Seguridad industrial 2016 en cifras
Durante 2016 en CERTSI se ha continuado trabajando en los servicios de alerta temprana y avisos en materia de ciberseguridad. Específicamente en la sección de avisos SCI se han publicado todos los avisos relacionados con los sistemas de control industrial, continuando con este servicio específico iniciado en 2015.
A mitad de año se publicó el portal de CERTSI y se dio más visibilidad al contenido del sector industrial y, además, se ha incorporado un boletín mediante el cual se puede estar informado de todas las vulnerabilidades que afectan a dispositivos, software y otros elementos de fabricantes industriales.
Adicionalmente de esta publicación diaria del sistema de alerta temprana y los avisos para sistemas de control industrial, INCIBE, a través del CERTSI, ha continuado con la difusión de la seguridad sobre los sistemas de control industrial publicando contenidos específicos en el blog.
El servicio de avisos prestado en 2016 refleja las principales vulnerabilidades que han afectado al sector industrial. Echando un vistazo al trabajo desarrollado a lo largo de 2016 podemos ver los siguientes resultados:
-Número de avisos publicados por mes-
Se han publicado 146 avisos de vulnerabilidad relacionados con el sector industrial, que abarcan tanto dispositivos, como aplicaciones o elementos de comunicación de este entorno.
El verano no suele ser una época en la que se publiquen demasiados avisos, las vacaciones estivales hace que esos meses sean habitualmente de menor actividad, sin embargo este año junio y julio han sido dos meses con bastante movimiento. Agosto se tomó un respiro, pero el último tercio del año cogió de nuevo impulso para terminar el año con diciembre como el mes de mayor número de avisos publicados.
Clasificación por sectores
Respecto a los sectores implicados, se puede observar que se han producido avisos que han afectado a casi todos los sectores estratégicos definidos en la ley de protección de infraestructuras críticas (ley 8/2011), tal y como refleja el siguiente gráfico:
-Evolución de avisos por sector. El sector energía, al igual que en 2015, el más afectado-
Gran parte de los avisos publicados afectan a dispositivos que se utilizan en varios sectores por ser de propósito más general, lo que significa que un único aviso puede afectar a diferentes sectores. Así, los productos (dispositivos y aplicaciones) correspondientes al sector de “Otra industria” han sido los más afectados por los avisos prácticamente todos los meses del año.
Como ya se explicaba en el resumen del año 2015, estos datos no quieren decir que el nivel de seguridad en dicho sector, o en otro de los más afectados como es Energía, sea menor, simplemente es consecuencia de ser sectores muy amplios, que incluyen muchos procesos diferentes y en los que hay millones de dispositivos desplegados.
Naturaleza de los avisos
Conservando el listado de tipos de vulnerabilidad presentado el año pasado y recopilando los datos de la misma manera (de manera que un aviso puede incluir información de más de una vulnerabilidad), en la imagen siguiente se ve la evolución entre los datos del año 2015 (izquierda) y los de 2016 (derecha).
-Naturaleza de vulnerabilidades. Téngase en cuenta que un aviso puede estar relacionado con varias vulnerabilidades-
Las vulnerabilidades relacionadas con la obtención de información se mantienen como las más numerosas, pero es necesario destacar el incremento de los avisos producidos por vulnerabilidades relacionadas con el escalado de privilegios, que de una posición discreta en el año 2015 pasa al segundo puesto en este resumen de 2016.
También se incrementa notablemente el número de avisos relacionados con la evasión de autenticación, que dobla su porcentaje de incidencia respecto al año anterior.
Vistos los tipos de vulnerabilidades que han sufrido un incremento más notable, parece hacerse notar que los investigadores pusieron en el año 2016 el foco en la autenticación de los dispositivos y aplicaciones que componen los sistemas de control, tratando de hacer más seguro el principal punto de entrada.
Los desbordamientos de búfer mantienen un alto porcentaje de incidencia, siendo una vulnerabilidad recurrente; el resto de tipos más o menos se mantienen en los mismos valores del año 2015.
Al igual que ya sucedía en el año 2015, muchos de los avisos hacen referencia a vulnerabilidades que son explotables de forma remota. Por lo que, una vez más, es necesario mentalizar a todas las empresas para que protejan su perímetro de red y sitúen sus dispositivos de las redes de control detrás de cortafuegos y/o en redes aisladas siempre que sea posible.
Fabricantes
El listado de fabricantes más relacionados con los avisos ha cambiado poco respecto al año anterior. Los grandes líderes en productos de sistemas de control industrial siguen siendo los más expuestos y por tanto sobre los que más avisos aparecen.
Si bien los cuatro primeros nombres son los mismos que hace un año, cabe destacar el incremento del número de avisos protagonizado por MOXA. Por detrás, también es interesante destacar los 6 avisos que hacen referencia a ABB, fabricante que en 2015 no aparecía en el listado, lo que muestra los esfuerzos realizados en seguridad por el sector.
-Número de avisos publicados por fabricante-
Clasificación por criticidad
La clasificación por criticidad de 2016 es similar a la presentada en el resumen de 2015, siendo gran parte de ellos de una criticidad alta o crítica. Esto nos recuerda que hay que reforzar la protección de los sistemas de control, pues las vulnerabilidades que se reportan en ellos pueden suponer un gran trastorno para la empresa y graves consecuencias en el proceso productivo.
-Clasificación de avisos-
Evolución en 2017
En el resumen de 2015 nos aventuramos a hacer algunas conjeturas para el 2016, y no estuvimos nada desencaminados. Entre otras cosas indicamos que el número de avisos debería seguir incrementándose, como así ha sido; que en los fabricantes poco iba a cambiar y los grandes fabricantes iban a seguir en lo alto de la lista. Respecto a los sectores, comentamos que todos tendrían que mejorar para igualar a los esfuerzos planteados por el sector Energía y conseguir una gráfica plana, bueno, algo se ha aplanado pero aún hay sectores que necesitan mejorar más.
Para este 2017 ya comenzado, la experiencia dice que todo debe seguir en la misma línea. La publicación de avisos posiblemente no crezca mucho en número, pero el reparto por criticidades debe irse igualando y reduciendo el nivel general de criticidad, puesto que los esfuerzos realizados en la mejora de la seguridad son mayores cada año.
A nivel de fabricantes se seguirá con la misma tónica, aunque esperemos que otros grandes fabricantes como ABB y GE hagan un mayor esfuerzo y publiquen más información de sus problemas y soluciones.
