Seguridad industrial 2019 en cifras

Fecha de publicación
23/01/2020
Autor
INCIBE (INCIBE)
Cifras 2019

Desde INCIBE-CERT se ha continuado trabajando a lo largo de todo el año 2019 en los servicios de alerta temprana y avisos en materia de ciberseguridad. Específicamente, en la sección de avisos SCI se han publicado diferentes avisos relacionados con los Sistemas de Control Industrial y el mundo del Internet de las Cosas en entornos industriales (IIoT). Este servicio específico se creó hace cuatro años con el objetivo de proporcionar a todas las empresas del sector industrial un medio donde consultar información sobre las vulnerabilidades que pueden tener sus dispositivos.

Esta información, además de encontrarse disponible vía web y por RSS, puede consultarse a través de un boletín, con el cual los usuarios se pueden informar de todas las vulnerabilidades que afectan a dispositivos, software y otros elementos de fabricantes industriales.

Además de la descripción de las diferentes vulnerabilidades, dentro de cada aviso se posee un apartado donde se concreta la solución que aporta el fabricante del dispositivo. Puede darse el caso de que no exista una solución concreta por ello, y como medida de mitigación, se aporta información siguiendo documentos de buenas prácticas tanto en la configuración de dispositivos, segmentación de redes, etc.

Adicionalmente a esta publicación diaria del sistema de alerta temprana y de avisos para Sistemas de Control Industrial, INCIBE, a través de INCIBE-CERT, ha continuado con la difusión de la ciberseguridad sobre este tipo de sistemas, publicando contenidos específicos en el blog y también a través de diferentes guías y estudios.

A lo largo de 2019, dentro del servicio de avisos prestado, se ha informado sobre las diferentes vulnerabilidades que han afectado al sector industrial.

Número de avisos publicados por mes durante 2019

-Número de avisos publicados por mes durante 2019-

Echando un vistazo al trabajo desarrollado a lo largo de 2019 podemos ver que se han publicado 207 avisos relacionados con el sector industrial, una mínima reducción frente a los 228 de 2018, que abarcan desde dispositivos del mundo IoT a otros más tradicionales del mundo industrial. Es importante comentar que en algunas ocasiones un mismo aviso posee varias vulnerabilidades, pero en esta gráfica solo se contabilizan los avisos. Esta puede ser una de las razones por las que la cantidad de avisos publicados en el año 2019 se ve ligeramente reducido frente a los publicados en 2018. Por otro lado, también se han publicado avisos relacionados con aplicaciones (de escritorio, web, aplicaciones para móviles, etc.), elementos de comunicación de este entorno y otros temas.

Como se puede observar en la gráfica, existe un flujo continuo a la hora de publicar vulnerabilidades. Este hecho puede darse por los continuos reportes que realizan los investigadores en materia de ciberseguridad industrial y al aumento de la sensibilización en este ámbito por parte de las empresas industriales.

Clasificación por sectores

Respecto a los sectores implicados, se puede observar que se han producido avisos que han afectado a casi todos los sectores estratégicos definidos en la Ley de Protección de Infraestructuras Críticas (Ley 8/2011), tal y como refleja el siguiente gráfico.

Evolución de avisos por sector

-Evolución de avisos por sector. El sector energía, al igual que años anteriores, el más afectado (excluyendo “otra industria”, que no es un sector propiamente)-

Como sucede en años anteriores, la mayor parte de los avisos se relacionan con dispositivos multipropósito que son utilizados en diferentes sectores. Esto significa que un único aviso, además de contener diferentes vulnerabilidades, puede afectar a diferentes sectores. Así, los productos (dispositivos y aplicaciones) correspondientes al sector denominado “otra industria” han sido los más afectados por los avisos prácticamente durante todos los meses del año.

Al igual que en años anteriores, es importante comentar que los sectores que aglutinan más avisos no significa que sean los más inseguros. Este hecho se debe, entre otros factores, a la cantidad de dispositivos, fabricantes y procesos que se utilizan de forma más cotidiana en cada sector. Por ejemplo, el sector energía es el sector más afectado por los avisos, ya que, prácticamente, todos los procesos implicados en este sector son utilizados de forma constante, y en muchas ocasiones, otros sectores se apoyan en el de energía para lograr dar servicio.

Naturaleza de los avisos

La catalogación de las vulnerabilidades analizadas en cada aviso se ciñe a los diferentes tipos de vulnerabilidades descritas en la lista CWE (Common Weakness Enumeration). En dicha lista se reflejan prácticamente todas las vulnerabilidades que pueden afectar a diferentes activos, incluyendo una breve descripción de cada una.

Las vulnerabilidades más destacadas y que afectan a dispositivos relacionados con el mundo industrial en 2019 son:

Naturaleza de vulnerabilidades 2019 (top 10)

-Naturaleza de vulnerabilidades 2019 (top 10). Téngase en cuenta que un aviso puede estar relacionado con varias vulnerabilidades-

Entre los tipos de vulnerabilidades más reportadas se encuentran el desbordamiento de búfer, la gestión de parámetros de forma incorrecta, el control de accesos incorrecto o el Cross-Site Scripting (XSS). Estas vulnerabilidades advierten de la necesidad que se tiene en el mercado por seguir las guías de buenas prácticas a la hora de desarrollar software industrial para evitar accesos maliciosos al búfer o una incorrecta validación de los parámetros de entrada. Además, gran parte de estas vulnerabilidades son heredadas del mundo TI, por lo que, en algunas ocasiones, es posible revisar ejemplos de desarrollo para evitar caer en los mismos errores.

Como ya ha sucedido en años anteriores, parece que la información sensible y los accesos remotos vuelven a estar presentes en este top 10. Además de la disponibilidad, como es lógico en el mundo industrial, la información está adquiriendo un peso importante por el creciente uso de algunos dispositivos IIoT que usan tecnología cloud.

Otro de los puntos a tener en cuenta tras revisar la gráfica sobre la naturaleza de las vulnerabilidades en 2019 es la explotación de vulnerabilidades relacionadas con los servicios web. Actualmente, gran parte de los dispositivos a nivel industrial que se encuentran desplegados en redes industriales ya poseen un servidor web. Mediante el uso de una interfaz web más amigable para el operador, estos servidores web permiten ejecutar acciones que pueden ser importantes para el buen desarrollo del proceso en el que el dispositivo esté involucrado.

Fabricantes

El listado de fabricantes más relacionados con los avisos cambia ligeramente con respecto del año anterior. Los grandes líderes en productos de Sistemas de Control Industrial siguen siendo los más expuestos y, por tanto, sobre los que más avisos se publican.

Número de avisos publicados por fabricante

-Número de avisos publicados por fabricante-

En lo que respecta a los primeros puestos, en segundo lugar, se ha colado Advantech con 13 avisos en comparación con los 5 informados en 2018. Por otra parte, los demás fabricantes que siguen publicando más avisos no han cambiado con respecto a los años anteriores, manteniéndose Siemens y Schneider Electric en el top 3.

Una gran cantidad de avisos por fabricante no significa que dicho fabricante sea el más vulnerable, sino que puede que estos posean un equipo de investigadores contratados por la propia empresa para realizar investigaciones o, como son los más extendidos, muchos investigadores tengan acceso a un dispositivo de las múltiples familias que tienen.

Clasificación por criticidad

La clasificación de los avisos de 2019, según su criticidad, es muy similar a la presentada en el resumen de 2018, siendo gran parte de ellos de una criticidad alta o crítica. Esto nos vuelve a recordar que hay que reforzar la protección de los sistemas de control, pues las vulnerabilidades que se reportan en ellos pueden suponer un gran trastorno para la empresa y graves consecuencias en el proceso productivo.

Clasificación de avisos

-Clasificación de avisos-

Conclusión

Este nuevo año 2020 nos augura entre otros retos los siguientes:

  • La gestión de dispositivos IIoT con plataformas que utilizan en su gran mayoría tecnología cloud.
  • Una mejora de las comunicaciones industriales, ya sea mediante nuevas especificaciones o gracias al uso de dispositivos añadidos a la red, y que se empiece a intercambiar información bajo canales cifrados de forma generalizada.
  • Las diferentes amenazas emergentes cada vez más complejas de detectar y analizar. La organización de equipos de respuesta en entornos industriales o de analistas que den soporte a estos incidentes empezará a tomar gran importancia.

Con respecto a los avisos, la intuición indica que todo debería seguir el mismo camino con un crecimiento de las vulnerabilidades detectadas, criticidades que no variarán mucho y grandes fabricantes industriales a los que se asociarán la mayor cantidad de avisos publicados.

Ir arriba