Seguridad industrial 2018 en cifras
Este año, desde el renombrado INCIBE-CERT, antiguamente CERTSI, se ha continuado trabajando en los servicios de alerta temprana y avisos en materia de ciberseguridad. Específicamente, en la sección de avisos SCI, se han publicado todos los avisos relacionados con los sistemas de control industrial, continuando con este servicio específico iniciado hace ya tres años.
Esta información, además de encontrarse disponible vía web y por RRSS, también puede consultarse a través de un boletín, con el cual los usuarios se pueden informar de todas las vulnerabilidades que afectan a dispositivos, software y otros elementos de fabricantes industriales.
Adicionalmente a esta publicación diaria del sistema de alerta temprana y de avisos para Sistemas de Control Industrial, INCIBE, a través de INCIBE-CERT, ha continuado con la difusión de la ciberseguridad sobre este tipo de sistemas, publicando contenidos específicos en el blog y también a través de diferentes guías y estudios.
El servicio de avisos prestado durante 2018 refleja las principales vulnerabilidades que han afectado al sector industrial.
-Número de avisos publicados por mes durante 2018-
Echando un vistazo al trabajo desarrollado a lo largo de 2018 podemos ver que se han publicado 228 avisos de vulnerabilidades relacionadas con el sector industrial, un crecimiento notable frente a los 199 de 2017, que abarcan desde dispositivos del mundo IIoT a otros más tradicionales del mundo industrial. Por otro lado, también se han publicado avisos relacionados con aplicaciones (de escritorio, web, app para móviles, etc.), elementos de comunicación de este entorno y otros temas.
Aunque se pueda pensar que en verano puede existir una menor actividad a la hora de gestionar vulnerabilidades en productos industriales, y ser por esto una época en la que se publiquen menos avisos debido a las vacaciones estivales, este año, sin embargo, agosto ha sido el mes con mayor movimiento, seguido de cerca por abril. Asimismo, el segundo semestre del año fue el más numeroso en cuanto a avisos de seguridad publicados.
Clasificación por sectores
Respecto a los sectores implicados, se puede observar que se han producido avisos que han afectado a casi todos los sectores estratégicos definidos en la Ley de Protección de Infraestructuras Críticas (Ley 8/2011), tal y como refleja el siguiente gráfico.
-Evolución de avisos por sector. El sector energía, al igual que años anteriores, el más afectado (excluyendo “Otra industria” que no es un sector propiamente)-
La mayor parte de los avisos publicados afectan a dispositivos multipropósito y se utilizan en varios sectores, lo que significa que un único aviso puede afectar a diferentes sectores. Así, los productos (dispositivos y aplicaciones) correspondientes al sector denominado “Otra industria” han sido los más afectados por los avisos prácticamente durante todos los meses del año.
Como ya se explicaba en el resumen de años anteriores, estos datos no quieren decir que el nivel de seguridad en dicho sector, o en otro de los más afectados como es el de la Energía, sea menor, simplemente es consecuencia de ser sectores muy amplios, que incluyen muchos procesos diferentes y en los que hay millones de dispositivos distintos y de muchos fabricantes desplegados. Además, suelen ser los sectores en los que más se invierte en materia de ciberseguridad y, por lo tanto, donde más investigaciones se realizan a la hora de detectar vulnerabilidades.
Naturaleza de los avisos
A primeros de año se modificó la forma de catalogar las vulnerabilidades, pasando de un listado genérico a otro más estándar, adoptando los diferentes tipos de vulnerabilidades descritas en la lista CWE (Common Weakness Enumeration). En dicha lista se reflejan prácticamente todas las vulnerabilidades que pueden afectar a diferentes activos, incluyendo una breve descripción de cada una.
Los avisos del año 2018 han destacado las vulnerabilidades que se muestran en el gráfico siguiente como las más representativas y frecuentes.
-Naturaleza de vulnerabilidades 2018 (top 10). Téngase en cuenta que un aviso puede estar relacionado con varias vulnerabilidades-
Las vulnerabilidades relacionadas con la obtención de información sensible se mantienen en la primera posición como las más numerosas, pero es necesario destacar también los avisos producidos por vulnerabilidades relacionadas con el uso de hash de contraseña generado con esfuerzo computacional insuficiente y las peticiones directas a recursos web. Este incremento advierte de las vulnerabilidades heredadas del mundo IT a nivel web y de la necesidad de cambiar a algoritmos más robustos para almacenar hashes pertenecientes a contraseñas. También se pueden observar los diferentes problemas a nivel de seguridad relacionados con comunicaciones poco seguras y de revelación de información que permitirá a posibles atacantes elaborar ataques más avanzados.
Vistos los tipos de vulnerabilidades con mayor porcentaje, está claro que la información juega un papel importante a la hora de detectar ciertas vulnerabilidades en los sistemas industriales.
Al igual que ya sucedía en años anteriores, muchos de los avisos publicados hacen referencia a vulnerabilidades que son explotables de forma remota. Por lo que, una vez más, es necesario mentalizar a todas las empresas del concepto seguridad en profundidad para proteger su perímetro de red y situar sus dispositivos de las redes de control detrás de cortafuegos y/o en redes aisladas, siempre que sea posible, y sin acceso directo a Internet.
Fabricantes
El listado de fabricantes más relacionados con los avisos cambia ligeramente con respecto del año anterior. Los grandes líderes en productos de Sistemas de Control Industrial siguen siendo los más expuestos y, por tanto, sobre los que más avisos se publican.
En lo que respecta a los dos primeros puestos, Schneider Electric y Siemens, siguen manteniendo el mismo puesto con respecto a 2017. Entran a formar parte del top 5: ABB, Philips y Delta Electronics. También cabe destacar el caso de Rockwell Automation que este año no llega a estar entre los 5 primeros puestos, mientras que el año pasado se encontraba en la tercera posición.
-Número de avisos publicados por fabricante-
Sin embargo, cuando se publican más avisos de un fabricante concreto no es sinónimo de que ese fabricante tenga graves problemas de seguridad o que no se tome la misma como algo importante para su negocio. Este dato puede basarse en los esfuerzos realizados en validar la seguridad de sus equipos, en disponer de muchos diferentes o en la venta de muchos de ellos.
Clasificación por criticidad
La clasificación de los avisos de 2018, según su criticidad, es muy similar a la presentada en el resumen de 2017, siendo gran parte de ellos de una criticidad alta o crítica. Esto nos vuelve a recordar que hay que reforzar la protección de los sistemas de control, pues las vulnerabilidades que se reportan en ellos pueden suponer un gran trastorno para la empresa y graves consecuencias en el proceso productivo.
-Clasificación de avisos-
Evolución en 2019
Para este nuevo año en el que nos encontramos, se prevé un gran incremento de avisos, al igual que en 2018, donde la cifra ya crecía de forma significativa. Más fabricantes empezarán a disponer de recursos web para la consulta de sus vulnerabilidades, como ya ocurre con fabricantes relevantes del mercado. Respecto a los sectores, y dado que el sector Energía es uno de los sectores donde más dinero se invierte en materia de ciberseguridad, seguirán predominando vulnerabilidades relacionadas con productos de dicho sector. Por otro lado, el sector Salud empezará cada vez más a impulsarse, dado que estas vulnerabilidades podrían afectar directamente a la salud de las personas, pudiendo generar graves problemas, como ya se ha visto en pruebas de concepto mostradas por analistas de seguridad en año anteriores.
Para este 2019, la experiencia e intuición dice que todo debería seguir en una tónica similar. La publicación de avisos seguirá creciendo, la criticidad irá repartiéndose entre todos los valores, y los grandes vendedores de productos seguirán siendo los que más avisos publiquen.
