Segmentados Administración sistemas y redes TI

El IoT (Internet of Things), también conocido como Internet de las Cosas, está cada vez más presente entre nosotros. Para que estos dispositivos sean más seguros, se deben tener en cuenta una serie de aspectos tanto en el funcionamiento como en las comunicaciones que realizan.

Desde que existe Internet, siempre se le ha dado importancia a los antivirus para proteger la seguridad de los datos, ya que son una herramienta fundamental en el ámbito informático. Pero centrándonos en el entorno industrial, ¿cómo nos ayudan los antivirus a protegernos de posibles amenazas de malware?

Al igual que en años anteriores, desde INCIBE-CERT se ha continuado trabajando en los servicios de alerta temprana y avisos en materia de ciberseguridad. Específicamente, en la sección de avisos SCI se han publicado todos los avisos relacionados con los sistemas de control industrial, continuando con este servicio específico iniciado hace ya varios años.

El sector de la medicina abarca muchos aspectos, desde las farmacéuticas hasta los hospitales, siendo en estos últimos donde existe un gran despliegue de dispositivos críticos que podrían afectar directamente a la salud de las personas. Por ello, este artículo se centrará en los dispositivos desplegados en un entorno hospitalario.

La creación de equipos multidisciplinarios que coexistan dentro de un mismo centro de respuesta a incidentes no supone una novedad. En cambio, incorporar conocimientos frente a respuesta a incidentes en entornos industriales supone un gran reto para muchas empresas que ya proporcionan estos servicios orientados a TI. En este artículo se mostrarán algunas de las capacidades que necesitarán los equipos dentro de un centro de respuesta a incidentes para poder solventar algunos problemas que surjan en las redes industriales, y los retos que supone la respuesta a incidentes en entornos industriales.

Los diferentes actores tanto del mundo industrial como del corporativo son conscientes de las notables diferencias entre TI y TO. Durante los últimos años se han ido acercando posturas, lo que ha hecho que las diferencias entre ellos sean cada vez menores, pero todavía algunas de ellas están lejos de solucionarse completamente para conseguir una convergencia exitosa.

Televisiones, frigoríficos, sistemas de iluminación, calefacciones, etc., conectados las 24 horas del día a una red que podría estar accesible desde Internet. Hace unos años parecía una cosa de locos el simple hecho de pensarlo, sin embargo, hoy en día, a nadie le sorprende que algunos de estos dispositivos puedan ser accesibles desde Internet o gestionados gracias a aplicaciones móviles. Estos accesos remotos suponen un peligro en materia de ciberseguridad para los sistemas en los que se encuentran los dispositivos accesibles.

Alrededor de un sistema de control trabajan muchas personas con roles y responsabilidades diferentes, como el operador, técnicos, ingenieros, vigilantes, etc. Al incluir la seguridad en este entorno, muchas empresas dejaron el mando sobre el personal de seguridad corporativa, pero también resulta válido crear un perfil de responsable de ciberseguridad industrial.

Los amantes del motor tal vez recuerden el caso de espionaje de McLaren a Ferrari en un ya lejano 2007. En esa ocasión, el traspaso de información se hizo directamente a través de papel. Pero ya han pasado muchos años desde entonces y hoy en día, donde el uso del papel es residual, seguramente la información robada se compartiría a través de diferentes ficheros informáticos con diseños, fórmulas o datos estratégicos, por lo que se trataría de un ciberincidente por ciberespionaje.

Los Sistemas de Control Industrial (SCI), presentan numerosos riesgos de sufrir ataques cibernéticos que pueden afectar severamente al proceso industrial al que dan servicio, esto hace que la fase de contención sea fundamental en la gestión de ciberincidentes. Para ello, es de vital importancia desde un punto de vista de ciberseguridad hacer una correcta distribución de zonas y conductos.

Disponer de una arquitectura de red segura es clave dentro de una estrategia de defensa en profundidad. Esta defensa en profundidad tiene como objetivo cubrir las carencias del eslabón más débil (la fortaleza de una cadena es tanta como su componente menos robusto) envolviendo el sistema con una solución de seguridad encima de otra cubriendo posibles insuficiencias. En los Sistemas de Automatización y Control Industrial (IACS) el acceso desde el exterior es muy importante, por lo que acotar y limitar la exposición hacia el exterior puede reducir considerablemente las probabilidades de una infección.

La recolección y la gestión de logs en seguridad industrial siempre se han visto como acciones realizadas por sistemas dependientes del SCADA o se han relegado a las herramientas provistas por los fabricantes para ello. Además, estos logs, tradicionalmente, han estado centrados en aspectos operacionales de los sistemas, algo que por suerte está cambiando en los nuevos modelos de sistemas y dispositivos.