Seguridad de los sistemas de control

La seguridad de los sistemas de control  es la prevención de interferencias intencionales o no intencionales con el correcto funcionamiento de los sistemas de control automatizado industrial (ACS). Actualmente, estos sistemas gestionan todas las actividades principales, incluida la energía nuclear y eléctrica , la producción y el transporte de petróleo, el suministro de agua, el transporte, las comunicaciones y otras industrias y procesos. Los sistemas de control incluyen computadoras, redes, sistemas operativos, aplicaciones y controladores programables y no programables . Casi todos estos elementos pueden contener vulnerabilidades de seguridad . El descubrimiento en 2010 del malware Stuxnet demostró la vulnerabilidad de ICS a los incidentes cibernéticos. Desde entonces, varios gobiernos han comenzado a adoptar regulaciones de ciberseguridad que exigen una mayor protección de los sistemas de control responsables de la infraestructura crítica.

La seguridad de los sistemas de control incluye seguridad de sistemas de control industrial (ICS), seguridad de control de supervisión y adquisición de datos (SCADA), seguridad de control de procesos, seguridad de redes industriales y sistemas de control de ciberseguridad.

Riesgos

Una brecha en la seguridad de un sistema de control industrial puede tener consecuencias catastróficas en términos de pérdida de vidas, impacto negativo en el medio ambiente, daño a la cadena productiva, daños a los equipos, robo de información confidencial y daño a la imagen de una empresa. .

En los últimos años se han producido una serie de fallos en el funcionamiento de los sistemas de control, que han tenido consecuencias más o menos graves y han sido provocados tanto por la coincidencia de circunstancias como por actos dolosos. Aquí hay algunos de ellos:

• Apagones continuos en varias regiones de Estados Unidos y Canadá en 2003. Se considera que la causa del accidente es la coincidencia de una serie de factores desfavorables, entre ellos la congestión de la red y el fallo informático.
• Un accidente en 2005 en la subestación eléctrica No. 510 " Chagino ", como resultado del cual varios distritos de Moscú, la región de Moscú y las regiones adyacentes quedaron privados de electricidad. Se considera que la causa del accidente es la coincidencia de una serie de factores desfavorables: depreciación de los equipos, calor, falta de profesionalidad de los empleados.
• Ataque del malware industrial Stuxnet , que en 2010 afectó a empresas industriales iraníes asociadas al programa nuclear del país [1] .
• Desastre en 2011 en la central nuclear de Fukushima. Su causa fue una falla de causa común de los equipos después del terremoto y tsunami.
• Desconexión a finales de 2015 del suministro eléctrico en varias regiones de Ucrania (regiones de Ivano-Frankivsk , Chernivtsi y Kiev ). La causa del accidente fue el impacto del malware Industroyer, introducido, según representantes de empresas y agencias de inteligencia ucranianas, por piratas informáticos rusos [2] . El apagón se repitió a finales de 2017. Ukrenergo volvió a culpar a los intrusos rusos por esto [3] .

Vulnerabilidad de los sistemas de control

Los sistemas de control y automatización industrial se han vuelto mucho más vulnerables debido a las tendencias que se han observado en los últimos 15-20 años. Las principales razones de esto son:

• Aumento de la adopción de programas y protocolos estándar comerciales (COTS). La integración de tecnologías como MS Windows, SQL y Ethernet significa que ICS ahora suele ser vulnerable al malware que también afecta a las redes públicas.
• La integración empresarial (utilizando redes de fábrica, corporativas e incluso públicas) significa que, a menudo, los sistemas de control de procesos heredados actuales están expuestos a impactos que no se consideraron cuando se diseñaron.
• Redundancia funcional de equipos ACS. El uso generalizado de controladores y procesadores programables complejos para controlar procesos tecnológicos estándar y simples con un rango predeterminado de parámetros, donde el uso de soluciones no modificables, denominadas de " lógica dura " puede ser suficiente, los hace vulnerables a fallas o a la reprogramación y control por intrusos.
• Creciente demanda de acceso remoto. El acceso las 24 horas del día, los 7 días de la semana para ingeniería, operaciones o servicios técnicos, junto con la comodidad, significa un mayor riesgo de conexiones inseguras o maliciosas a los sistemas de control.
• Disponibilidad de información. Las pautas para el uso de los sistemas de control están disponibles tanto para los usuarios legítimos como para los atacantes.

Contrarrestar las amenazas

A principios del siglo XXI se produjo un aumento en el número y un rápido cambio en los tipos de amenazas a los sistemas de control empresarial automatizados. Dado que la introducción generalizada de los sistemas de control de procesos automatizados tuvo lugar varias décadas antes, cuando el nivel de tales amenazas era mucho menor, es importante analizar los sistemas creados entonces, teniendo en cuenta el nivel actual de amenazas [4] .

• Auditoría detallada de la seguridad de la red de las empresas y sus sistemas de control de procesos. Se debe prestar especial atención a la arquitectura de aquellos sistemas que se construyeron hace varias décadas, cuando el nivel de peligro estaba en un nivel mucho más bajo. Auditoría de los riesgos de fallo del ACS por causa común.
• Rechazo de sistemas redundantes con lógica reprogramable. Cuando inicialmente se conoce el número de tareas de control a realizar, es conveniente cambiar a sistemas aislados de redes externas con una lógica rígida predeterminada, en los que la intervención desde el exterior es prácticamente imposible.
• La introducción de los denominados “ diversos sistemas de protección ” (diverse actuation system), cuando el sistema de control automatizado existente se complementa con otro, construido sobre otro software o hardware y resolviendo los principales problemas de seguridad. Sistemas similares ya están en uso en algunas plantas de energía nuclear y el OIEA [5] recomienda un uso aún mayor, ya que reducen el riesgo de fallas por causas comunes, no solo debido a un error de programación o un ataque de piratas informáticos maliciosos, sino también fenómenos como como sobrecalentamiento debido a fallas en los sistemas de aire acondicionado, incendios, inundaciones durante la extinción de incendios, etc. Planta de energía nuclear británica en Hinkley Point . Sin embargo, este principio es aplicable no solo a la industria nuclear, sino también a cualquier sistema de control de procesos tecnológicos peligrosos.

Esfuerzos de los gobiernos nacionales

En general, se acepta que uno de los primeros países en expresar su preocupación no solo por la ciberseguridad, sino por la seguridad de los sistemas de control, fue Estados Unidos. En particular, el Equipo de Respuesta a Emergencias Informáticas (CERT) del gobierno de EE. UU. ha establecido el Programa de Seguridad de Sistemas de Control (CSSP) [6] , que proporciona un amplio conjunto de estándares y tecnologías nacionales gratuitos [7] (NIST) relacionados con la seguridad de los sistemas de control.

Los países europeos también muestran cada vez más preocupación por estos temas. Entonces, por ejemplo, en Alemania, la seguridad de la información está a cargo de la Oficina Federal para la Seguridad de la Información (Das Bundesamt für Sicherheit in der Informationstechnik), y las cuestiones de objetos de importancia crítica de la infraestructura y la economía de TI nacional, incluida la seguridad de los sistemas de control Nacional Centro de Ciberseguridad . Además, por iniciativa del Ministerio de Defensa y el Ministerio de Relaciones Exteriores de Alemania, se está creando una nueva estructura: la Agencia para la Innovación y la Ciberseguridad (Agentur für Innovation in der Cybersicherheit) [8] .

Rusia, según el índice de ciberseguridad de 2017 [9] , que publica la Unión Internacional de Telecomunicaciones (UIT), entró en el grupo de países líderes y ocupa el décimo lugar, por delante de Japón y Noruega y después de Francia y Canadá. El Servicio Federal de Control Técnico y de Exportaciones (FSTEC de Rusia), que depende del Ministerio de Defensa, se ocupa de la seguridad de los sistemas industriales a nivel estatal. En Rusia, desde abril de 2017, el estándar nacional GOST R IEC 62443-3-3-2016 "Requisitos de seguridad del sistema y niveles de seguridad" introducido por orden de la Agencia Federal de Regulación Técnica y Metrología del 1 de junio de 2016 N 469-st ha estado en vigor [10] . Esta norma está armonizada con las normas internacionales de seguridad para sistemas de control de procesos.

Normas internacionales de seguridad para sistemas de control de procesos

Desarrollado por la Asociación Internacional de Automatización, ISA/IEC-62443 es un conjunto de protocolos, informes técnicos e información relacionada que define procedimientos para implementar sistemas de control y automatización industrial electrónicamente seguros. Esta norma se aplica a los usuarios finales, integradores de sistemas, profesionales de la seguridad y fabricantes de sistemas de control responsables de la fabricación, el diseño, la implementación o la operación de sistemas de control y automatización industrial.

Este estándar se llamó originalmente ANSI/ISA-99 o ISA99, en honor a la Asociación Internacional de Automatización (ISA) que lo creó. En 2010, debido a la armonización de los documentos ISA y ANSI con los estándares relevantes de la Comisión Electrotécnica Internacional (IEC) , el estándar pasó a llamarse ANSI / ISA-62443.

Notas

1. ↑ Ataque de Stuxnet a Irán . Consultado el 5 de octubre de 2018. Archivado desde el original el 11 de septiembre de 2018. (indefinido)
2. ↑ Dentro del astuto y sin precedentes hackeo de la red eléctrica de Ucrania . Consultado el 5 de octubre de 2018. Archivado desde el original el 5 de octubre de 2018. (indefinido)
3. ↑ El apagón de Ucrania fue un ataque cibernético: Ukrenergo . Consultado el 5 de octubre de 2018. Archivado desde el original el 5 de octubre de 2018. (indefinido)
4. ↑ Shults V. L., Kulba V. V., Shelkov A. B. Auditoría de seguridad de la información de sistemas de control automatizados  // Trends and Management: Journal. - 2014. - Nº 4 . — S. 319–334 . Archivado desde el original el 5 de octubre de 2018.
5. ↑ Organismo Internacional de Energía Atómica. Criterios para diversos sistemas de actuación para centrales nucleares  //  SERIE TECDOC DEL OIEA. — ISSN 1011–4289 . Archivado desde el original el 29 de agosto de 2018.
6. ↑ Seguridad Nacional, División Nacional de Seguridad Cibernética. Catálogo de Seguridad de Sistemas de Control : Recomendaciones para Desarrolladores de Normas  . - 2011. - Abril. Archivado desde el original el 20 de enero de 2017.
7. ↑ Equipo de Respuesta a Emergencias Cibernéticas de Sistemas de Control Industrial. Normas y referencias (enlace no disponible) . Consultado el 5 de octubre de 2018. Archivado desde el original el 23 de agosto de 2018. (indefinido) 
8. ↑ TAS. Spiegel: El gobierno alemán tiene la intención de establecer una agencia de ciberseguridad . Consultado el 5 de octubre de 2018. Archivado desde el original el 6 de octubre de 2018. (indefinido)
9. ↑ Unión Internacional de Telecomunicaciones. Índice de ciberseguridad global (GCI) 2017  (inglés) . Archivado desde el original el 25 de enero de 2019.
10. ↑ Redes de comunicaciones industriales. Seguridad de redes y sistemas. . Consultado el 5 de octubre de 2018. Archivado desde el original el 6 de octubre de 2018. (indefinido)