Desde el 2010, cuando Stuxnet fue descubierto, los sistemas industriales se volvieron el foco de muchos especialistas de seguridad con el fin de evaluar su seguridad y su potencial vulnerabilidad a ataques externos. A su vez se comenzaron a detectar posteriores ataques a estas infraestructuras, como fueron las amenazas Flame y Duqu que, si bien en teoría no fueron ataques dirigidos como lo fue Stuxnet, afectaron a sistemas industriales. Tres años después de la llegada del malware a las industrias, ¿mejoró la seguridad industrial de las infraestructuras críticas?
Si bien nos gustaría pensar que así fue, lamentablemente seguimos encontrando ejemplos de que a esta industria le falta mejorar en lo que a seguridad informática se refiere. La semana pasada tuvimos la suerte de participar de la capacitación en Ciberseguridad Industrial organizada por ISSA Argentina, a cargo de Samuel Linares e Ignacio Paredes del Centro de Ciberseguridad Industrial de España. Durante las tres jornadas se vio un claro ejemplo de esto: los sistemas operativos utilizados por estos sistemas críticos siguen siendo obsoletos. Ya sean los PLC (Programmable Logic Controllers), las HMI (Human Machine Interfaces) o los sistemas SCADA (Supervisory Control And Data Acquisition), muchos de ellos aún poseen sistemas operativos como Windows XP, Windows 2000, Windows 98 e incluso, en algunos entornos todavía se utilizan Windows 3.11.
Esto denota que no existe una clara política de actualización de los sistemas operativos que controlan estas infraestructuras. Pero sería injusto culpar solo a las industrias de esto ya que las empresas que desarrollan el hardware industrial (PLC, HMI, SCADA, RTU, etc.) poseen una política muy estricta sobre el cambio o actualización de los sistemas operativos que controlan su hardware. Aunque sea difícil de creer, la postura de los creadores de estas soluciones es la prohibición del cambio o actualización de los sistemas operativos que las controlan ya que caso contrario no pueden garantizar su correcto funcionamiento, y como consecuencia, no brindarán soporte sobre las mismas si son "alteradas". Estos casos son más comunes de lo que uno piensa en estos entornos y todavía estas situaciones son más frecuentes de lo que uno puede imaginar.
Algo que también llama sumamente la atención es que los desarrolladores de los dispositivos PLC suelen exigir al comprador, es decir la industria, que dicho dispositivo tenga acceso directo a Internet para poder realizar tareas de mantenimiento al mismo. Esto presenta un importante riesgo de seguridad (si no es gestionado correctamente) ya que dicho acceso se encuentra disponible 24x7 y podría permitir el ingreso de personal no autorizado. La política del desarrollador podría contemplar la posibilidad de que el acceso se otorgue cuando se requiera realizar soporte o que la comunicación se realice por medio de una comunicación segura como una VPN.
Adicionalmente, hoy en día los firewalls utilizados por las empresas son aquellos basados en reglas, es decir, que le indican a dos equipos cuándo hablar o no por un canal determinado, pero no analizan el tráfico que por allí transcurre por tratarse de protocolos "no conocidos" por este. Los protocolos industriales (DNP 3.0, OPC, OPC UA, ICCP, Modbus, etc) son muy sencillos de interpretar y no es para nada complejo agregar esta capacidad a los firewalls actuales. Si bien ya existen algunos desarrolladores de firewalls industriales que están comenzando a implementar dispositivos con estas capacidades, el cambio de este hardware en las industrias es muy lento ya que poseen fechas de amortización muy alta, lo que implica que podrían recién llegar a cambiarse de hoy a 20 años o más.
Por último, pero no menos importante, percibimos un problema social dentro de las industrias. En primer lugar, el sector corporativo y el industrial de la misma empresa suelen manejarse como dos entidades distintas, generando grandes problemas de comunicación y como consecuencia problemas de seguridad considerable. En segundo lugar, algunos miembros del sector industrial en muchos casos suele guiarse por una política cuestionable desde el punto de vista de la seguridad, el tradicional "si funciona, no lo toques". Esto presenta varios problemas de seguridad ya que la falta de actualización y revisión de estos sistemas podría generar una falla de los mismos o incluso un acceso por un usuario malicioso.
A modo de contexto, las industrias que utilizan estos sistemas pueden ser aquellas que potabilizan el agua para una ciudad, generan y distribuyen la electricidad, manejan las compuertas de un dique o se encargan de la distribución del gas natural, entre otras. Esto nos demuestra lo crítico de estos sistemas y los riesgos que pueden ocurrir si alguno de ellos falla o es vulnerado.
Si bien se realizaron algunos cambios en algunas industrias en pos de una mejor seguridad industrial, aún falta mucho trabajo por realizar dentro de este sector, y la concientización sobre esta temática es un punto clave. Seguramente en los próximos años la seguridad industrial seguirá ganando terreno como un factor clave en términos de seguridad de la información.
Joaquín Rodríguez Varela
Coordinador del Laboratorio de Malware