internacional, independiente y sin ánimo de lucro cuya misión es garantizar la fiabilidad del sistema de energía en grandes volúmenes en América del Norte. NERCCIP se aplica específicamente a la protección de infraestructuras críticas (CIP).
3) La ISA99 cubre los sistemas de control y automatización industrial que, en caso de ser objeto de actos que entrañen riesgo, podrían ocasionar todas o algunas de las siguientes situaciones: peligro para la seguridad ciudadana o de los empleados de la empresa; pérdida de la confianza de los ciudadanos; incumplimiento de los requisitos normativos; pérdida de información privada o confidencial; pérdidas económicas y repercusiones en la seguridad nacional.
4 ABB revisa tres componentes clave del sistema de control de una planta para determinar los indicadores clave de rendimiento.
Sistema
– Organización– Personal– Control de acceso– Administración– Mantenimiento– Cumplimiento– Seguridad física
Procedimientos y protocolos
Directivas de seguridad del grupo
Configuración del equipo para cada ordenador del sistema
– Contraseñas– Cuentas de usuario– Auditorías de inciden
tes de seguridad– Consola de
recuperación– Inicio de sesión
interactivo– Sistema y dispositivos– Acceso a la red– Seguridad de red– Criptografía del sistema– Aplicación de directivas
– Sistema operativo– Servicios– Cortafuegos– Particiones– Actualizaciones de
seguridad de MS– Antivirus– Puertos abiertos– Elementos de inicio– Aplicaciones
instaladas
5 El informe muestra el riesgo relativo para el sistema basado en las partes evaluadas. Las áreas con menos coloración tienen menor riesgo que aquellas que están más coloreadas.
Procedimientos y protocolos
Directivas de seguridad del grupo
Configuración del ordenador
1 23
4
5
6
7
8
9
10
11
12131415
16
17
18
19
20
21
22
23
24
2526 Los KPI están represen
tados por números
Protección frente a las ciberamenazas
58 revista ABB 4|12
servicio no garantiza la seguridad al cien por cien de un sistema de control. Ningún control de la ciberseguridad puede hacerlo.
Protección integralCyber Security Fingerprint de ABB es un servicio no invasivo que puede aplicarse a la mayoría de los sistemas de control que utilicen una versión actual del sistema operativo Microsoft Windows. Utiliza normas del sector en materia de recopilación de datos, buenas prácticas, una tecnología robusta y conocimientos especializados sobre seguridad de sistemas para ayudar a las empresas a proteger sus activos más valiosos. Conocer las vulnerabilidades de la ciberseguridad de los sistemas de control puede permitir a los servicios públicos y las industrias definir y aplicar planes de seguridad que:− aumenten la protección de la planta y
de la comunidad en la que está ubicada;
− reduzcan la posibilidad de que se produzcan interrupciones de sistemas y plantas;
− reduzcan mejor el riesgo frente a un ataque de ciberseguridad;
− reduzcan los costes por detección, contención y recuperación en relación con los ciberdelitos;
− faciliten una base sólida desde la que elaborar una estrategia de ciberseguridad sostenible.
servidor central o aplicadas en equipos individuales
− Configuración del ordenador: ajustes y aplicaciones que residen en equipos individuales del sistema
Sobre la base de la información recopilada y los KPI calculados, se genera un diagrama que identifica los riesgos de seguridad informática del sistema ➔ 5. Cuanto más tenue es el color en el diagrama, menor riesgo hay, aunque esto no significa que el sistema esté a salvo de ataques. No obstante, indica que hay instalada una buena protección básica para el sistema frente a las ciberamenazas.
El informe incluye también resultados detalla dos de cada sección y recomendaciones sobre cómo mejorar áreas vulnerables ➔ 6. ABB puede ayudar a implementarlas. Las recomendaciones se refieren a consideraciones físicas, gestión de toda la infraestructura, directivas y procedimientos, y gobernanza y responsabilidad en toda la organización.
Una vez que las recomendaciones de Finger print se han aplicado, el proceso y las herramientas instaladas permiten la reevalua ción periódica para medir y mantener el nivel de seguridad durante toda la vida útil del sistema de control. Esto es esencial en un momento en el que los ciber ataques evolucionan a diario.
Es importante tener en cuenta que Cyber Security Fingerprint es un indicador del estado de seguridad de un sistema en un momento dado. Ahora bien, aunque se sigan todas las recomendaciones, este
Lecturas recomendadasObermeier, S., Stoeter, S., Schierholz, R., Braendle, M., Ciberseguridad – la protección de las infraestructuras críticas en un mundo cambiante. Revista ABB 3/2012, 64–69.
Referencias[1] Ahlers, M. (2011, 18 de noviembre). Feds
investigating Illinois ‘pump failure’ as possible cyber attack. CNN.com. Consultado el 10 de julio de 2012 en http://articles.cnn.com/20111118/us/us_cyberattackinvestigation_1_cyberattackcybersecuritynationalcybersecurity?_s=PM:US
[2] Ponemon Institute. (agosto de 2011). Second annual cost of cyber crime study: Benchmark study of U.S. companies. Traverse City, MI.
[3] Torrenzano, R., Davis, M. (2011). Digital Assassination. Nueva York; St. Martin’s Press.
[4] Engleman, E., Strohm, C. (31 de enero de 2012). Cybersecurity Disaster Seen in U.S. Survey Citing Spending Gaps. Bloomberg.com. Consultado el 10 de julio de 2012 en http://www.bloomberg.com/news/20120131/cybersecuritydisasterseeninussurveycitingspendinggaps.html
Patrik Boo
ABB Process Automation Lifecycle Services
Westerville, OH, Estados Unidos
6 Conclusiones principales
Tema
Directiva de seguridad
Tamaño del histórico de contraseñas
Windows Server 2003 SP1
Descripción
Es crucial disponer de una directiva de ciberseguridad. La directiva describe
claramente lo que está y no está permitido y cómo reaccionar ante las
distintas situaciones. El proceso de redactar la directiva es importante, porque
obliga a la organización a considerar todos los aspectos de la ciberseguridad.
Al fijar un tamaño del histórico de contraseñas, los usuarios pueden elegir con qué frecuencia se pueden volver a utilizar las contraseñas antiguas. Debe desaconsejarse a los usuarios que sigan un ciclo a través de un conjunto común de contraseñas.
El Service Pack 1 de Windows Server 2003 se presentó el 30 de marzo de 2005 y el apoyo oficial finalizó el 14 de abril de 2009.
Recomendación
Hay que hacer que los gestores se convenzan
de la importancia de una directiva de seguridad.
Designe un equipo de ciberseguridad para que
la redacte y la tenga al día.
Fije un valor del tamaño del histórico de contraseñas mayor o igual a 13 contraseñas.
Actualice todo el software del servidor con la última versión. NOTA: La mejora del sistema operativo puede dar lugar a la necesidad de mejorar también el software de ABB. El programa ABB Automation Sentinel permitirá a los abonados beneficiarse de software nuevo y de actualizaciones de ABB.