Kill Switch en sistemas de automatización y control

Introducción

Como se ha comentado en artículos anteriores, para poder alcanzar un buen nivel de ciberseguridad en las redes industriales, es de vital importancia hacer una correcta distribución de zonas (agrupaciones de activos físicos o lógicos que comparten requisitos comunes de seguridad y que tienen una frontera claramente definida) y conductos (conexiones entre zonas), por lo que un diseño e implementación adecuados de ambos aspectos nos va a permitir incluir medidas de seguridad. De esta manera, se podrán evitar la propagación de ciberataques como infecciones de código malicioso o intrusiones no autorizadas a las redes de la organización.

Escenarios de infecciones o intrusiones no habituales

Es importante subrayar que el origen o puerta de entrada de un ciberataque puede localizarse en cualquiera de las zonas definidas dentro de una organización. Muchas veces se obvia la posibilidad de que los sistemas de automatización (p. ej. los sistemas de control antincendios o aire acondicionado) puedan ser la puerta de entrada para atacar, posteriormente, el entorno corporativo, y provocar un incidente en los sistemas de automatización y control de los niveles superiores de la pirámide de automatización. Otros casos potencialmente vulnerables son los sistemas safety de una organización o incluso los sensores de proceso.

Una suposición inherente es que los valores de los sensores del proceso sean correctos, aunque no tengan ningún tipo de autenticación ni capacidades de ciberseguridad. Actualmente, en el entorno industrial, se asume que los datos de entrada de los sensores de proceso son correctos. Si fueran incorrectos debido a problemas involuntarios, tales como desviaciones en las medidas, errores de calibración, etc. o por sensores que hayan sido comprometidos por un ciberataque, entonces la resiliencia y la seguridad, tanto física (“Safety”) como lógica (“Security”), se han podido ver comprometidas. Esto incluye sensores que no alcanzan sus puntos de ajuste o que alcanzan inadvertidamente los mismos, provocando el apagado de los sistemas o la modificación de la salida del sensor, comprometiendo la ejecución correcta del proceso. También se debe tener en cuenta que, debido a la falta de capacidades forenses en este nivel, sería difícil determinar si una anomalía fue causada por un mal funcionamiento involuntario o por un ciberataque dirigido.

Revisando el ciberincidente de Bellingham, que provocó la explosión de una tubería de canalización de gasolina, ocurrido en junio de 1999 (el cual es un buen ejemplo a estudiar referente al asunto que estamos tratando), podemos obtener una serie de importantes lecciones aprendidas. Primero, el sistema SCADA era vulnerable a una intrusión cibernética, lo que le hizo inoperable, provocando una configuración de los sensores (según diseño) a "valores promedio" u otras configuraciones fijas arbitrarias. Esto creó la pérdida de las funciones vitales de detección para los sistemas de seguridad física. Por último, al continuar la operación sin una visión, control o anulación de efectos físicos efectivos, y actuando sin las correctas medidas de safety, la ruptura de la tubería fue casi inevitable.

Como hemos podido ver, es fundamental realizar un diseño, implementación y gestión adecuado de zonas y conductos, así como incluir medidas de seguridad entre ellas, para evitar que un ciberincidente en cualquiera de las zonas se propague fácilmente al resto, impactando de manera muy severa en el entorno SCI de la organización.

Segmentación de red basada en una distribución de zonas

Unos de los métodos para combatir ciberincidentes similares al comentado anteriormente es mediante el uso de zonas y conductos. La idea básica es dividir los sistemas de control industrial y los sistemas conectados a ellos en grupos funcionales más pequeños (zonas) para poder separar unos de otros y tener capacidades de defensa en profundidad. Para permitir la comunicación entre zonas contiguas se crean conductos que, esencialmente, son puertas que controlan las interacciones entrantes y salientes de la zona. Esto tiene la ventaja de poder controlar los caminos por los que se puede propagar un ciberincidente de forma que se pueda aislar lógicamente diferentes zonas o sistemas, permitiendo de esta manera mitigar el ataque o continuar funcionando parcialmente, al menos, hasta poder realizar un apagado ordenado y seguro.

Aunque a menudo hay subzonas dentro de las zonas más grandes, los cinco niveles principales incluyen:

• Capa 1: instrumentación de campo.
• Capa 2: control del proceso.
• Capa 3: gestión de las operaciones de fabricación.
• Capa 4: gestión y planificación de los procesos y operaciones de la planta.
• Capa 5: gestión y organización corporativa.

Los dispositivos y sistemas críticos para los sistemas de seguridad física generalmente se encuentran en otra zona separada.

Opciones de contención y bloqueo

El control de las comunicaciones entre zonas se realiza habitualmente usando cortafuegos o diodos de datos. Dependiendo de las redes y sistemas incluidos en las zonas a separar, se usarán unos tipos de cortafuegos u otros. Por ejemplo, la red corporativa o la DMZ de planta son redes TI típicas dónde lo más adecuado es el uso de cortafuegos de propósito general (filtrado de paquetes con algo de inteligencia, pero sin capacidades a nivel aplicación). Sin embargo, entre la red donde reside el centro de control y las instalaciones de campo, deben usarse cortafuegos especializados de nueva generación con capacidades de inspección profunda de paquetes, conocimiento de la capa de aplicación, detección de intrusos integrado, control de código malicioso, etc.

El departamento de seguridad de TI no es el recomendado para gestionar y administrar los cortafuegos especializados de las redes de control pues habitualmente no entienden el entorno industrial al que dan servicio (un ingeniero de control es el candidato más adecuado para definir las comunicaciones entre zonas SCI), pero sí deberían dar servicio al personal o departamento de TO encargado, como expertos en seguridad que son. Deberán definirse las transacciones de datos permitidas entre las zonas contiguas (lecturas, escrituras, accesos de programación o configuración, accesos de control remoto, etc.) a través del cortafuegos, así como quién está autorizado a usarlas, mediante, preferiblemente, el uso de listas blancas, para así delimitar las comunicaciones estrictamente permitidas. Para aquellas transacciones en las que solamente se permita lectura de datos, se deberá usar un diodo de datos (flujo de datos unidireccionales) o un cortafuegos con inspección profunda de paquetes que solo permita lecturas. El uso de diodos de datos es menos común, pues son menos versátiles ya que solamente permiten la transferencia de flujos de datos en una única dirección, sin excepciones; esto los convierte en un buen candidato para implementar comunicaciones que deban ser estrictamente en un único sentido, siendo muy recomendable su uso para entornos muy críticos en los que es necesario dotar a las infraestructuras de un nivel de seguridad prácticamente infranqueable.

Restricciones operativas a tener en cuenta

A la hora de segmentar la red basándose en un diseño de zonas y conductos deben tenerse muy en cuenta las restricciones operativas de negocio, es decir, sobre aquellas funciones, servicios u operaciones identificadas como críticas deberán contemplarse medidas y controles que aseguren su continuidad ante ciberincidentes ocurridos en la infraestructura tecnológica de la organización. Estas funciones esenciales, estarán muy presentes en la implantación de dispositivos de seguridad (cortafuegos y diodos de datos) así como en la configuración de estos.

Si bien estas restricciones operativas críticas deben identificarse a partir del análisis de riesgos específico de la organización, se tendrán en cuenta las siguientes:

• Las transacciones entre los planificadores de operaciones (p.ej. ERP) y el entorno productivo.
• Las transacciones entre los sistemas HMI y SCADA y los dispositivos del nivel de control de procesos (PLC, RTU, sensores, etc.).
• Las transacciones entre la zona de gestión y planificación de procesos y los sistemas de seguridad física.

Conclusión

La fase de contención en la gestión de ciberincidentes es especialmente importante en entornos de automatización y control. Por ello, es muy importante hacer una correcta distribución de zonas, así como la definición de las transacciones de comunicación entre ellas (conductos). Sin duda, el uso de tecnologías como cortafuegos de nueva generación y diodos de datos son fundamentales, pues permiten incluir medidas de seguridad para evitar la propagación de ciberataques entre zonas.

No se deben olvidar los sistemas de protección o los sensores de control de proceso de la organización, ya que también contienen vulnerabilidades y constituyen una puerta de entrada a incidentes que posteriormente se pueden propagar a niveles superiores.