La seguridad en sistemas SCADA (Supervisory Control and Data Acquisition) es un tema latente ahora mismo en muchas empresas. No son frecuentes las vulnerabilidades que se encuentran en el software orientado a control industrial, pero cuando aparecen, suelen ser relevantes y de alto impacto.
Los sistemas SCADA dan servicio a entornos donde es preciso el control industrial automatizado, como pej refinerías, plantas de depuración, estaciones hidráulicas, centrales de generación de energía, infraestructuras de difusión, etc.
Si investigamos un poco de un SCADA y su seguridad en seguida veremos que no es facil aplicar las medidas tradiciones de seguridad TIC o al menos no directamente.
Hoy en día, con tal de conseguir una reducción de costes en la producción y un incremento en los beneficios, las empresas que utilizan sistemas de telecontrol han comenzado a introducir la tecnología TCP/IP, a estandarizar los protocolos de control, a adoptar sistemas operativos estándar como Windows y Linux e interconectar estas redes con la red empresarial o corporativa así como con Internet. Antes todo esto no era posible, debido a su gran aislamiento ya que los protocolos empleados eran muy distintos al protocolo TCP/IP.
Ahora por tanto, nos encontramos con un entorno híbrido con amenazas como el malware y que los hackers se encuentran con la posibilidad de actuar de manera remota, y con herramientas y técnicas tradicionales de hoy en día. La seguridad por tanto es fundalmental en este momento, las empresas tendrán que contar con firewalls, IDS, antivirus, UTM, etc.
Es importante notar la necesidad de garantizar respuestas a tiempo y en el instante preciso. Estos sistemas que estamos telecontrolando son esenciales y muy críticos. Por ejemplo, el uso de un firewall, cuyo rendimiento varía mucho según la carga de trabajo, introduciría un jitter en la red que podría hacer fracasar al sistema de control ante un ataque. Igualmente, si introdujéramos un antivirus, un escaneo intensivo podría sobrecargar la CPU introduciendo en consecuencia un retardo en las operaciones de control. Como ya hemos comentado antes, estos sistemas son muy críticos y estos pequeños retardos repercutirían al servicio de la compañía notablemente.
Otra condición importante en los SCADA es que deben asegurar un servicio 24×7 lo cual puede resultar muy costoso pero necesario.
Por otro lado, cualquier herramienta de seguridad que se quisiera utilizar para hacer una auditoría, requeriría un testeo previo en un entorno réplica del de producción para garantizar que no se vayan a producir consecuencias inesperadas.
Por otro lado, el tema de las políticas de contraseñas aqui no sería muy adecuado. Ya que ante un incidente la persona de guardia deberá resolverlo lo antes posible y de la manera más eficiente. Por tanto, cabe la posibilidad de que se le olvide y al final el remedio para evitar ataques resultará a la compañía mucho más costoso.
A continuación intentaré resumir como la tecnología avanza y se dispone actualmente de varios dispositivos y técnicas que nos pueden ayudar a la hora de intentar securizar a nivel lógico una red SCADA como por ejemplo:
* Firewalls: Protegen a los distintos dispositivos de la red a través de la monitorización y control de paquetes, usando políticas de filtrado. Ya existen extensiones que les permiten inspeccionar paquetes de protocolos de control como Modbus.
* IED: Sensor/actuador con inteligencia para adquirir datos, comunicarse con otros dispositivos y realizar control local. Estos sistemas representan la evolución de los sensores/actuadores tradicionales, incorporando arquitectura microprocesador que les permite incluir funciones criptográficas en las versiones más modernas.
* IDS: IDS (Intrusion-Detection Systems) monitorizan el tráfico de red y envían alertas sobre actividades sospechosas siendo capaces de interpretar los distintos protocolos de comunicaciones existentes en la red SCADA.
* DMZ:para separar la red corporativa de la red SCADA. Son numerosas las guías de buenas prácticas que recomiendan la implantación de zonas desmilitarizadas en las que incluir aquellos servidores de la red de control a los que se debe garantizar acceso desde la red corporativa.
* Servidor de autenticación: Los usuarios y servidores de red se autentican utilizando criptografía. Se empiezan a implantar para garantizar el mantenimiento remoto de los sistemas SCADA.
* UTM: UTM (Unified Threat Management) Firewall de red con una serie de mejoras añadidas, incluyendo protección contra amenazas, virus, spam, etc.
El abanico de soluciones de seguridad aptas para entornos SCADA se incrementa día a día. En estos sistemas la operatividad y eficacia es fuandamental y resulta costoso y arduo implantar medidas de seguridad. Si ya funciona, mejor no tocarlo, no? O eso nos podría decir el fabricante o proveedor de la infraestructura. No obstante, se ha de intentar concienciar a todos los responsables de las empresas de servicios públicos, donde los sistemas SCADA se encargan de dar funcionamiento a una larga lista de aplicaciones críticas, de la importancia que tiene aplicar segurdidad, ya que está en juego nuestra calidad de vida.
Finalmente, para aquellos que no sepan de que estoy hablando pongo un enlace a un simulador SCADA para que jugueis un poco con él XDDD.
Es un applet de JAVA en donde los distintos elementos de control local se comunican a través de enlaces de radio y controlan el nivel de agua almacenada en dos tanques.
Por tanto podemos decir que para proporcionar seguridad en un sistema SCADA hemos de fijarnos en el HW y SW, los protocolos de comunicaciones empleados, los mecanismos de seguridad que implementan, los puntos de entrada al sistema, las particularidades a nivel de políticas y procedimientos, los posibles impactos que la explotación de una vulnerabilidad puede tener, etc.
Resumiendo:
* Los SCADA engloban a otras tecnologías de control (PLC, DCS, IED, etc.) y aportan un nivel de control de supervisión que los hace aptos en procesos de distribución.
* Los SCADA son sistemas se extienden geograficamente, mientras que los DCS y PLC suelen quedarse en la planta de producción o en fábrica en la que ésta se localiza.
* En consecuencia, precisarán de tecnologías de telecomunicación que permitan acortar, a nivel lógico, estas largas distancias: líneas alquiladas, Internet + VPN, radioenlaces punto-punto, redes WAN propias, etc.
* Además, muchas de las estaciones remotas que realizan control a nivel local, son difícilmente accesibles y por tanto resulta habitual encontrar que éstas tienen acceso remoto para su mantenimiento. Por ejemplo, vemos en España el caso de los Sistemas SAIH.
Cap resposta fins ara
Encara no hi ha comentaris... Engega la discussió tot emplenant el formulari.