Estudio Sobre La Seguridad de Los Sistemas de Monitorización y Control de Procesos e Infraestructuras (SCADA)

Estudio sobre la seguridad de los sistemas de monitorizacin y control de procesos e infraestructuras (SCADA)
OBSERVATORIO DE LA SEGURIDAD DE LA INFORMACIN
Edicin: Marzo 2012
El Estudio sobre la seguridad de los sistemas de monitorizacin y control de procesos e infraestructuras (SCADA) ha sido elaborado por el siguiente equipo de trabajo del Observatorio de la Seguridad de la Informacin de INTECO: Pablo Prez San-Jos (direccin) Eduardo lvarez Alonso (coordinacin) Susana de la Fuente Rodrguez Laura Garca Prez Cristina Gutirrez Borge
Correo electrnico del Observatorio de la Seguridad de la Informacin: observatorio@inteco.es
La presente publicacin pertenece al Instituto Nacional de Tecnologas de la Comunicacin (INTECO) y est bajo una licencia Reconocimiento-No comercial 3.0 Espaa de Creative Commons, y por ello est permitido copiar, distribuir y comunicar pblicamente esta obra bajo las condiciones siguientes: 1) Reconocimiento: El contenido de este informe se puede reproducir total o parcialmente por terceros, citando su procedencia y haciendo referencia expresa tanto a INTECO como a su sitio web: www.inteco.es. Dicho reconocimiento no podr en ningn caso sugerir que INTECO presta apoyo a dicho tercero o apoya el uso que hace de su obra. 2) Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos mientras su uso no tenga fines comerciales. Al reutilizar o distribuir la obra, tiene que dejar bien claro los trminos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso de INTECO como titular de los derechos de autor. Nada en esta licencia menoscaba o restringe los derechos morales de INTECO. http://creativecommons.org/licenses/by-nc/3.0/es/
El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). As, se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y orden de lectura adecuado. Para ampliar informacin sobre la construccin de documentos PDF accesibles puede consultar la gua disponible en la seccin Accesibilidad > Formacin > Manuales y Guas de la pgina http://www.inteco.es
NDICE
PUNTOS CLAVE ...............................................................................................................6 1 INTRODUCCIN Y OBJETIVOS .............................................................................. 10 1.1 1.2 2 Presentacin......................................................................................................10 Estudio sobre sistemas de monitorizacin y control y sistemas SCADA ............12
DISEO METODOLGICO......................................................................................13 2.1 2.2 2.3 2.4 Fase 1: Anlisis documental ..............................................................................13 Fase 2: Consulta a expertos ..............................................................................14 Fase 3: Elaboracin del informe de conclusiones finales del proyecto ...............16 Fase 4: Elaboracin de una gua prctica dirigida a Pymes ...............................16
3 INTRODUCCIN A LOS SISTEMAS DE MONITORIZACIN Y CONTROL EN TIEMPO REAL.................................................................................................................17 3.1 3.2 3.3 3.4 Estructura y componentes de los sistemas SCADA ...........................................19 Diferencias en seguridad respecto a otros elementos TIC .................................23 Protocolos y tecnologas existentes aplicadas a los sistemas SCADA...............25 Grado de madurez de sistemas SCADA ............................................................27
4 APLICACIONES Y BENEFICIOS DEL USO DE LOS SISTEMAS DE MONITORIZACIN Y CONTROL EN TIEMPO REAL ..................................................... 31 4.1 4.2 4.3 Beneficios de su uso..........................................................................................31 Anlisis sectorial ................................................................................................34 Usos futuros ......................................................................................................36
5 REGULACIN: LEGISLACIN APLICABLE Y ESTNDARES INTERNACIONALES .......................................................................................................37 5.1 5.2 Normativa europea ............................................................................................38 Normativa espaola ...........................................................................................41
Estudio la seguridad de los sistemas de monitorizacin y control de procesos (SCADA) Observatorio de la Seguridad de la Informacin
Pgina 3 de 105
5.3
Organizaciones internacionales .........................................................................44
6 RIESGOS PARA LA SEGURIDAD DE LOS SISTEMAS DE MONITORIZACIN Y CONTROL EN TIEMPO REAL ........................................................................................46 6.1 6.2 6.3 7 Causas del escenario actual de riesgo ..............................................................46 Motivacin de los atacantes...............................................................................50 Identificacin y anlisis de los principales riesgos..............................................51
GESTIN DE RIESGOS ..........................................................................................57 7.1 7.2 7.3 Medidas preventivas ..........................................................................................57 Medidas de deteccin ........................................................................................65 Medidas correctivas ...........................................................................................66
LNEAS DE DESARROLLO FUTURO EN SEGURIDAD SCADA ............................. 68 8.1 8.2 8.3 Convergencia y unificacin de seguridad lgica y seguridad fsica ....................68 Mejora en la deteccin y correlacin de eventos de seguridad ..........................69 Estandarizacin y mejora de protocolos de monitorizacin y control .................70
8.4 Estandarizacin de sistemas y reduccin de dependencia respecto de los fabricantes ...................................................................................................................70 9 RECOMENDACIONES .............................................................................................71 9.1 9.2 9.3 Recomendaciones para el legislador y los agentes de estandarizacin .............71 Recomendaciones para los fabricantes e implantadores ...................................74 Recomendaciones para empresas usuarias ......................................................75
10 CONCLUSIONES .....................................................................................................76 10.1 10.2 Anlisis DAFO ...................................................................................................76 Conclusiones del anlisis...................................................................................82
ANEXO I: ESQUEMA INTERRELACIONAL SCADA ....................................................... 85 ANEXO II: CASO PRCTICO GRAN EMPRESA ............................................................ 86
Pgina 4 de 105
I. II. III. IV. V.
Objetivos y alcance............................................................................................86 Introduccin .......................................................................................................86 Situacin actual .................................................................................................87 Propuestas de mejora........................................................................................89 Soluciones propuestas ......................................................................................90
ANEXO III: CASO PRCTICO PYME .............................................................................. 94 I. II. III. IV. Objetivos y alcance............................................................................................94 Introduccin .......................................................................................................94 Situacin actual .................................................................................................95 Solucin propuesta ............................................................................................96
ANEXO IV: PROTOCOLOS DE SCADA .......................................................................... 98 ANEXO V: BIBLIOGRAFA ............................................................................................ 101 ANEXO VI: NDICE DE GRFICOS Y TABLAS............................................................. 103 ndice de grficos .......................................................................................................103 ndice de tablas ..........................................................................................................103
Pgina 5 de 105
PUNTOS CLAVE
INTECO, en su misin de impulsar el desarrollo de la Sociedad del Conocimiento a travs de proyectos en el marco de la innovacin y la tecnologa, publica el Estudio sobre la seguridad sistemas de monitorizacin y control de procesos e infraestructuras (SCADA). Este estudio tiene como objetivos determinar qu son los sistemas SCADA, cul es su finalidad y, especialmente, cules son sus riesgos de seguridad y cmo estos se pueden evitar o mitigar. La metodologa llevada a cabo para la realizacin de la investigacin se ha basado en dos aspectos de diferente ndole. En primer lugar, se ha llevado a cabo un anlisis documental profundo. Para ello se ha determinado las fuentes de informacin disponibles en referencia a estudios, investigaciones y trabajos relacionados con los sistemas SCADA (Supervisory Control And Data Acquisition) e ICS (Industrial Control System) para su posterior consulta en busca de informacin til y actual al respecto. En segundo lugar, se ha realizado una consulta a diferentes expertos de los mbitos relacionados con este tipo de sistemas mediante una serie de entrevistas personales. Entre estos profesionales se encuentran investigadores, implantadores, usuarios de sistemas SCADA y expertos en seguridad de la informacin. De este modo, se ha podido conseguir un enfoque multidisciplinar en la investigacin que reporte mayores beneficios y aporte una visin enriquecedora para su anlisis. I. Introduccin a los sistemas de monitorizacin y control en tiempo real
Un sistema SCADA se puede describir de forma general como un sistema que permite la monitorizacin y/o control, de forma centralizada y remota, de un conjunto de actuadores o dispositivos finales. Se trata de un trmino que pese a estar restringido a un tipo de sistema de control industrial actualmente se utiliza para denominar a la gran mayora de estos sistemas. Un SCADA est constituido por varios componentes repartidos en diferentes puntos. Los centros de control son los puntos donde se ubican los sistemas y componentes centrales, es decir, es desde donde se supervisa y gestiona el proceso. Por otro lado, las posiciones de campo son las ubicaciones en las que se encuentran los actuadores electromecnicos a gestionar, como vlvulas, sensores, bombas, etc. Con el fin de comunicar estos dos puntos, estos sistemas cuentan con una red de comunicaciones que pueden cubrir grandes distancias.
Pgina 6 de 105
II.
Aplicaciones y beneficios del uso de los sistemas de monitorizacin y control en tiempo real
Este tipo de sistemas presenta una serie de beneficios que facilitan su utilizacin en muchos y diversos sectores. Estos beneficios se centran esencialmente en la gestin remota de procesos complejos, automatizando tareas y programando actuaciones frente a posibles eventualidades. De este modo, los sistemas de monitorizacin y control en tiempo real posibilitan una optimizacin de los procesos gestionados. Esta funcionalidad fomenta su uso en sectores tan variados como la generacin energtica o la industria manufacturera. Adems, estos sistemas se utilizan para gestionar procesos rutinarios presentes en muchos otros sectores al margen de los industriales. Entre estos procesos cabe destacar los sistemas de climatizacin de instalaciones o el funcionamiento del sistema de ascensores de un edificio. III. Regulacin: legislacin aplicable y estndares internacionales
Dado que en muchos casos, los sistemas SCADA actan sobre las llamadas Infraestructuras Crticas, se encuentran sujetos a ciertas regulaciones y normativas. Esto se debe a que muchos servicios bsicos para la poblacin dependen de su funcionamiento y por tanto deben contar con una proteccin adecuada. En los ltimos aos se han emprendido diversas actuaciones normativas en materia de Infraestructuras Crticas en el mbito nacional, como es la aprobacin de un Plan Nacional de Proteccin de las Infraestructuras Crticas (Ley 8/2011), as como la elaboracin de un primer Catlogo Nacional de Infraestructuras Estratgicas. Adems, a da de hoy se cuenta con el Centro Nacional para la Proteccin de las Infraestructuras Crticas, rgano director y coordinador de las actividades relacionadas con la proteccin de las infraestructuras crticas adscrito a la Secretara de Estado de Seguridad del Ministerio del Interior de Espaa. IV. Riesgos para la seguridad de los sistemas de monitorizacin y control en tiempo real
Para comprender mejor la necesidad de proteccin de estos sistemas, el presente informe describe la evolucin que han sufrido los sistemas SCADA en los ltimos aos. En un principio, estos sistemas fueron diseos para trabajar en entornos aislados. Sin embargo actualmente, y cada vez ms, suelen encontrarse conectados con redes corporativas, o en ocasiones incluso pblicas como Internet. Este nuevo escenario ha propiciado que las amenazas aplicables a este tipo de sistemas hayan aumentado, ms an si se tienen en cuenta otras circunstancias que propician la aparicin de riesgos. Estas circunstancias se resumen en la priorizacin absoluta de la
Estudio la seguridad de los sistemas de monitorizacin y control de procesos (SCADA) Observatorio de la Seguridad de la Informacin Pgina 7 de 105
necesidad de mantener un servicio continuo, que ha impedido la adecuada actualizacin de estos sistemas, y la actual tendencia de migracin de las plataformas tecnolgicas utilizadas hacia tecnologas de uso general, lo cual extiende los riesgos de la tecnologa convencional a este tipo de sistemas al tiempo que multiplica el nmero de posibles atacantes con conocimientos suficientes para producir daos. Por otro lado, existe una tendencia a minusvalorar sus riesgos, extendida entre los encargados de la gestin de estos sistemas. Una opinin que empuja a creer que ningn atacante podra contar con motivaciones para fijar su objetivo en estos sistemas. Frente a esta creencia se sealan las posibles motivaciones de los atacantes potenciales, incluyendo desde empleados o ex-empleados descontentos hasta terroristas o atacantes por causas ideolgicas. V. Gestin de riesgos
Con el fin de prevenir y solventar los riesgos identificados, en la elaboracin del presente estudio se ha recopilado una serie de medidas de seguridad y buenas prcticas sealadas por los expertos consultados. Estas buenas prcticas se agrupan en tres categoras: Medidas preventivas: Para prevenir los incidentes de seguridad se recomiendan por ejemplo medidas relacionadas con la formacin y concienciacin del personal, el bastionado de aplicaciones, sistemas operativos y equipos, la segregacin de entornos dentro del sistema SCADA o la redundancia de componentes esenciales en el sistema. Medidas de deteccin: Para detectar incidencias con celeridad se recomienda especialmente mantener un inventario de los equipos y componentes del sistema de forma que se evite la conexin de nuevos equipos que puedan vulnerar la seguridad. El uso de trazas de auditora es otra buena prctica altamente recomendable en este aspecto. Medidas correctivas: En caso de que una vulnerabilidad haya generado algn impacto en el sistema, es recomendable haber determinado previamente un Plan de Continuidad de Negocio y un Plan de Recuperacin ante Desastres que reflejen las medidas a tomar en caso de sufrir algn tipo de incidente.
Pgina 8 de 105
VI.
Recomendaciones
En base a las principales consideraciones que se han extrado de las entrevistas mantenidas con los expertos, se ha recogido un conjunto de recomendaciones relacionadas tanto con la normativa existente como con los fabricantes y las empresas usuarias. De entre ellas destacan: Establecer una regulacin sectorial. Colaboracin con las instituciones pblicas como los ministerios de Interior, de Defensa, de Asuntos Exteriores y Cooperacin y de Industria, Energa y Turismo, entre otras. Los usuarios finales deben exigir que los productos ofertados por los proveedores les proporcionen un nivel aceptable de seguridad. Los fabricantes de soluciones para sistemas SCADA deberan tratar la seguridad desde un punto de vista integral.
Pgina 9 de 105
1
1.1 1.1.1
INTRODUCCIN Y OBJETIVOS
PRESENTACIN Instituto Nacional de Tecnologas de la Comunicacin
El Instituto Nacional de Tecnologas de la Comunicacin, S.A. (INTECO), es una sociedad estatal adscrita al Ministerio de Industria, Energa y Turismo a travs de la Secretara de Estado de Telecomunicaciones y para la Sociedad de la Informacin. INTECO es un centro de desarrollo de carcter innovador y de inters pblico de mbito nacional que se orienta a la aportacin de valor, a la industria y a los usuarios, y a la difusin de las nuevas tecnologas de la informacin y la comunicacin (TIC) en Espaa, en clara sintona con Europa. Su objetivo fundamental es servir como instrumento para desarrollar la Sociedad de la Informacin, con actividades propias en el mbito de la innovacin y el desarrollo de proyectos asociados a las TIC, basndose en tres pilares fundamentales: la investigacin aplicada, la prestacin de servicios y la formacin. La misin de INTECO es aportar valor e innovacin a los ciudadanos, a las PYMES, a las Administraciones Pblicas y al sector de las tecnologas de la informacin, a travs del desarrollo de proyectos que contribuyan a reforzar la confianza en los servicios de la Sociedad de la Informacin en nuestro pas, promoviendo adems una lnea de participacin internacional. Para ello, INTECO desarrolla actuaciones en las siguientes lneas: Seguridad Tecnolgica: INTECO est comprometido con la promocin de servicios de la Sociedad de la Informacin cada vez ms seguros, que protejan los datos personales de los interesados, su intimidad, la integridad de su informacin y eviten ataques que pongan en riesgo los servicios prestados. Y por supuesto que garanticen un cumplimiento estricto de la normativa legal en materia de TIC. Para ello coordina distintas iniciativas pblicas en torno a la seguridad de las TIC, que se materializan en la prestacin de servicios por parte del Observatorio de la Seguridad de la Informacin, el Centro de Respuesta a Incidentes de Seguridad en Tecnologas de la Informacin (INTECO-CERT) con su Centro Demostrador de Tecnologas de Seguridad, y la Oficina de Seguridad del Internauta, de los que se benefician ciudadanos, PYMES, Administraciones Pblicas y el sector tecnolgico. Accesibilidad: INTECO promueve servicios de la Sociedad de la Informacin ms accesibles, que supriman las barreras de exclusin, cualquiera que sea la dificultad o carencia tcnica, formativa, etc., incluso discapacidad, que tengan sus
usuarios. Y que faciliten la integracin progresiva de todos los colectivos de usuarios, de modo que todos ellos puedan beneficiarse de las oportunidades que ofrece la Sociedad de la Informacin. Asimismo desarrolla proyectos en el mbito de la accesibilidad orientados a garantizar el derecho de ciudadanos y empresas a relacionarse electrnicamente con las AA.PP. Calidad TIC: INTECO promueve unos servicios de la Sociedad de la Informacin que cada vez sean de mayor calidad, que garanticen unos adecuados niveles de servicio, lo cual se traduce en una mayor robustez de aplicaciones y sistemas, un compromiso en la disponibilidad y los tiempos de respuesta, un adecuado soporte para los usuarios, una informacin precisa y clara sobre la evolucin de las funcionalidades de los servicios, y en resumen, servicios cada vez mejores. En esta lnea impulsa la competitividad de la industria del Software a travs de la promocin de la mejora de la calidad y la certificacin de las empresas y profesionales de la ingeniera del software. Formacin: la formacin es un factor determinante para la atraccin de talento y para la mejora de la competitividad de las empresas. Por ello, INTECO impulsa la formacin de universitarios y profesionales en las tecnologas ms demandadas por la industria. Observatorio de la Seguridad de la Informacin
1.1.2
El Observatorio de la Seguridad de la Informacin se inserta dentro de la lnea estratgica de actuacin de INTECO en materia de Seguridad Tecnolgica. Nace con el objetivo de describir de manera detallada y sistemtica el nivel de seguridad y confianza en la Sociedad de la Informacin y de generar conocimiento especializado en la materia. De este modo, se encuentra al servicio de los ciudadanos, las empresas y las administraciones pblicas espaolas para describir, analizar, asesorar y difundir la cultura de la seguridad de la informacin y la e-confianza. El Observatorio ha diseado un Plan de Actividades y Estudios con el objeto de producir conocimiento especializado y til en materia de seguridad por parte de INTECO, as como de elaborar recomendaciones y propuestas que definan tendencias vlidas para la toma de decisiones futuras por parte de los poderes pblicos. Dentro de este plan de accin se realizan labores de investigacin, anlisis, estudio, asesoramiento y divulgacin que atendern, entre otras, a las siguientes estrategias: Elaboracin de estudios e informes propios en materia de seguridad de las Tecnologas de la Informacin y la Comunicacin, con especial nfasis en la Seguridad en Internet.
Pgina 11 de 105
Seguimiento de los principales indicadores y polticas pblicas relacionadas con la seguridad de la informacin y la confianza en el mbito nacional e internacional. Generacin de una base de datos que permita el anlisis y evaluacin de la seguridad y la confianza con una perspectiva temporal.
Impulso de proyectos de investigacin en materia de seguridad TIC. Difusin de estudios e informes publicados por otras entidades y organismos nacionales e internacionales, as como de informacin sobre la actualidad nacional y europea en materia de la seguridad y confianza en la Sociedad de la Informacin. Asesoramiento a las Administraciones Pblicas en materia de seguridad de la informacin y confianza, as como el apoyo a la elaboracin, seguimiento y evaluacin de polticas pblicas en este mbito.
1.2 ESTUDIO SOBRE SISTEMAS DE MONITORIZACIN Y CONTROL Y SISTEMAS SCADA El Estudio sobre la seguridad de los sistemas de monitorizacin y control de procesos (SCADA) tiene como objetivo definir los llamados sistemas SCADA, y de manera ms general los sistemas de monitorizacin y control en tiempo real, con el fin de concienciar a las empresas que los utilizan sobre su existencia e importancia, las ventajas y desventajas que supone utilizarlos, as como sobre los riesgos que acarrean. Tras describir los principales riesgos que afectan a este tipo de sistemas, se incluir un captulo sobre Gestin de Riesgos, en el cual se describirn unas buenas prcticas que ayudan a prevenir, detectar y corregir dichos riesgos. Del mismo modo, se establecern unas recomendaciones en base a la opinin de los expertos consultados a lo largo del estudio, de cara a sealar al legislador los principales aspectos sobre los cuales se podra incidir. Al igual, se incluirn algunas recomendaciones para usuarios y proveedores. Por ltimo, se describen las principales conclusiones obtenidas como consecuencia del trabajo del presente estudio, reflejadas en un anlisis DAFO y en un conjunto de ideas finales. Para complementar y ejemplificar los conceptos, los riesgos y su gestin, se ha incluido en el Anexo II un caso prctico de proyecto de securizacin de un sistema SCADA para una gran empresa, mientras que en el Anexo III, el ejemplo propuesto corresponde a una PYME que cuente con este tipo de sistemas.
Pgina 12 de 105
DISEO METODOLGICO
En la realizacin del Estudio sobre la seguridad de los sistemas de monitorizacin y control de procesos e infraestructuras (SCADA) se ha utilizado una metodologa cualitativa basada en la entrevista a expertos as como en una fase de anlisis documental. Este tipo de metodologa permite obtener informacin de primera mano y aporta la ventaja de conseguir diferentes puntos de vista complementarios sobre el objeto del estudio. A continuacin se sealan los pasos que se han seguido para llevar a cabo dicha metodologa. Fase 1. Bsqueda y anlisis documental de informes, estudios y artculos que, por su contenido, metodologa o enfoque, se consideran material de referencia en el estudio del estado de los sistemas de monitorizacin y control de procesos en tiempo real, ya sea en cuanto a los aspectos funcionales o, sobre todo, a los referentes a la seguridad. Fase 2. Entrevistas a expertos de diferentes disciplinas relacionadas con sistemas SCADA, seguridad de la informacin e infraestructuras crticas. Fase 3. Elaboracin del presente informe donde se recogen el anlisis y conclusiones de las fases anteriores. Fase 4. Elaboracin de una gua prctica dirigida a usuarios sobre seguridad en la gestin de sistemas de monitorizacin y control en tiempo real. FASE 1: ANLISIS DOCUMENTAL
2.1
En esta etapa se ha abordado el anlisis de la situacin actual de los sistemas de monitorizacin y control en tiempo real, en relacin a su grado de madurez, ventajas, inconvenientes y beneficios, as como a su estado y niveles de seguridad. Para ello se ha accedido a las fuentes de informacin que publican investigaciones, informes y/o trabajos relacionados son sistemas de monitorizacin y control de procesos en tiempo real para, posteriormente, realizar su anlisis y el resumen de las principales conclusiones de aquellos informes cuya informacin se considera actual y til para esta investigacin. Es importante destacar que una buena parte de estas publicaciones tienen como mbito geogrfico de estudio Estados Unidos u otros pases europeos. En el Anexo V se incluye una relacin de las publicaciones consideradas en la realizacin del presente Informe.
Pgina 13 de 105
2.2
FASE 2: CONSULTA A EXPERTOS
Esta fase del proyecto se ha destinado a consultar la opinin de expertos sobre los diferentes mbitos de anlisis propuestos para el estudio. 2.2.1 Seleccin de expertos
Se ha prestado especial atencin en la bsqueda de la mxima diversidad en esta seleccin para disponer de puntos de vista diferentes de los actores del mercado. Gracias a ello se obtiene una visin ms completa y global. En particular, las reas cubiertas son: Expertos en seguridad de la informacin. Ofrecen la visin desde el punto de vista de seguridad lgica, aportando generalmente una idea global del estado de la seguridad de los sistemas SCADA sobre los que han trabajado, identificando sus principales carencias y sus puntos fuertes. Expertos en seguridad fsica. Anlogamente al caso anterior, ofrecen la visin desde el punto de vista de seguridad fsica, especialmente en lo relacionado con infraestructuras crticas monitorizadas y controladas por sistemas SCADA. Integradores/consultores. Contribuyen al estudio con su experiencia en cuanto a la implantacin de sistemas SCADA, sobre todo desde el punto de vista de buenas prcticas de seguridad y de los riesgos que se tienen que tener en cuenta en el momento de la implantacin. Usuarios finales. Brindan una visin exacta sobre la implantacin y uso de sistemas SCADA en empresas nacionales, ofreciendo informacin sobre su estado y caractersticas particulares. Expertos internacionales. Ofrecen al proyecto una visin integral del estado de desarrollo de estas tecnologas fuera del mbito nacional y la evolucin que puede tener esta industria de manera ms global. Se relacionan a continuacin las instituciones y profesionales que han colaborado en la realizacin del estudio: AlienVault. Victorino Martn, Director de Operaciones. AMETIC, Crculo de Inteligencia. Fernando Davara, Director de la Fundacin FUNCOAS. AXA. Luis Duperier, Corporate Security Consultant. Canal de Isabel II. Javier Fernndez, Subdirector de Telecontrol. Cepsa. Rafael Hernndez, Responsable de Seguridad Lgica.
Pgina 14 de 105
Cuevavaliente Ingenieros. Alfonso Bilbao, Director. Deloitte. Alexis Porros, Consultor Tecnolgico de Seguridad. Deloitte. Silvia Villanueva, Project Manager. Deloitte. Miguel Rego, Director. EADS. Sergio Torralba, Sistema Cassidian. cija. Adolfo Hernndez, Manager of Governance, Risk & Compliance. Enags. Javier Bueso, IT Architect. Grupo Intermark. .Samuel Linares, Director de Servicios TI y Seguridad. INTECO. Marcos Gmez, Subdirector de Programas. ISACA, N+1. Antonio Ramos. Presidente - ISACA Madrid Chapter, Socio Director (N+1). Ministerio del Interior. Luis Luengo, Ex-Director General de Infraestructuras y Material de la Seguridad. S21Sec. Omar Benjumea, Consultor Tecnolgico de Seguridad. S21Sec. Elioenai Egozcue, Consultor Tecnolgico de Seguridad. Sourcefire. Dominic Storey, Technical Director. Urbina Solutions. lvaro Ortiz.IT Consultant. Realizacin de entrevistas
2.2.2
Las entrevistas desarrolladas con los expertos han seguido el siguiente guin: a) Presentacin y detalles del experto. Presentacin, principales campos de actuacin y experiencia en la realizacin de proyectos con sistemas SCADA. b) Tecnologas existentes. Principales productos y empresas de sistemas SCADA. c) Aplicaciones y usos de los sistemas de monitorizacin y control SCADA. Principales usos y aplicaciones de los sistemas SCADA, as como anlisis de costes y beneficios.
Pgina 15 de 105
d) Madurez y confianza de los sistemas actuales. Grado de madurez, tanto funcionalmente como de seguridad, de los sistemas SCADA, as como evolucin de los mismos. e) Riesgos y amenazas. Inconvenientes a la hora de la implantacin, aspectos de mejora, amenazas, controles compensatorios y causa de las vulnerabilidades de los sistemas SCADA. f) Estandarizacin existente y marco jurdico. Anlisis y estudio de las principales normativas de aplicacin a los sistemas SCADA, ms concretamente a las infraestructuras crticas. g) Buenas prcticas aplicables a la implantacin y uso de sistemas de monitorizacin y control. Medidas y formas de uso aconsejables para la prevencin y mitigacin de riesgos y recomendaciones a los diferentes actores implicados. 2.3 FASE 3: ELABORACIN DEL INFORME DE CONCLUSIONES FINALES DEL PROYECTO Una vez finalizadas las etapas correspondientes a los trabajos de investigacin, se ha documentado y expuesto las conclusiones alcanzadas en el informe final. En la elaboracin del presente informe se recogen el anlisis y las conclusiones de la investigacin, junto con las recomendaciones de actuacin dirigidas a los usuarios, a la industria y a las Administraciones Pblicas. 2.4 FASE 4: ELABORACIN DE UNA GUA PRCTICA DIRIGIDA A PYMES
En paralelo a la realizacin del estudio sobre el nivel de seguridad de sistemas de monitorizacin y control de procesos e infraestructuras, y aprovechando los resultados del mismo, se ha elaborado una gua divulgativa dirigida a Pymes con la intencin de identificar qu son los sistemas SCADA, describir sus diferentes usos y aplicaciones, analizar los riesgos a los que estn expuestos y desarrollar un catlogo de buenas prcticas y recomendaciones.
Pgina 16 de 105
INTRODUCCIN A LOS SISTEMAS DE MONITORIZACIN Y CONTROL EN TIEMPO REAL
Los sistemas de monitorizacin y control en tiempo real son elementos esenciales en el funcionamiento no slo de la mayora de los procesos industriales, sino adems de gran parte de las tareas rutinarias en nuestra sociedad. A pesar de ello, tanto dichas tareas como estos sistemas, son desconocidos por gran parte de los ciudadanos. Se trata de herramientas utilizadas para gestionar infinidad de procesos: desde el funcionamiento del aire acondicionado o la calefaccin en un edificio hasta la distribucin de energa elctrica en el territorio nacional. De entre las diferentes clases de sistemas de monitorizacin y control existentes, los ms utilizados son los denominados SCADA. El acrnimo SCADA (Supervisory Control And Data Acquisition) se puede traducir como sistemas de control de supervisin y adquisicin de datos. Es decir, se denomina sistema SCADA a aquel conjunto de redes, equipos y programas informticos que monitorizan en tiempo real procedimientos industriales y tareas complejas, a partir de la informacin obtenida a travs de sensores, comunicndose con los dispositivos actuadores para transmitirles las rdenes adecuadas, pudiendo controlar el proceso de forma automtica por medio de un software especializado. Estos sistemas reciben y envan informacin. Cuando en respuesta a una seal de salida del sistema, nueva informacin vuelve al mismo como entrada, se produce una retroalimentacin (feedback), que es constante en el funcionamiento de estos sistemas. La finalidad de esta continua comunicacin es optimizar, vigilar y, en su caso, verificar la modificacin de diversos aspectos del funcionamiento del sistema. Toda la informacin que se genera con estos procedimientos puede estar disponible tanto para los usuarios directamente implicados en los procesos productivos, como para otros usuarios supervisores dentro de la organizacin (control de calidad, control de produccin, almacenamiento de datos, etc.). Esta definicin puede resultar ambigua, pero esto se debe a que la variedad de sistemas SCADA es muy amplia, tanto en tipologa como en funcionalidad, alcance y otras caractersticas. Puede referirse desde a sistemas que monitorizan y gestionan los procesos de una planta nuclear hasta a un sistema de control y seguimiento del estado de unas escaleras mecnicas. As pues, la frontera entre un sistema SCADA y un sistema de control remoto es muy difusa. De hecho, a este respecto hay variedad de opiniones entre los expertos consultados a lo largo de la investigacin. Mientras que algunos de estos expertos
Pgina 17 de 105
consideran que los sistemas SCADA se circunscriben a sistemas, normalmente abarcando una amplia extensin geogrfica, que controlan procesos crticos y cuya indisponibilidad puede suponer un gran impacto, otros consideran que la definicin de SCADA se aplica a cualquier sistema de monitorizacin y/o control en tiempo real, pudiendo englobar esta denominacin ICS (Industrial Control System, sistemas de control industrial), los DCS (Distributed Control System, sistemas de control distribuido) o sistemas basados directamente sobre PLCs (Programmable Logic Controllers, controladores lgicos programables). Profundizando en este concepto, un sistema SCADA es un conjunto de equipos y dispositivos que permiten realizar una monitorizacin y control centralizado de un conjunto de actuadores finales de forma remota, almacenando la informacin relativa a dicho proceso en un servidor histrico, y permitiendo la automatizacin de ciertas tareas. El proceso monitorizado y controlado por estos sistemas suele ser crtico, ya sea para la sociedad, por ejemplo la generacin elctrica, o para la propia empresa, por ejemplo su propia produccin, aunque puede tratarse tambin de un proceso rutinario o accesorio como el funcionamiento de escaleras mecnicas o del sistema de ventilacin. Tradicionalmente, los sistemas SCADA se referan a aquellos que supervisaban y controlaban procesos industriales, cindose el control principalmente a vlvulas, bombas, sensores, interruptores y dems elementos mecnicos. Inicialmente se trataba de sistemas aislados que permitan una gestin centralizada y eficiente, ya que al conocer el estado de los elementos del proceso industrial, la toma de decisiones se simplificaba de manera notable. Sin embargo, este enfoque ha evolucionado y se ha ampliado a lo largo del tiempo. Por un lado han aparecido sistemas SCADA que monitorizan y controlan otro tipo de dispositivos, como: cmaras y sensores de videovigilancia o sistemas de climatizacin. Por otro lado, se ha eliminado su aislamiento pasando a estar ms expuestos y conectados a redes externas y pblicas como Internet. De este modo, y pese a sealarse las diferencias existentes entre un sistema SCADA y el resto de sistemas de monitorizacin y control de procesos
Pgina 18 de 105
3.1
ESTRUCTURA Y COMPONENTES DE LOS SISTEMAS SCADA
La estructura tpica de un sistema SCADA tradicional podra ser la siguiente:

Grfico 1: Estructura de los sistemas SCADA
Fuente: Forrester Research
Como se puede observar, la primera gran divisin de un sistema SCADA se puede circunscribir al mbito geogrfico. Sus componentes en relacin a este aspecto son: Centros de control. Se trata de las instalaciones fsicas donde se ubican los sistemas y componentes centrales de un sistema SCADA y desde donde se gestionan los procesos monitorizados. Estos centros de control suelen contar con un alto nivel de proteccin fsica y lgica, debido a la criticidad de sus activos. Adems, en algunos casos suelen existir varios para asegurar su redundancia, normalmente en ubicaciones geogrficas dispersas. Comunicaciones de campo. Debido a la naturaleza centralizada de los sistemas SCADA, un componente esencial son las comunicaciones entre estos centros y los dispositivos de campo. Estas comunicaciones puede cubrir grandes distancias, y utilizan una amplia variedad de tecnologas: red telefnica conmutada, conexiones va satlite/radio, redes WAN, GPRS, etc. No obstante, en un sistema SCADA de mbito reducido, por ejemplo el encargado de controlar un proceso industrial, las comunicaciones se pueden limitar a la red de rea local, o conexiones inalmbricas, que existan entre los servidores centrales y los dispositivos finales.
Pgina 19 de 105
Posiciones de campo. Son las ubicaciones geogrficas donde se encuentran los actuadores electromecnicos, como pueden ser vlvulas, sensores, bombas, etc., que en ltima instancia monitoriza y controla el sistema SCADA. Los principales elementos que lo componen suelen ser dispositivos de comunicacin (routers, antenas, mdems, etc.) y dispositivos de campo, principalmente PLC (Programmable Logic Controller), RTU (Remote Terminal Unit) e IED (Intelligent Electronic Device), que son los encargados de transmitir las ordenes a los actuadores finales y de recopilar la informacin de monitorizacin de los mismos. Al igual que en el caso de las comunicaciones, en un sistema SCADA de mbito reducido las posiciones de campo se corresponden nicamente con las posiciones fsicas (salas, cuartos) donde se encuentran los dispositivos finales o de campo.
Los principales elementos que configuran y se encuentran en las ubicaciones fsicas mencionadas son: Centros de control: o Servidor SCADA. Elemento core 1 de un sistema SCADA. Contiene la funcionalidad relativa a la monitorizacin y gestin de los componentes del sistema. Servidor de histricos. Sistema encargado del almacenamiento y consolidacin de la informacin recolectada por los sensores que forman parte del sistema SCADA. HMI (Human Machine Interface). Son las interfaces grficas empleadas por los operadores para la gestin y uso de la funcionalidad del sistema SCADA. Dispositivos de comunicacin. Se trata de dispositivos convencionales para comunicaciones con las posiciones de campo, otros centros de control u otras redes.
Posiciones de campo: o Dispositivos de campo. Son empleados para actuar de enlace entre los centros de control y los actuadores electromecnicos. Engloban principalmente RTUs, PLCs, IEDs y actuadores finales.
1 Un elemento core es aquel elemento o conjunto de elementos centrales de un sistema y cuyo funcionamiento se considera esencial para la operativa correcta del sistema del que es parte.
Pgina 20 de 105
Actuadores electromecnicos. Son los elementos controlados y monitorizados por SCADA y que actan directamente sobre el proceso industrial. Algunos ejemplos de estos actuadores son bombas, vlvulas, sensores, contadores, etc. Dispositivos de comunicacin. Elementos convencionales para comunicaciones con otras posiciones de campo y con los centros de control. Son los mismos que los empleados en cualquier entorno TIC.
Esta divisin y descripcin de un sistema SCADA es de aplicacin para grandes instalaciones. Para un sistema ms reducido de monitorizacin y control en tiempo real, se podra hacer el siguiente paralelismo: Centro de control. Posicin desde donde los operadores monitorizan y controlan el sistema. Consta de los siguientes elementos: o Servidor de control. Implementa el software relativo a la monitorizacin y control de los componentes del sistema SCADA. Servidor de histricos. Almacena la informacin de monitorizacin relativa al sistema. HMI. Software grfico que facilita la interaccin entre el software de control y el operador.
Comunicaciones. Redes Ethernet, comunicaciones serie, Wi-Fi, conexiones punto a punto, etc. utilizadas para la comunicacin entre el centro de control y los componentes finales. Componentes finales. Son aquellos dispositivos que son monitorizados y controlados remotamente. Existe una amplia variedad a este respecto: cmaras de videovigilancia, sensores, elementos de climatizacin, etc.
Pgina 21 de 105
Grfico 2: Esquema interrelacional SCADA
Fuente: Elaboracin propia
Pgina 22 de 105
3.2
DIFERENCIAS EN SEGURIDAD RESPECTO A OTROS ELEMENTOS TIC
Los sistemas SCADA tienen una serie de rasgos que los diferencian de otros sistemas TIC, como su utilidad, diseo inicial y la evolucin especfica que han sufrido en los ltimos aos. Desde el punto de vista funcional, este tipo de sistemas, se encuentran diseados para trabajar de manera continua. Es decir, la disponibilidad del servicio prestado es la prioridad absoluta. Esto se debe a que en muchos casos los sistemas SCADA controlan y monitorizan actividades de vital importancia para la sociedad, como la generacin y distribucin de energa elctrica. Los sistemas SCADA, al contrario que los sistemas TIC (Tecnologas de la Informacin y Comunicacin) habituales, tienen un enfoque diferente respecto a la conocida pirmide CIA (Confidentiality, Integrity, Availability, Confidencialidad, Integridad, Disponibilidad) de prioridades. Mientras que en un sistema TIC tradicional la escala de prioridades presenta como base la confidencialidad, posteriormente la integridad y finaliza con la disponibilidad, en un sistema SCADA el objetivo primordial es garantizar la disponibilidad del servicio y del sistema. A modo comparativo, se incluyen a continuacin ambos enfoques de la pirmide CIA, encontrndose a la izquierda el enfoque tradicional TIC, y en la derecha el enfoque propio de sistemas SCADA. En ellas, la parte ms amplia de la pirmide es el atributo que se ha priorizado, mientras que la zona ms estrecha es la que menos se ha desarrollado.
Grfico 3: Comparativa Pirmides CIA
Fuente: INTECO
Esta diferencia de prioridades es debida a que los sistemas SCADA se emplean en procesos considerados crticos en trminos funcionales, ya sea para la operativa de negocio propia de la compaa o para la sociedad o sectores bsicos del Estado. En este ltimo caso son catalogados como infraestructuras crticas.
Pgina 23 de 105
Para comprenderlo de una forma ms visual, a continuacin se adjunta otro enfoque de la denominada pirmide CIA. En l se ilustra grficamente el equilibrio que suele existir entre estos tres atributos. El estado de un sistema se puede representar con un punto en dicha pirmide. Es decir, cuanto ms se trabaja, por ejemplo, en la disponibilidad, se tiende a perder o penalizar en cierta medida la integridad y la confidencialidad. Del mismo modo, si se prima la confidencialidad, la disponibilidad e integridad suelen verse afectadas. La pirmide mostrada ilustra cromticamente la prioridad de los sistemas SCADA.
Grfico 4: Pirmide cromtica CIA
Disponibilidad
Grado de madurez: Alto Medio Bajo
Integridad
Confidencialidad
Fuente: INTECO
Este enfoque de prioridades se ha mantenido desde la aparicin de estos sistemas hasta la actualidad. Funcionalmente, los sistemas SCADA son muy robustos, cumpliendo las expectativas y, gracias especialmente a una alta redundancia, el servicio ofrecido es ininterrumpido. Sin embargo, esta priorizacin de la disponibilidad, unida a otras causas, ha generado deficiencias en cuanto a seguridad. Esta primaca de la disponibilidad entre las prioridades es una opinin compartida por todos los expertos consultados. El SCADA es imprescindible para la operativa de la compaa. Existen alternativas, pero nicamente para funcionar durante horas o algn da, y no es viable que sea a medio o largo plazo Adems de las diferencias en las prioridades de estos sistemas, otra diferencia esencial es que las operaciones realizadas por un SCADA tienen una consecuencia en el mundo fsico. Es decir, una orden en un sistema SCADA puede suponer la apertura de una vlvula o el movimiento de un brazo robot en una cadena de montaje, mientras que las
rdenes en un sistema convencional, por lo general, solamente tienen como consecuencia su visualizacin en una pantalla. Finalmente, y como se sealar ms adelante, una caracterstica tpica de los sistemas SCADA es la evolucin que han mantenido desde sus comienzos. Inicialmente fueron diseos para trabajar en entornos aislados, sin embargo actualmente, y cada vez ms, los sistemas de monitorizacin y control suelen encontrarse conectados con redes corporativas o pblicas como Internet. El escenario descrito en el prrafo anterior ha propiciado que el riesgo aplicable a este tipo de sistemas haya aumentado, ya que el aislamiento para el cual fueron diseados pareca asegurar la imposibilidad de sufrir ataques informticos remotos, y unido a la necesidad de mantener un servicio continuo, las actualizaciones de sistemas y aplicaciones generalmente no se han realizado con la frecuencia adecuada. 3.3 PROTOCOLOS Y TECNOLOGAS EXISTENTES APLICADAS A LOS SISTEMAS SCADA Histricamente, un conjunto reducido de fabricantes provean la prctica totalidad de los componentes de un sistema SCADA, desde el software de monitorizacin y control hasta los PLCs y RTUs, incluyendo parte de la electrnica de red, el hardware, los protocolos, el middleware, bases de datos integradas, etc. Sin embargo, debido a la evolucin sufrida por estos sistemas, ciertos productos especficos han sido sustituidos por tecnologas de propsito general, principalmente en lo relativo a bases de datos, sistemas operativos y cierto tipo de hardware, aunque manteniendo los productos especficos de este tipo de sistemas. Los principales componentes de propsito general que se utilizan hoy en da se indican en la siguiente tabla.
Tabla 1: Componentes de propsito general empleados en sistemas SCADA
Componente
Electrnica de red Hardware computacional
Productos / Fabricante
Switches, routers y firewalls. Servidores y PCs de usuario. Sistemas Windows, sistemas basados en Unix/Linux, Solaris. Oracle Database Server, Microsoft SQL Server y MySQL Server.
Sistemas operativos
Bases de datos
Pgina 25 de 105
Protocolos de red
Actualmente se est migrando al uso del estndar TCP/IP. Sistemas propios de la compaa, como tecnologa web y
Servicios TI corporativos
de correo electrnico, servicios de despliegue actualizaciones, antivirus, administracin remota, etc.
de
Virtualizacin
Tendencia cada vez ms fuerte de virtualizacin de ciertos componentes y servicios de las redes de control y monitorizacin.
Fuente: INTECO
En trminos generales, la tendencia actual consiste en el alcance de un equilibrio entre tecnologas de propsito general, que permitan una mayor flexibilidad y facilidad del mantenimiento y la configuracin del sistema, y el uso de productos y componentes especializados, que garantizan una funcionalidad adecuada para este tipo de sistemas. De este modo los requisitos de disponibilidad son cubiertos adecuadamente, ya que como se ha indicado es la prioridad absoluta de este tipo de sistemas. Esta tendencia, por otra parte, trae consigo un conjunto de riesgos y amenazas que deben de ser analizados y mitigados en la medida de lo posible. Estos riesgos se analizarn posteriormente. Por otro lado, sobre las comunicaciones de red se ha realizado una transicin parcial en los protocolos utilizados. Esta transicin se puede resumir en dos caractersticas diferentes: Evolucin de las comunicaciones. Histricamente, los sistemas SCADA han empleado comunicaciones serie o conexiones punto a punto va telefnica. Tras su evolucin, y en lnea con el auge del estndar de facto del protocolo TCP/IP sobre Ethernet, estas comunicaciones se han sustituido paulatinamente, otorgando as una mayor flexibilidad y potencia en las mismas. Asimismo, este cambio ha permitido el desarrollo y uso de tecnologas y productos tpicos de las TIC, que de otra forma habra resultado imposible. Encapsulacin de protocolos. Debido a la evolucin descrita, muchos protocolos tpicos de estos sistemas han sufrido una migracin hacia el estndar TCP/IP. En la mayora de los casos esta migracin ha consistido nicamente en encapsular el protocolo en lo referente a la aplicacin. Todos los expertos han destacado esta tendencia, indicando diversos motivos de la misma.
Pgina 26 de 105
Posteriormente hubo una cierta estandarizacin de uso ms generalista como Windows o Linux, y los protocolos [] se empezaron a encapsular sobre TCP/IP con la finalidad de reducir gastos y costes de los sistemas propietarios En el Anexo IV: Protocolos de SCADA, se puede encontrar un listado de protocolos propios de sistemas SCADA, tanto en sus versiones originales como las adaptadas al uso de Ethernet y TCP/IP. 3.4 GRADO DE MADUREZ DE SISTEMAS SCADA
A continuacin se profundizar en lo referente al grado de madurez de los sistemas de control y monitorizacin en tiempo real, diferenciando los componentes tpicos de un sistema SCADA. Para ello se analizarn en todos los casos tres atributos: seguridad lgica, seguridad fsica y funcionalidad. Para ilustrar de una forma grfica los componentes o partes que van a ser tratados, se utilizar como base la imagen incluida en el Anexo I, resaltando aquellos componentes que vayan a ser tratados en cada uno de los apartados siguientes. 3.4.1 Centros de control
Grfico 5: Centros de Control
Seguridad fsica. Al tratarse del ncleo de este tipo de sistemas, estos centros han contado histricamente con unas medidas de proteccin fsicas muy robustas, por lo que su nivel de madurez se considera alto.
Pgina 27 de 105
Seguridad lgica. En trminos de seguridad lgica, los centros de control y sus sistemas asociados han seguido una evolucin con diferentes tendencias, que a da de hoy continan notndose. En un principio, debido a las caractersticas de estos sistemas y ms concretamente a su aislamiento, la seguridad lgica respecto al exterior se consideraba razonable, aunque la seguridad respecto a incidentes internos era baja debido a la escasa concienciacin. En los ltimos aos, estos sistemas han comenzado a conectarse a redes pblicas e inseguras, por lo que su exposicin hacia el exterior ha crecido exponencialmente, con todos los riesgos y amenazas que eso conlleva. Por tanto, podra considerarse que en esta situacin, la seguridad lgica pas a ser baja. A da de hoy, esta tendencia est evolucionando de modo que, si bien es cierto que siguen existiendo interconexiones con el exterior, stas se encuentran mucho ms protegidas. As, se han diseado arquitecturas de red ms seguras y se han establecido mecanismos de seguridad activos y pasivos. Del mismo modo, la concienciacin respecto a la seguridad se ha incrementado notablemente en los ltimos aos, especialmente en lo referente a ataques internos, por lo que se podra considerar que la seguridad lgica est alcanzando los niveles adecuados.
Funcionalidad. Este aspecto ha sido cubierto de una forma muy eficaz desde el inicio del uso de este tipo de sistemas. Se ha basado, y an hoy se basa, en dos pilares fundamentales, que son la redundancia (tanto en lo referido al software como al hardware) y la robustez de los sistemas y equipos empleados. Comunicaciones
Grfico 6: Comunicaciones de campo
3.4.2
Fuente: INTECO
Seguridad fsica. La seguridad fsica de las comunicaciones entre diferentes centros, as como de las comunicaciones entre los centros y las posiciones
Pgina 28 de 105
finales, no ha sufrido ninguna variacin reseable, por lo que el nivel de madurez se puede considerar como medio-bajo. Esto se debe en gran medida al uso de tecnologas inalmbricas y a la extensin geogrfica cubierta por estas comunicaciones en muchos casos, dificultando ambos aspectos su securizacin. Seguridad lgica. Este aspecto en las comunicaciones es muy dependiente de la tecnologa empleada, si bien es cierto que en los ltimos aos la incipiente preocupacin por la seguridad ha fomentado la implantacin de mecanismos de cifrado, por lo que el grado de madurez a este respecto se puede considerar medio. Cabe resaltar que, cuando se trata la seguridad de las comunicaciones, se est haciendo referencia genricamente a comunicaciones entre diferentes localizaciones, no al contenido de las mismas, el cual ser abordado ms adelante. Funcionalidad. Al igual que en el caso anterior, el grado de madurez depende de la tecnologa empleada, aunque en general se puede considerar que su nivel es alto. Localizaciones
3.4.3
Grfico 7: Localizaciones de campo
Seguridad fsica. En el caso de las localizaciones de los elementos monitorizados y/o controlados, la seguridad fsica depende en gran medida de su ubicacin geogrfica, as como de la cantidad de localizaciones con las que cuente el sistema.
Pgina 29 de 105
En general, el nivel de seguridad de las posiciones de campo de los sistemas SCADA de amplia dispersin geogrfica y con una gran cantidad de posiciones finales, tradicionalmente ha sido y sigue siendo escaso salvo en algunas excepciones, ya que apenas cuentan con medidas de proteccin fsica, ya sean preventivas, de deteccin o reactivas, por lo que su grado de madurez tambin es bajo. Esta carencia de medidas de proteccin es debida principalmente a que, por su gran cantidad y dificultad de acceso geogrfico, supondra una gran inversin el implementar todas las medidas recomendables. En el caso de localizaciones fsicas de un sistema SCADA de mbito geogrfico reducido (por ejemplo, un SCADA que controla un proceso industrial), su nivel de seguridad fsica respecto a ataques externos suele ser mayor, ya que es habitual que las empresas cuenten con medidas de seguridad razonables en sus instalaciones. Sin embargo, no suelen tomarse medidas de proteccin fsica contra ataques internos, por lo que se puede considerar que su grado de madurez es medio-bajo. Seguridad lgica. Cuando se habla de seguridad lgica de las localizaciones, se hace referencia principalmente a dispositivos de campo (RTUs, PLCs o IEDs) y a los actuadores/sensores de la red. En general, su nivel de seguridad es escaso, al tratarse de componentes hardware cuyo diseo no ha tenido en cuenta la seguridad. Adems, suelen contar con software obsoleto, lo cual incrementa notablemente su inseguridad. Respecto a las comunicaciones generadas y recibidas por estos elementos, suele tratarse de comunicaciones en texto claro. Por tanto, el nivel de madurez de estos elementos es bajo. Los fabricantes incorporan distintas tecnologas, pero al mismo tiempo no saben de buenas prcticas de seguridad [] y se comenten los fallos que se cometan hace 5-10 aos en el mundo TIC Funcionalidad. Al igual que en la prctica totalidad de componentes y dispositivos de un sistema de monitorizacin y control en tiempo real, el grado de madurez en trminos funcionales es muy elevado.
A modo de resumen, globalmente el nivel de madurez respecto a la funcionalidad se puede considerar elevado, aunque en cuanto a seguridad se puede considerar escaso. El inconveniente principal es que [] pese a que nos encontramos en 2011 la mayora de los sistemas de los fabricantes son del 2006, y esto, sobre todo en seguridad, es un salto muy grande En esta valoracin de la madurez de los sistemas de monitorizacin y control en tiempo real, la opinin de los expertos consultados es unnime.
Pgina 30 de 105
APLICACIONES Y BENEFICIOS DEL USO DE LOS SISTEMAS DE MONITORIZACIN Y CONTROL EN TIEMPO REAL
4.1
BENEFICIOS DE SU USO
Para obtener una idea ms acertada sobre qu es y para qu se emplea un sistema SCADA, a continuacin se incluyen un conjunto de ejemplos de uso de los mismos, destacndose los principales beneficios que aportan. Las posibles aplicaciones son tan amplias que se agruparn de forma genrica con la ayuda de un ejemplo ilustrativo en cada caso. 4.1.1 Monitorizacin y/o gestin de un conjunto de elementos dispersos geogrficamente Este tipo de sistemas resulta de gran utilidad para controlar ciertas tareas que por sus caractersticas cuentan con elementos dispersos geogrficamente y que es necesario supervisar y en algunos casos actuar sobre ellos. Se puede tomar como ejemplo una empresa encargada de la gestin del agua y que administra el caudal de un ro mediante un conjunto de presas ubicadas a lo largo de su recorrido, controlando el volumen de agua en dichas presas. Cada una de estas presas cuenta con elementos de monitorizacin y gestin, que permiten conocer en todo momento datos relativos al volumen del agua embalsada y la cantidad de caudal que sale de la misma, as como controlar dicho caudal. En esta situacin, un sistema SCADA resulta idneo para una gestin eficaz, ya que al conocer en cada instante los datos asociados a cada una de las presas, se puede planificar y actuar de modo ms eficiente para responder a las necesidades de cada omento. En particular, permitira, por ejemplo: Mantener un volumen de agua embalsada adecuado. En funcin del caudal entrante y saliente en los embalses del comienzo del ro y del volumen de agua retenida en las siguientes presas, se pueden tomar decisiones sobre el caudal que es necesario liberar en cada una de las presas para evitar rebosamientos de las mismas. Controlar el caudal de seguridad medioambiental. En el caso de que en un tramo del ro el caudal bajase de un nivel mnimo para la seguridad medioambiental, y que la presa encargada de mantener dicho caudal tuviese un nivel muy bajo, se podra liberar agua de presas anteriores para garantizar de esta forma la seguridad medioambiental en el tramo afectado.
Pgina 31 de 105
Si bien es cierto que estas acciones podran llegar a desarrollarse de forma manual, sera necesario para ello mantener personal operario en cada una de las presas y, al ser imprescindible la intercomunicacin entre los operarios de los diferentes puestos, podran producirse errores humanos en la comunicacin, lo que podra implicar fallos en la toma de decisiones. De esta manera, el hecho de utilizar sistemas de monitorizacin y control industrial se suele traducir en un ahorro de costes y un nivel de funcionalidad ms deficiente. 4.1.2 Configuracin de mecanismos de seguridad.
Debido a las caractersticas propias de este tipo de sistemas, es posible establecer y definir ciertos mecanismos de seguridad. Como se ha apuntado anteriormente, estos mecanismos de seguridad suelen estar enfocados a mantener la disponibilidad del servicio. Por ejemplo, en un sistema que controle el suministro elctrico, se podran automatizar una serie de tareas que el sistema SCADA deba ejecutar en caso de que se detecte la posibilidad de una sobrecarga en la red. 4.1.3 Monitorizacin y gestin de un proceso industrial complejo
Los sistemas de supervisin y gestin en tiempo real tambin resultan de gran utilidad para su uso en los procesos industriales complejos. Estos procesos pueden abarcar multitud de funciones, peros siempre cuentan con un factor en comn, su dificultad para ser gestionados manualmente. En este caso, se podra tomar como modelo el proceso de fabricacin de un compuesto qumico relativamente complejo, como por ejemplo un medicamento. Este proceso de fabricacin se encontrara ubicado en una nica planta industrial, por lo que el alcance geogrfico sera limitado. A pesar de ello, contara con un conjunto de sensores y actuadores considerablemente amplio. Estos elementos se encontraran implantados a lo largo de la cadena de produccin y tendran diferentes fines, como por ejemplo medir y controlar los siguientes aspectos: la cantidad de compuestos qumicos disponibles y utilizados en cada unidad, la capacidad de los contenedores donde se almacenen los productos finales, la temperatura de los hornos, las revoluciones de un proceso de centrifugado, etc. En definitiva, los sistemas en este caso monitorizan y controlan un proceso realmente complejo, con una gran cantidad de variables susceptibles de ser modificadas y de cuyos valores depende completamente el resultado del producto final. Mediante el uso de un sistema SCADA, se puede gestionar de forma centralizada el estado actual del proceso, as como controlar en todo momento que ningn parmetro exceda los valores que se consideren adecuados. En este tipo de procesos, muchas veces las acciones que se realizan son dependientes unas de otras, por lo que la
Pgina 32 de 105
monitorizacin en tiempo real consecuencias no esperadas.
es
indispensable
para
poder
reaccionar
ante
En este caso, la gestin manual del proceso industrial resultara inviable debido a su alta complejidad, por lo que los beneficios son muy elevados. No obstante, el coste de implantar y mantener este sistema SCADA tambin es ms elevado, aunque la relacin coste beneficio contina siendo favorable. 4.1.4 Almacenamiento histrico de informacin.
Gracias al uso de sistemas de histricos en las redes SCADA, es posible disponer de informacin en tiempo real sobre el estado del proceso monitorizado. Esta informacin permite realizar anlisis que permitan mejorar el proceso, la deteccin de anomalas o estudios de patrones entre otros. 4.1.5 Monitorizacin y gestin de servicios rutinarios e infraestructuras bsicas
Un sistema SCADA no solo se puede utilizar para controlar una infraestructura crtica o una gran instalacin, sino que tambin abarcan multitud de servicios y procesos cotidianos. Ejemplo de ello son los sistemas que controlan el mecanismo de unas escaleras mecnicas. Para la concrecin de su funcionamiento se puede tomar como ejemplo un sistema que controle de forma centralizada y en tiempo real la instalacin de aire acondicionado de un edificio. En este caso, los elementos gestionados son tanto los equipos de refrigeracin, como la propia instalacin encargada de distribuir el aire frio. Mediante el sistema SCADA, se puede controlar todo el proceso relativo a la refrigeracin, como puede ser la temperatura del aire generado, la intensidad, el tiempo en el que est funcionando, etc. Asimismo, puede monitorizarse un conjunto de sensores en las salas, que miden en tiempo real la temperatura de cada una de ellas, enviando alarmas en caso de que la temperatura de una sala no se encuentre dentro de un rango predefinido. De este modo, se puede programar un proceso que se encargue de alterar el flujo de aire para corregirlo, o simplemente esperar a que un operador realice la accin oportuna. Este tipo de monitorizacin y control est muy extendido y se puede encontrar en multitud de instalaciones, pero es de vital importancia en algunas de ellas en las que mantener las condiciones ambientales dentro de unos parmetros determinados puede ser un factor esencial para su funcionamiento, como puede ser en el caso de los Centros de Procesos de Datos (CPDs). El principal beneficio de los sistemas SCADA en estos casos es la simplificacin de la gestin de un elemento, en este caso la temperatura, en funcin de las necesidades y usos de cada sala. De este modo, se obtiene una mayor eficiencia energtica y, por tanto, una reduccin de costes. Adicionalmente, en los casos en que las condiciones
ambientales son esenciales, se pueden obtener mejores resultados econmicos, al poder detectarse y corregirse rpidamente las posibles incidencias, evitando situaciones que implicasen perjuicios econmicos. Los costes de este sistema SCADA no seran especialmente elevados, debido al mbito reducido del mismo, as como a la sencillez del proceso controlado. 4.2 ANLISIS SECTORIAL
La amplitud de sus aplicaciones provoca que los sistemas SCADA se utilicen en una gran variedad de sectores, aunque su peso y relevancia es dispar. A continuacin se sealan los principales sectores en los que se emplean: Energa Generacin. Los sistemas SCADA tienen una amplia presencia en el sector de la energa, especialmente en las plantas de generacin de energa, como por ejemplo, centrales nucleares, centrales hidroelctricas, etc. No obstante tambin existen instalaciones ms pequeas, como pueden ser los huertos solares. Estas plantas de generacin tienen un grado de dependencia prcticamente absoluto de este tipo de sistemas, ya que actualmente mantener su operativa y funcionalidad sin los sistemas de control es inviable. Energa Transmisin y distribucin. Al igual que en la generacin, los sistemas SCADA se encuentran ampliamente extendidos en la distribucin de energa, como por ejemplo el sistema elctrico de transmisin, la red de gaseoductos, etc. Al igual que en el caso anterior, dentro de este mbito se encuentran instalaciones ms reducidas, como puede ser la infraestructura elctrica de un edificio o instalacin. Estos sistemas de transmisin y distribucin tienen un grado de dependencia muy alto respecto a esta tecnologa, ya que al igual que en el caso anterior, mantener la operativa y funcionalidad sin sistemas SCADA es muy difcil. Transporte. El uso e implantacin de sistemas y SCADA en el sector transporte es, en trminos relativos, reciente, sobre todo tomando como referencia sectores histricos en el uso de SCADA como el de Energa. Su finalidad principal suele ser la monitorizacin del estado de las vas de circulacin (ya sean vas frreas, carriles, puentes, etc.). Si bien es cierto que en este mbito tambin se utilizan diversos componentes de control remoto, como pueden ser elementos de balizamiento, sealizacin, actuadores mecnicos (cambio de va, elevacin de un puente levadizo, cambio de color de la sealizacin, etc.).
Pgina 34 de 105
El grado de dependencia de las empresas del sector transportes es dispar, aunque en general es bastante bajo, siendo en muchos casos nulo. Ms concretamente, aquellas empresas del sector transportes que hacen uso de este tipo de sistemas poseen capacidad suficiente para operar con relativa normalidad en caso de fallo de dichos sistemas. El nivel de seguridad es superior, en trminos generales, al de otros sectores, en parte debido a su baja dependencia de ellos pero tambin a causa de su relativa novedad, que ha permitido que la implantacin se haya desarrollado en momentos de madurez tecnolgica en los que la seguridad ya era una consideracin indispensable. Agua. En el caso del sector del agua, los sistemas SCADA son utilizados principalmente para los procesos de potabilizacin, distribucin y tratamiento de aguas. Debido a la extensin geogrfica de dichas instalaciones, se pueden incluir tanto grandes sistemas SCADA, por ejemplo el sistema que controla el abastecimiento de una regin, como pequeos sistemas SCADA, como puede ser el relativo a una planta de tratamiento de aguas residuales o incluso el encargado de monitorizar y controlar el sistema de riego en una explotacin agrcola. El grado de dependencia de estos sistemas en empresas de este sector es muy variado, abarcando desde las muy dependientes (distribucin de agua potable a una regin) hasta las poco dependientes (sistema de riego). El grado de madurez tambin vara, aunque como en casi todos los sistemas SCADA, en general, el grado de madurez relativo a la funcionalidad es elevado. Industria qumica / Industria de manufacturacin. El uso de sistemas SCADA en las instalaciones de la industria qumica y de manufacturacin se encuentra relativamente extendido, ms concretamente en los procesos industriales asociados. Estos sistemas se encargan de monitorizar y controlar los diferentes pasos de dichos procesos, as como de los parmetros asociados a los mismos (temperatura, cadencia, cantidades, etc.). El grado de dependencia de estos sistemas en empresas de este sector es relativamente alto. Otros (Alimentacin, Salud, Instalaciones de Investigacin). La implantacin y uso de sistemas SCADA en estos sectores es ms reciente y especialmente variada. Por ltimo, y como ya se ha sealado, existen diversas funcionalidades o servicios que son transversales a varios sectores y que se pueden gestionar mediante sistemas SCADA a menor escala, como por ejemplo el sistema de monitorizacin y control del aire acondicionado en un edificio, la red de comunicaciones de cmaras de videovigilancia, el sistema de monitorizacin y control de elementos fsicos como escaleras mecnicas, ascensores, etc. Estos pequeos sistemas SCADA son relativamente recientes y el grado
Pgina 35 de 105
de dependencia de las empresas que los utilizan respecto a los mismos es, en general, bajo debido a que las tareas que gestionan no son vitales para su negocio. 4.3 USOS FUTUROS
El principal campo de evolucin y nuevos usos o aplicaciones de los sistemas SCADA es el relativo al concepto de SmartGrid. Este trmino se podra traducir y resumir como red de distribucin de energa inteligente. En este caso, la distribucin tiene un alcance mayor que los sistemas SCADA tradicionales de distribucin, ya que llega hasta los propios usuarios finales a travs de contadores inteligentes, los cuales son la clave del SmartGrid. La estructura de un SmartGrid es anloga a la de los sistemas SCADA descritos, siendo los contadores inteligentes los elementos finales monitorizados y gestionados. El principal beneficio que se consigue con el uso de este tipo de sistemas es la obtencin de informacin ms precisa del estado de la red de distribucin. Al contar con datos en tiempo real del consumo energtico de los usuarios finales, las compaas distribuidoras tendrn ms informacin para la toma de decisiones o la resolucin de problemas. En consecuencia, permitir lograr una mayor eficiencia energtica, al conocer en tiempo real la demanda y consumo de cada uno de los usuarios finales. Por ejemplo, para optimizar el balance de generacin y consumo de energa, se podran aplicar tarifas en funcin del consumo global en las franjas horarias y de forma ms efectiva que en la actualidad. Otro aspecto a considerar es el ahorro econmico que supone el uso de contadores inteligentes. La gestin y monitorizacin de los mismos (estado, lecturas de consumo, etc.) se puede realizar de forma remota y automatizada. Por ltimo, pero no por ello menos importante, la implantacin y uso de estos contadores inteligentes ayudar a concienciar a los usuarios finales sobre su consumo energtico. Los clientes podran acceder en todo momento a dichos contadores para consultar su consumo actual y acumulado, el CO2 emitido durante la generacin energtica, y el coste econmico del consumo. En Espaa, la implantacin y despliegue de estos contadores inteligentes se encuentra en fase inicial. Segn la Orden del Ministerio de Industria, Turismo y Comercio 3860/2007, del 28 de diciembre, en la Disposicin adicional primera, se establece que, En cualquier caso, estos equipos mencionados [en referencia a los contadores] debern ser sustituidos antes del 31 de diciembre de 2018.
Pgina 36 de 105
REGULACIN: LEGISLACIN APLICABLE ESTNDARES INTERNACIONALES
Actualmente no existe un marco normativo unificado de aplicacin general a los sistemas SCADA que regule de forma conjunta y para todos los sectores las cuestiones ms relevantes en la materia. Es importante recalcar que debido a que los sistemas SCADA se encuentran ligados a muy distintos sectores, es recomendable estudiar la legislacin, regulacin o normativas existentes para cada sector especfico en el que se encuentren operando 2. La aparicin y auge de nuevos riesgos y amenazas, tanto regional como globalmente, as como la materializacin de los mismos, como pueden ser los atentados del 11-S en Estados Unidos, han generado una mayor preocupacin en la seguridad, especialmente en la proteccin de infraestructuras crticas. En muchos de los casos, estas infraestructuras crticas son monitorizadas y/o controladas por sistemas SCADA, por lo que se researn las principales normativas y leyes de aplicacin. En los ltimos aos se han emprendido diversas actuaciones normativas en materia de infraestructuras crticas en el mbito nacional, como es la aprobacin por parte de la Secretara de Estado de Seguridad del Ministerio del Interior de Espaa de un Plan Nacional de Proteccin de las Infraestructuras Crticas (en adelante PNPIC), as como la elaboracin de un primer Catlogo Nacional de Infraestructuras Estratgicas. Adems, a da de hoy se cuenta con el Centro Nacional para la Proteccin de las Infraestructuras Crticas (en adelante CNPIC), rgano director y coordinador de cuantas actividades relacionadas con la proteccin de las infraestructuras crticas tiene encomendadas la Secretara de Estado de Seguridad del Ministerio del Interior de Espaa a la que se encuentra adscrito. Existe una ley de infraestructuras crticas que establece las responsabilidades, existe un reglamento de cmo hacerlo, y existen instrucciones tcnicas de cmo redactar estos planes de seguridad A continuacin se detalla la normativa de aplicacin al control de las Infraestructuras Crticas mediante la utilizacin de sistemas SCADA o bien cualquier otro sistema.
2 De entre las diferentes regulaciones especficas, cabe destacar la existencia de normas y estndares establecidos segn distintas organizaciones. Estos pueden consultarse en el documento publicado por ENISA Protecting Industrial Control Systems. Recommendations for Europe and Member States, especialmente en su exhaustivo Anexo III ICS Security Related Standards, Guidelines and Policy Documents. Dicho anexo est disponible en http://www.enisa.europa.eu/act/res/other-areas/ics-scada/annex-iii.
Pgina 37 de 105
5.1
NORMATIVA EUROPEA
Comunicacin de la Comisin al Consejo y al Parlamento Europeo, del 20 de octubre de 2004, sobre Proteccin de infraestructuras crticas en la lucha contra el terrorismo 3 Dicha Comunicacin describe las acciones que la Comisin ha venido adoptando hasta su fecha de emisin de cara a proteger adecuadamente las Infraestructuras Crticas (en adelante IC) y, adicionalmente, propone determinadas medidas dirigidas a la consolidacin de los diversos instrumentos existentes para mejorar la prevencin, preparacin y respuesta de los pases miembros de la Unin Europea frente a atentados terroristas que pudiesen afectar a las mencionadas IC. En lnea con lo anterior, en su apartado 3.1 se define a las IC como aquellas instalaciones, redes, servicios y equipos fsicos y de tecnologa de la informacin cuya interrupcin o destruccin tendra un impacto mayor en la salud, la seguridad o el bienestar econmico de los ciudadanos o en el eficaz funcionamiento de los gobiernos de los Estados miembros. En concreto, seala que seran IC las siguientes: Centrales y redes de energa. Por ejemplo las relacionadas con electricidad, produccin de petrleo y gas, instalaciones de almacenamiento y refineras, sistemas de transmisin y distribucin. Tecnologas de las comunicaciones y la informacin. Se incluiran todas las infraestructuras necesarias para el funcionamiento de las telecomunicaciones, sistemas de radiodifusin, programas informticos, soporte fsico y redes, e Internet. Finanzas. Por ejemplo las que mantengan en funcionamiento la banca y los sistemas de valores e inversin. Salud. Hospitales, centros de atencin sanitaria y de suministro de sangre, laboratorios y empresas farmacuticas, bsqueda, rescate y servicios de urgencia. Alimentacin. Por ejemplo las infraestructuras que afecten a la seguridad alimentaria, los medios de produccin o a mayoristas e industria alimentaria.
COM (2004) 702 final no publicada en Diario Oficial.
Pgina 38 de 105
Agua. Incluyendo desde las redes de distribucin hasta los embalses y los sistemas de almacenamiento y tratamiento. Transporte. Aeropuertos, puertos, instalaciones intermodales, ferrocarril, redes de transporte pblico y sistemas de control de trfico formaran parte de este grupo. Mercancas peligrosas. Produccin, almacenamiento y transporte, ya sean materiales qumicos, biolgicos, radiolgicos o nucleares. Estado. En este grupo se incluyen diversidad de casos, como servicios crticos, instalaciones, redes de informacin o monumentos principales.
Adems de sealar la tipologa de IC, esta comunicacin tambin pone de manifiesto que sern los propios Estados miembros los que debern determinar sus respectivas IC. Para ello debern atender a la frmula armonizada establecida a nivel europeo, conjuntamente con los organismos o personas responsables de su proteccin o seguridad. Igualmente, se prev la creacin de un Programa a nivel europeo con el fin de definir las infraestructuras que pudiesen tener una dimensin transnacional y que debieran ser protegidas. Dicho Programa se constituir como una herramienta de ayuda a las empresas y Administraciones Pblicas para integrar las variables de la amenaza y sus consecuencias en sus evaluaciones de riesgo para las IC. Por ltimo, sealar que al amparo de esta norma se ha creado una red de informacin sobre alertas en materia de IC denominada CIWIN (Critical Infrastructure Warning Information Network) cuyo fin es agrupar a los especialistas en la materia de los Estados miembros de la Unin Europea. Comunicacin de la Comisin, de 12 de diciembre de 2006, sobre un Programa Europeo para la Proteccin de Infraestructuras Crticas 4 (PEPIC) El objetivo general del PEPIC, segn se indica en su apartado 2.1., es el de mejorar la proteccin de las IC de la Unin Europea mediante la creacin de un marco comn en el seno de la misma relativo a su proteccin. A tal efecto, se definen las Infraestructuras Crticas Europeas (en adelante, ICE) como aquellas infraestructuras crticas designadas que son de mayor importancia para la Comunidad y cuya interrupcin o destruccin afecte a dos o ms Estados miembros, o a un solo Estado miembro si la infraestructura crtica est situada en otro Estado miembro. Esto incluye los efectos transfronterizos
COM (2006) 786 final Diario Oficial C 126 de 7 de junio de 2007.
Pgina 39 de 105
resultantes de interdependencias entre infraestructuras interconectadas en varios sectores. Asimismo, en este documento ya se seala que se deber establecer mediante una Directiva el procedimiento para identificar y designar las ICE, al igual que el enfoque comn para la evaluacin de las necesidades de mejorar la proteccin de tales infraestructuras. Directiva 2008/114/CE del Consejo, de 8 de diciembre, sobre Identificacin y Designacin de Infraestructuras Crticas Europeas y la Evaluacin de la Necesidad de Mejorar su Proteccin 5 El objeto fundamental de esta Directiva comunitaria no es otro que el de establecer un procedimiento de identificacin y designacin de las ICE, as como un planteamiento comn para evaluar la necesidad de mejorar la proteccin de dichas infraestructuras con el fin de contribuir a la proteccin de la poblacin. A estos efectos, el artculo 2 a) define la IC como el elemento, sistema o parte de ste, situado en los Estados miembros que es esencial para el mantenimiento de funciones sociales vitales, la salud, la integridad fsica, la seguridad, y el bienestar social y econmico de la poblacin y cuya perturbacin o destruccin afectara gravemente a un Estado miembro al no poder mantener esas funciones. En esta Directiva se establece tambin que la responsabilidad principal y ltima de proteger las ICE corresponde a los Estados miembros y a los operadores de las mismas (pblicos o privados). Del mismo modo, determina el desarrollo de una serie de obligaciones y de actuaciones por aqullos, que deben incorporarse a las legislaciones nacionales. En el caso de Espaa, dado que las actuaciones necesarias para optimizar la seguridad de las IC se enmarcan principalmente en el mbito de la proteccin contra agresiones deliberadas y, especialmente, contra ataques terroristas, stas se encuentran lideradas por el Ministerio del Interior.
DOL, 23 de diciembre, de 2008, nm. 345, pgina 75.
Pgina 40 de 105
5.2
NORMATIVA ESPAOLA
Ley 8/2011, de 28 de abril, de Medidas para la Proteccin de las Infraestructuras Crticas 6 La Ley de Proteccin de Infraestructuras Crticas (en adelante PIC) tiene por objeto establecer las estrategias y las estructuras adecuadas que permitan dirigir y coordinar las actuaciones de los distintos rganos de las Administraciones Pblicas en materia de proteccin de IC. Para ello, previamente se ha de llevar a cabo la identificacin y designacin de las mismas, para mejorar la prevencin, preparacin y respuesta del Estado frente a atentados terroristas u otras amenazas que afecten a dichas IC. A la par, esta Ley PIC regula las obligaciones que deben asumir tanto las Administraciones Pblicas como los operadores de infraestructuras crticas. De esta manera, el artculo 2.e) define las IC como las infraestructuras estratgicas cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbacin o destruccin tendra un grave impacto sobre los servicios esenciales. Por otro lado, regula lo que se conoce como el Sistema de Proteccin de Infraestructuras Crticas, que se compone de una serie de instituciones, rganos y empresas, procedentes tanto del sector pblico como del privado, con responsabilidades en el correcto funcionamiento de los servicios esenciales o en la seguridad de los ciudadanos. Como ya se ha sealado, en Espaa las actuaciones referentes a la seguridad de las IC estn lideradas por el Ministerio del Interior. Sin embargo, la seguridad de las IC exige tener en cuenta tambin otro tipo de actuaciones que vayan ms all de la mera proteccin material contra eventuales ataques, por lo que se involucra a otros rganos del Estado e incluso del sector privado. Asimismo, en virtud de la Ley PIC se crea el Centro Nacional para la Proteccin de Infraestructuras Crticas (CNPIC), rgano de asistencia al Secretario de Estado de Seguridad en la ejecucin de las funciones que se le encomiendan a ste como rgano responsable del Sistema de Proteccin de Infraestructuras Crticas. Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de proteccin de las infraestructuras crticas 7 Este Real Decreto desarrolla determinados aspectos de la Ley PIC a fin de concretar las actuaciones de los distintos rganos integrantes del Sistema de Proteccin de Infraestructuras Crticas, as como los diferentes instrumentos de planificacin del mismo.
6 7
B.O.E. nm. 102, de 29 de abril. B.O.E. nm. 121, de 21 de mayo.
Pgina 41 de 105
Tambin establece una serie de obligaciones especficas que debern asumir tanto el Estado como los operadores de las IC. A continuacin se detallan otros documentos espaoles de especial inters: Plan Nacional de Proteccin de las Infraestructuras Crticas (PNPIC) 8 El PNPIC es el instrumento de programacin del Estado elaborado por la Secretara de Estado de Seguridad y dirigido a mantener seguras las infraestructuras espaolas que proporcionan los servicios esenciales a la sociedad. Por ello, el PNPIC contempla la puesta en marcha de medidas concretas para hacer frente a las amenazas existentes sobre determinados sectores estratgicos, contemplndose la inclusin de las IC en los siguientes doce sectores consideramos como estratgicos: 1) administracin; 2) alimentacin; 3) energa; 4) espacio; 5) sistema financiero y tributario; 6) agua; 7) industria nuclear; 8) industria qumica; 9) instalaciones de investigacin; 10) salud; 11) tecnologas de la informacin y las comunicaciones y 12) transporte. Adicionalmente, est previsto que se establezcan determinados Planes Estratgicos Sectoriales que debern incluir las medidas a adaptar dentro de cada uno de los sectores anteriormente citados para hacer frente a su situacin de riesgo, estando articulados mediante el Plan de Seguridad del Operador en el que cada operador (pblico o privado) deber definir la poltica general de seguridad del conjunto de instalaciones o sistemas de su propiedad o gestin considerados crticos, as como un Plan de Proteccin Especfico para cada instalacin de las IC. Acuerdo para la Proteccin de Infraestructuras Crticas 9 En virtud de este Acuerdo se establece el marco estructural que permitir dirigir y coordinar las actuaciones precisas para proteger las IC en la lucha de Espaa contra el terrorismo. En concreto, este Acuerdo trata los siguientes aspectos: Se designa a la Secretara de Estado de Seguridad como rgano responsable de la direccin, coordinacin y supervisin de la proteccin de las IC nacionales, dirigiendo as el PNPIC. Se define la documentacin que se deber contener el Catlogo Nacional de Infraestructuras Estratgicas, calificada como secreta dada la alta sensibilidad de dicha informacin para la seguridad del pas.
8 9
Aprobado por el Secretario de Estado de Seguridad, de 7 de mayo de 2007. Aprobado por el Consejo de Ministros el 2 de noviembre de 2007.
Pgina 42 de 105
Se crea dentro de la Secretara de Estado de Seguridad el CNPIC que ser el encargado de custodiar y actualizar el PNPIC y el Catlogo indicado anteriormente.
Catlogo Nacional de Infraestructuras Estratgicas El objetivo primordial de este Catlogo es la recopilacin ordenada y sistemtica de la informacin de las principales infraestructuras estratgicas de Espaa. Para ello, recoge la lista detallada de las IC espaolas, incluyendo su descripcin, los medios de contacto con las mismas, el tipo de instalacin, datos geogrficos y de localizacin, informacin de seguridad, riesgos evaluados, informacin de las fuerzas de seguridad e informacin audiovisual. Este Catlogo comprende ms de 3.500 instalaciones e infraestructuras sensibles. Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad Su objeto es establecer la poltica de seguridad en la utilizacin de medios electrnicos y est constituido por principios bsicos y requisitos mnimos que permitan una proteccin adecuada de la informacin. La finalidad del Esquema Nacional de Seguridad (ENS) es crear las condiciones necesarias para la confianza en el uso de los medios electrnicos, a travs de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrnicos, que permita el ejercicio de derechos y el cumplimiento de deberes a travs de estos medios. Persigue fundamentar la confianza en que los sistemas de informacin prestarn sus servicios y custodiarn la informacin de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control y sin que la informacin pueda llegar al conocimiento de personas no autorizadas. Al objeto de crear estas condiciones, el ENS introduce los elementos comunes que han de guiar la actuacin de las Administraciones Pblicas en materia de seguridad de las tecnologas de la informacin. Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el mbito de la Administracin Electrnica Su objeto es comprender el conjunto de criterios y recomendaciones en materia de seguridad, conservacin y normalizacin de la informacin, de los formatos y de las aplicaciones que debern ser tenidos en cuenta por las Administraciones Pblicas para la toma de decisiones tecnolgicas que garanticen la interoperabilidad.
Pgina 43 de 105
El Esquema Nacional de Interoperabilidad (ENI) persigue la creacin de las condiciones necesarias para garantizar el adecuado nivel de interoperabilidad tcnica, semntica y organizativa de los sistemas y aplicaciones empleados por las Administraciones Pblicas, que permita el ejercicio de derechos y el cumplimiento de deberes a travs del acceso electrnico a los servicios pblicos, a la vez que redunda en beneficio de la eficacia y la eficiencia. Al objeto de crear estas condiciones, el ENI introduce los elementos comunes que han de guiar la actuacin de las Administraciones Pblicas en materia de interoperabilidad. 5.3 ORGANIZACIONES INTERNACIONALES
A nivel internacional, organismos que son considerados de referencia relativos a la proteccin de infraestructuras crticas y sistemas SCADA son: Reino Unido Centre for the Protection of National Infrastructure (CPNI). Organismo dependiente del gobierno del Reino Unido, es el encargado de regular y velar por la seguridad de las infraestructuras crticas en dicho pas, siendo el equivalente al CNPIC espaol. Las guas desarrolladas por este organismo han sido utilizadas como referencia por el CCN-CERT espaol para el desarrollo de las equivalentes nacionales. Estados Unidos American Gas Association (AGA). Organizacin de proveedores de gas en Estados Unidos. Entre otras publicaciones, ha desarrollado un estndar para la proteccin criptogrfica de las comunicaciones en sistemas SCADA, con el objetivo de protegerlos de ataques informticos: AGA 12: Cryptographic Protection of SCADA Communications. North American Electric Reliability Corporation (NERC). Corporacin sin fines lucrativos formada en marzo de 2006. Su objetivo es asegurar la seguridad del transporte de energa elctrica en Estados Unidos, proveyendo para ello guas para la proteccin de infraestructuras crticas. National Institute of Standards and Technology (NIST). Este instituto de estndares americanos para la tecnologa proporciona guas para la seguridad de sistemas de control industrial, entre las que se incluyen, por ejemplo: NIST Special Publication 800-82 - Guide to Industrial Control Systems (ICS) Security. Department of Homeland Security (DHS). Departamento gubernamental encargado de proteger Estados Unidos frente a ataques terroristas y desastres
Pgina 44 de 105
naturales. La divisin de seguridad informtica (National Cyber Security) es la responsable de la seguridad informtica en Estados Unidos, ha publicado la gua Cyber Security Procurement Language for Control Systems, donde se establece, entre otras cosas. las medidas de seguridad a tomar en sistemas SCADA. Europa European Network and Information Security Agency (ENISA). Esta agencia europea est dedicada a la seguridad de la informacin. Cuenta con la colaboracin de diferentes agentes de los pases europeos y ha publicado, entre otros, el mencionado documento Protecting Industrial Control Systems. Recommendations for Europe and Member States.
Pgina 45 de 105
RIESGOS PARA LA SEGURIDAD DE LOS SISTEMAS DE MONITORIZACIN Y CONTROL EN TIEMPO REAL
6.1
CAUSAS DEL ESCENARIO ACTUAL DE RIESGO
Desde sus orgenes, los sistemas SCADA han sido un objetivo de potenciales ataques con motivaciones variadas. Este foco de atencin se ha debido principalmente a la funcionalidad de estos sistemas: la posibilidad de controlar algn tipo de proceso, o al menos recabar informacin de los mismos en tiempo real. Sin embargo, estos riesgos y amenazas, debido al aislamiento caracterstico de estos sistemas en sus orgenes, se limitaban principalmente a ataques fsicos y/o internos. Con el paso de los aos, el riesgo de sufrir algn tipo de ataque se ha incrementado notablemente y, aunque no existe consenso entre los expertos sobre el nivel de amenaza, s que se valora en todo momento entre medio y alto. Los sistemas de telecontrol siempre han estado histricamente en riesgo. El riesgo principal era una intrusin fsica, y a medida que han ido evolucionando los sistemas y encontrndose ms expuestos, el nmero de amenazas aplicables ha aumentado Las causas que han ayudado al actual dficit de seguridad son mltiples y variadas, aunque se pueden destacar las siguientes: Exceso de confianza en la seguridad por oscuridad Una idea manifestada mayoritariamente por los expertos consultados es que entre algunos profesionales del sector TIC est extendida la concepcin de que la ausencia de informacin pblica sobre una tecnologa o producto ofrece altos niveles de seguridad al mismo. Este hecho es directamente aplicable a los sistemas SCADA, ya que por un lado, las tecnologas empleadas histricamente han sido propietarias y cerradas, y por otro lado muy pocos profesionales conocan cmo funcionaba un sistema SCADA, cul era su topologa, sus componentes, etc. Esta falsa creencia se da por todo el sector de control, por lo que he ido encontrado es una consideracin entre los tcnicos, operadores, los ingenieros, los fabricantes, los proveedores, los proveedores de los fabricantes, etc. Sin embargo, el desconocimiento general de la tecnologa empleada no puede considerarse un mecanismo de seguridad aceptable ni ser el nico utilizado, ya que una persona interesada en atacar un sistema SCADA siempre podra estudiar y analizar una
instalacin real, desarrollando y empleando diversas tcnicas de recopilacin de informacin. De hecho, es posible que un potencial atacante ya tuviese conocimientos sobre su objetivo puesto que los ataques pueden proceder de los propios empleados. Minimizacin de riesgos y amenazas Segn han declarado los expertos consultados, muchos responsables de sistemas SCADA consideran que sus instalaciones carecen de inters para potenciales atacantes, lo que reduce a su juicio la necesidad de seguridad de las mismas. Los mismos expertos, creen que esta consideracin no se corresponde con la realidad, ya que cualquier sistema es un objetivo potencial para todo tipo de atacantes, ya tengan su motivacin en generar perjuicios o simplemente demostrar sus capacidades. Por otro lado, no hay que olvidar que, al contrario de lo que en ocasiones se cree, la mayora de los ataques proceden del interior de la propia compaa. Ampliacin de visibilidad Posiblemente se trata de una de las principales causas de riesgos segn los profesionales relacionados con la seguridad. Los sistemas SCADA en sus orgenes no fueron pensados para ser interconectados con redes externas no confiables, como por ejemplo, Internet o las redes corporativas. Esto es destacado por los expertos consultados, ya que la actual interconexin ha provocado la aparicin de nuevos riesgos o amenazas para los que estos sistemas no estaban diseados. El incremento de las conexiones a Internet de los sistemas SCADA es lo que les ha puesto en riesgo Ausencia de concienciacin del personal A pesar de ser una caracterstica que se puede considerar implcita en las anteriores, y aunque no es nica de los sistemas de control y monitorizacin en tiempo real, no por ello es menos importante. La concienciacin del personal en todos los niveles jerrquicos, tanto del personal operativo como de la alta direccin, es esencial y se ha hecho ms necesaria en los ltimos tiempos debido a los cambios que han sufrido estos sistemas, ya que en algunos casos estos cambios han producido una merma de seguridad o al menos un aumento de los riesgos. Los expertos consultados coinciden mayoritariamente en este aspecto, si bien en algunos casos limitan la necesidad de concienciacin al personal operador, mientras en otros incluyen tanto al personal operador como a la alta direccin. Habra que concienciar en primer lugar a la direccin, y que luego eso fluyera hacia los empleados y operadores
Pgina 47 de 105
Interconexin de los sistemas SCADA con redes externas Actualmente, los sistemas SCADA se han integrado y conectado a redes que se semiconfiables 10, como puede ser la red corporativa, o no confiables, como Internet. Claramente, esta conectividad es un factor que incrementa los posibles orgenes de ataques. Entre estas conexiones se puede establecer una diferenciacin entre las conexiones controladas y las no controladas. Se considera que una conexin controlada sera aquella en la que se establece una conexin fsica y/o lgica entre dos redes diferentes, habilitando dicha conexin en los firewalls o cortafuegos correspondientes y tomando las precauciones adecuadas. Por otro lado, una conexin no controlada sera aquella en la que, por ejemplo, un equipo que se encuentra ubicado y conectado al sistema SCADA, tambin se conecta a la red corporativa, o incluso a Internet sin las precauciones necesarias. Se trata de la principal fuente de riesgos en lo referente a las conexiones, ya que este equipo ofrecera de forma indirecta conectividad entre diferentes redes. En el caso de que se conectase a Internet para tener acceso al correo electrnico o a la navegacin web, si un atacante de forma intencionada, o incluso un virus de forma indirecta, comprometiese dicho equipo, el sistema SCADA en su conjunto quedara completamente comprometido. Uso de tecnologas y soluciones de propsito general La adopcin de este tipo de tecnologas conlleva un riesgo intrnseco a las mismas, la incorporacin de todas las vulnerabilidades que se descubren y, en algunos de los casos, publican antes de su correccin. Dichas vulnerabilidades afectan directamente a la seguridad de este tipo de sistemas. Asimismo, un potencial atacante que tenga como objetivo estos sistemas poseer los conocimientos necesarios para tratar de lograr su meta, tal y como describen los expertos consultados. Antes haba que tener un conocimiento ms profundo para utilizar estos dispositivos [], pero ahora utilizan interfaces web, los mensajes se intercambian en paquetes TCP []. Desde el punto de vista de un atacante es mucho ms fcil atacar un SCADA hoy que hace 10 aos Generalizacin y expansin del uso de sistemas de monitorizacin y control Este tipo de sistemas nacieron para ser empleados en grandes procesos e instalaciones, como puede ser reas de generacin y transmisin de energa, procesos industriales, etc. Sin embargo, con el auge de las TIC, este tipo de sistemas comenzaron a implantarse para la monitorizacin y control de procesos menos crticos y ms reducidos. De este
10 Se considera que una red es semi confiable aquella que pertenece a una organizacin u organismo reconocido, pero sobre la cual no se tiene control directo para garantizar su seguridad.
Pgina 48 de 105
modo, actualmente se pueden encontrar sistemas de supervisin y gestin en tiempo real en cualquier proceso de fabricacin aunque se trate de una pequea instalacin. Debido a una ausencia de concienciacin en cuanto a seguridad en las pequeas organizaciones que incorporaron estos sistemas, en muchos casos no se tuvieron en cuenta los requisitos necesarios para garantizar una seguridad razonable. En la operativa diaria, los riesgos que se pueden encontrar son [] especialmente, estaciones de trabajo de operador inseguras [] integradas con Internet y con la red corporativa, lo cual es un vector de ataque adicional para la materializacin de riesgos Escasa evolucin Otra caracterstica tpica de estos sistemas, y que se considera como una fuente de riesgos por parte de los expertos consultados, es su escasa evolucin. Debido a que su objetivo principal es la disponibilidad, los sistemas SCADA suelen sufrir muy pocas modificaciones a lo largo del tiempo, ya que se suelen considerar peligrosas al poder introducir algn fallo o problema que afecte negativamente en su rendimiento. Por otro lado, estos cambios pueden omitirse tambin en algunos casos porque suelen conllevar un alto coste econmico, debido en buena medida a la especializacin de los componentes y al amplio mbito geogrfico en el cual suelen estar desplegados. Configuraciones por defecto Los expertos consultados tambin han sealado que en su experiencia profesional se han encontrado en muchos casos con configuraciones por defecto en los equipos y dispositivos que forman estos sistemas. Se trata de una situacin de riesgo que puede provocar problemas de seguridad, ya que este tipo de configuraciones no se encuentran adaptadas a las necesidades de estos sistemas y son ms fciles de manipular que en el caso de haberse modificado. Arquitecturas de red poco seguras Finalmente, otra de las posibles circunstancias que afectan a la seguridad de estos sistemas es su arquitectura de red. Debido en buena medida a otras circunstancias ya analizadas, como la falta de concienciacin o la extensin de estos sistemas sin controles de seguridad, los expertos consultados afirman haber encontrado sistemas que no mantenan una arquitectura de red segura, es decir, una disposicin de los diferentes componentes y sus comunicaciones de forma que se dificulten las intrusiones o la intercepcin/suplantacin de comunicaciones.
Pgina 49 de 105
6.2
MOTIVACIN DE LOS ATACANTES
Si bien las motivaciones de los posibles atacantes no difieren especialmente respecto a las que se encuentran al analizar otros sistemas de informacin, estos sistemas cuentan con ciertas peculiaridades. La principal caracterstica diferenciadora es que en estos casos, una accin informtica puede suponer una accin en el mundo material. De este modo, mientras que un ataque en un sistema TIC habitual generalmente puede suponer un robo de informacin o una interrupcin de un servicio, en este caso la consecuencia es una manipulacin de elementos fsicos. Por otro lado, es necesario sealar que al tratarse de sistemas que son utilizados casi exclusivamente por empresas, la posibilidad de ataques internos, es decir, por parte de empleados e incluso ex-empleados, o por motivos de competencia es ms probable que en otros casos. Las principales motivaciones de los atacantes segn los expertos consultados son: Terrorismo / Ciberterrorismo. La amenaza terrorista sobre infraestructuras crticas y, por consiguiente, sobre sistemas SCADA, ha sido una constante a lo largo del tiempo. Inicialmente, esta amenaza se limitaba al mbito fsico, debido al aislamiento de dichos sistemas y a la ausencia de conocimientos tecnolgicos por parte de los grupos terroristas, adems de que resultaban mucho ms sencillos y efectivos los ataques fsicos contra las instalaciones. Esta tendencia ha evolucionado a lo largo del tiempo, y la amenaza de ataques ciberterroristas contra los sistemas SCADA es real. Esta amenaza no se considera exclusiva de las Infraestructuras Crticas, ya que los SCADA que controlan ciertos procesos productivos podran ser objetivos para su manipulacin por las consecuencias que derivaran, ya sea porque utilicen productos peligrosos, qumicos por ejemplo, o porque controlen procesos en los que un fallo supondra una peligrosidad, por ejemplo calderas de alta presin. Geopoltica. En campo el poltico, ms concretamente en el mbito internacional, la amenaza contra los sistemas SCADA se ha incrementado exponencialmente. Las tensiones geopolticas y diplomticas entre naciones pueden dar lugar a ataques cibernticos encubiertos, cuya autora suele ser prcticamente imposible de determinar con certeza. Activismo ideolgico. Diferentes grupos o colectivos pueden llegar a realizar un ataque contra sistemas SCADA por motivos ideolgicos, ya que estos sistemas se utilizan en muy diferentes campos y para diversos fines. Entre estas motivaciones ideolgicas se pueden encontrar razones polticas, medioambientales, sanitarias, ticas, etc.
Pgina 50 de 105
Empleados descontentos. Una de las principales fuentes de amenaza provienen del interior de la empresa, es decir, de empleados descontentos. Al igual que en cualquier empresa, existe la posibilidad de que un empleado descontento con su trabajo, o por otros motivos, realice ataques contra sistemas de monitorizacin y control en tiempo real de su empresa. Esta situacin es especialmente peligrosa, debido al conocimiento interno que tiene el empleado de su empresa. Este mismo caso se puede dar respecto a antiguos empleados. Hackers. Genricamente, bajo este trmino se engloba a cualquier persona con conocimientos tcnicos avanzados que realice acciones que vulneren la seguridad de un sistema. Las motivaciones de este tipo de personas puede ser muy variada, desde simple inters por conocer estos sistemas, hasta la intrusin con fines maliciosos, pasando por personas que nicamente quieren comprobar su nivel de conocimientos y sus habilidades de intrusin.
Espionaje industrial. Aunque este tipo de incidentes son inusuales, una compaa rival podra suministrar al empleado de una empresa algn tipo de software malicioso que produzca acciones no autorizadas sobre el sistema de monitorizacin y control en tiempo real, ya sea alteracin de las comunicaciones, robo de informacin o realizacin de operaciones arbitrarias. Incidencias accidentales. Como en todo sistema informtico, muchos incidentes podran tener como causa simples accidentes, desde desastres naturales a incendios de pequeo alcance. IDENTIFICACIN Y ANLISIS DE LOS PRINCIPALES RIESGOS
6.3
Los posibles riesgos para la seguridad, tanto tcnicos como referentes a la gestin, a los que estn expuestos los sistemas de monitorizacin y control en tiempo real son diversos. A continuacin se expondrn los principales riesgos tratados a lo largo de la investigacin. Incremento de las posibilidades de ataques Debido a la escasa evolucin que han sufrido estos sistemas, ya sea en el hardware, el software, o en las arquitecturas de red utilizadas, unido al desarrollo del entorno en el cual se encuentran desplegados, la seguridad ha decrecido notablemente. Este problema se debe esencialmente a que los sistemas SCADA no fueron diseados para el entorno en el que se encuentran a da de hoy. En un principio, este tipo de sistemas eran diseados para permanecer aislados, y cubrir exhaustivamente los requisitos funcionales de disponibilidad y garantizar la integridad de la informacin, siendo la seguridad un aspecto al que se prestaba poca atencin y desde perspectivas actualmente obsoletas. Con el paso del tiempo, estos sistemas comenzaron
a tener necesidades de interconexin, inicialmente con la red empresarial para la obtencin de informacin y el control remoto desde sedes, y ms adelante con redes externas como Internet. Posteriormente, con el auge de las nuevas tecnologas y su estandarizacin de facto en el mercado, se comenz a hacer uso de las mismas, integrndose as los sistemas SCADA con otros dispositivos y equipos an propietarios. El resultado inmediato, de estos dos grandes cambios, en trminos de seguridad, es que al cambiar el entorno en el que funcionan, estos sistemas han visto incrementada notablemente su superficie de ataque, as como los riesgos y amenazas a los que se encuentran sometidos. De hecho, esta falta de preparacin es el origen, en muchos de los casos, de las vulnerabilidades que les afectan. Un ejemplo de esta situacin es que ni los protocolos propios de SCADA ni los dispositivos que los implementan suelen emplear algn tipo de mecanismo de seguridad, ya sea cifrado, autenticacin de origen o destino, de usuario, etc. Por tanto, un atacante que lograse alcanzar un dispositivo de campo, y que tuviese conocimientos del protocolo utilizado para las comunicaciones, podra enviar y recibir comandos que alterasen el funcionamiento de dicho dispositivo, as como recopilar informacin del mismo. Usos inadecuados La falta de concienciacin de seguridad relativa a los sistemas y SCADA es el origen de mltiples riesgos, tal y como han sealado la mayora de los expertos consultados. Esta concienciacin es totalmente necesaria, no solo entre los trabajadores que mantienen un contacto directo y constante con estos sistemas, tambin entre el resto de trabajadores. Esta falta de concienciacin posibilita que los propios empleados expongan estos sistemas a peligros de forma inconsciente, desde la instalacin de malware al conectar dispositivos en los equipos del sistema hasta abrir canales de ataque externo mediante conexiones a travs de Internet. La principal debilidad deriva de una falta de conocimiento de los riesgos reales. A partir de ah, todo viene dado [] y esto implica que se sea incapaz de asumir y planificar estos sistemas de forma correcta Bloqueo/Intercepcin/Falsificacin de las comunicaciones Uno de los principales riesgos en estos sistemas se centra en las brechas de seguridad que pueden existir en las comunicaciones. Pueden existir diferentes incidencias al respecto: Bloqueo: La interrupcin de las comunicaciones en estos sistemas puede suponer la prdida de control sobre los elementos a manipular en las localizaciones desde el centro de mando. Esta incomunicacin impedira conocer los parmetros medidos por los
dispositivos finales y por tanto el envo de las posibles rdenes de correccin en caso de encontrarse fuera de los lmites programados. Intercepcin: En este caso, el principal riesgo se refiere a la privacidad. La informacin enviada o recibida de este modo sera conocida por un intruso. Falsificacin: La falsificacin de las comunicaciones supone la sustitucin de rdenes o informaciones legtimas por otras definidas por el atacante. En caso de falsificar las rdenes procedentes del centro de control se manipularan los dispositivos finales, mientras que en caso de reemplazar las comunicaciones enviadas hacia dicho centro se podra efectuar un ataque para generar errores inducidos. Los errores inducidos son consecuencia del refinamiento de un ataque, en el cual el objetivo es provocar un malfuncionamiento en el sistema a travs de forzar errores en la toma de decisiones. Esta toma de decisiones puede ser llevada a cabo personalmente por operadores o automticamente por el sistema. Para consumar estos ataques es necesario tener un conocimiento relativamente elevado de la naturaleza y objetivo del sistema, ya que es necesario hacer creer a un operador que el estado de la misma es diferente al real. Un ejemplo de este tipo de ataque consistira en una situacin en que un atacante que, una vez hubiese logrado un acceso no autorizado al sistema SCADA, en lugar de realizar ataques directos fcilmente detectables y rastreables, enviase a los operadores de dicho sistema informacin errnea sobre el estado de los dispositivos. As, podra hacer creer al operador que se est produciendo un cambio frente al que hay que actuar, inducindole a realizar acciones concretas que tuviesen un impacto negativo sobre el sistema. De esta forma, el atacante habra logrado su objetivo de una forma ms sutil, ya que el incidente parecera haber sido producido por un error humano. La falsificacin de comunicaciones tambin puede utilizarse para encubrir la manipulacin de los dispositivos finales, enviando informacin que indique que no se est produciendo ningn cambio de relevancia. De este modo se ocultara la situacin real a los operadores y por tanto se impedira su reaccin y la puesta en marcha de acciones correctoras. Virus informticos o malware Estos sistemas, al igual que los dems sistemas informticos, son susceptibles de verse afectados por cdigo malicioso, pudiendo ser ste especfico o general. El cdigo malicioso especfico estara diseado expresamente para atacar este tipo de sistemas. Para ello sera necesario un gran conocimiento de los mismos por parte de sus desarrolladores. Hasta ahora el caso ms conocido de este tipo de malware es Stuxnet, un gusano informtico capaz de reprogramar PLCs que se dio a conocer tras su utilizacin para atacar instalaciones nucleares en Irn.
Sin embargo, la infeccin ms probable podra ser la que implicase cdigo malicioso general, es decir, aquel que se ha diseado para el ataque a equipos informticos de uso comn. El que este riesgo sea ms probable se debe principalmente al dficit que suelen presentar estos sistemas en cuanto a las actualizaciones de sus programas y sistemas operativos. La ausencia de polticas y procedimientos de actualizacin de software provoca que sistemas y aplicaciones no se actualicen de manera peridica. Esta situacin da lugar a que un sistema, que monitoriza y/o controla uno o ms dispositivos remotos, contenga vulnerabilidades conocidas, en muchos casos explotables remotamente. Debido al amplio abanico de herramientas disponibles, casi cualquier usuario con un mnimo de conocimientos tcnicos puede, mediante un proceso de escaneo, detectar la existencia de dichas vulnerabilidades conocidas, e incluso llegar a explotarlas satisfactoriamente, con herramientas o frameworks que realizan explotaciones inteligentes. Por lo tanto, ataques aparentemente simples podran afectarles de un modo importante. Estas infecciones pueden tener distintas consecuencias, desde la prdida del control del proceso gestionado hasta la filtracin de informacin sobre el mismo. Ataque interno: Sabotaje y espionaje El origen de la mayora de los ataques notorios que afectan a las TIC es interno. Muchas organizaciones consideran que adoptar unas medidas perimetrales robustas es suficiente para mantener un nivel de seguridad adecuado, protegindose as de ataques externos pero manteniendo las vulnerabilidades internas. Igualmente, en muchas ocasiones se considera que sus empleados, o bien no tienen los suficientes conocimientos tcnicos para perpetrar un ataque, o no tienen motivos para consumarlos. Esta creencia da lugar a que no se tomen medidas en cuanto a seguridad que contemplen este escenario. Sin embargo, este riesgo es real y ocurre en mltiples empresas y situaciones. Puede deberse a motivos variopintos como enfado con la compaa, espionaje industrial, motivaciones personales o econmicas, etc. Este riesgo se considera especialmente peligroso debido al conocimiento que el empleado tiene de los sistemas y red interna y, en muchos casos, incluso de las medidas de seguridad implantadas y en consecuencia de las opciones que tiene para evitarlas. Un ejemplo de este riesgo es un suceso ocurrido en el ao 2000, en el que un antiguo empleado de la empresa que instal el sistema SCADA a la compaa Maroochy Water Services, dedicada al tratamiento de aguas, provoc la expulsin de grandes cantidades de aguas residuales en parques y dems sitios pblicos.
Pgina 54 de 105
Ataques ms sencillos e igualmente impactantes podran ser la realizacin de denegaciones de servicio mediante floods 11 de red, el robo de credenciales mediante la tcnica conocida de Man In The Middle 12, la instalacin de backdoors y rootkits 13 en sistemas a los que tuviese acceso, etc. Ataques externos Tal y como se ha sealado, en los ltimos aos los sistemas SCADA han tenido la necesidad de interconectarse con otras redes, ya sean privadas (de la propia compaa) o pblicas (WANs, o Internet). Esta interconexin, en muchos casos, se ha realizado de forma inadecuada, sin establecer una arquitectura de red segura (segmentacin de redes, creacin de DMZs), sin configurar adecuadamente las reglas del firewall y sin bastionar los equipos y dispositivos expuestos. Todo ello da lugar a un riesgo muy importante, ya que cualquier persona con un nivel de conocimiento tcnico medio, podra, al menos, detectar dispositivos y equipos de este tipo de sistemas utilizando bases de datos pblicas de registradores regionales de Internet, o buscadores especializados como Shodan. Muchas de las interconexiones que se realizan son debidas a requisitos de acceso remoto, ya sea para la gestin y administracin del sistema, como para recabar informacin. A pesar de estas necesidades, es obligado establecer una arquitectura de red segura para evitar ataques externos. Mediante este tipo de ataques, usuarios malintencionados pueden hacer uso de diferentes herramientas que se encuentran publicadas en Internet para tomar el control, desestabilizar o daar los sistemas gestionados. Al estar estas herramientas al alcance de los usuarios, no es necesario contar con grandes conocimientos tcnicos ni equipamiento especfico para perpetrar este tipo de ataques. Uno de los ataques externos ms dainos para los sistemas SCADA son los conocidos como de Denegacin de Servicio (ataques DoS), mediante los cuales un recurso deja de ser accesible para los usuarios legtimos. Normalmente, el objetivo de este tipo de ataques es agotar los recursos disponibles de la red, de tal manera que se provoca una prdida de conectividad con los sistemas. La mayora de los clientes, cuando les pregunto cmo de segura es su red SCADA, contestan que es muy segura ya que no est conectada a Internet.
11 12
Se denomina un flood de red a un envo masivo de trfico de red con el objetivo de saturar un sistema.
La tcnica de Man In The Middle consiste en interceptar las comunicaciones entre dos extremos, sin que ninguno de ellos sea consciente, pudiendo as observar su contenido y/o modificarlo.
13 Los backdoors y rootkits son, esencialmente, cdigo malicioso orientado a permitir posteriores accesos a un sistema comprometido, pudiendo ejecutar sin el conocimiento del usuario acciones y programas dainos.
Pgina 55 de 105
Pero entonces les pregunto: ests seguro? Los clientes piensan que no tienen conexiones a Internet, pero vengo encontrando entre 5 y 10 normalmente Arquitectura de red insegura Este riesgo es posiblemente uno de los ms extendidos. El diseo e implementacin de una arquitectura de red segura es muy importante, no solo para prevenir ataques externos, sino tambin para limitar ataques internos. No solo previene ataques dirigidos, sino tambin ataques no dirigidos, como puede ser la propagacin de un virus que afecta a un sistema operativo en concreto. Una arquitectura de red insegura abarca diversos aspectos, como pueden ser segmentacin lgica y/o fsica, instalacin y configuracin de elementos de seguridad (firewalls, ACLs en los routers, IDS, IPS, correladores de eventos, etc.), creacin de DMZs y ubicacin de servidores y servicios en el segmento de red adecuado. Accesos no autorizados Un error habitual, que tiene asociado un riesgo intrnseco muy grande, es la existencia de configuraciones por defecto. Estas configuraciones por defecto suelen contener parmetros con valores inseguros y credenciales dbiles, para facilitar un primer inicio de sesin y de esta forma configurar la funcionalidad de forma adecuada. De este modo, mantener las configuraciones por defecto tras la puesta en funcionamiento de los sistemas puede permitir que usuarios no autorizados acceder a los mismos. Estos accesos pueden comprometer la privacidad de la informacin acerca del sistema, pero de manera muy especial pueden suponer un riesgo de importancia en caso de lograr controlar el sistema, pudiendo modificar en el acto el proceso controlado o cambiar las rdenes y protocolos establecidos para su funcionamiento automtico, de modo que las consecuencias de estas modificaciones podran darse tiempo despus de la intrusin. Todo ello da lugar a un riesgo muy importante, ya que cualquier persona con un nivel de conocimiento tcnico medio podra al menos detectar los dispositivos y equipos de ese tipo de sistemas. Por ello es necesario disear una arquitectura de red segura y modificar las configuraciones establecidas por defecto, especialmente las contraseas. Un ejemplo reciente de este riesgo fue el descubrimiento de que en Oslo, Noruega, el sistema de control y suministro de agua potable era accesible va Bluetooth con la contrasea por defecto.
Pgina 56 de 105
GESTIN DE RIESGOS
A continuacin se incluyen un conjunto de medidas para la adecuada gestin de los sistemas de monitorizacin y control en tiempo real. Cabe destacar que no todas ellas son necesariamente de aplicacin para cualquier tipo de sistema, ya que depender, entre otros factores, de su tamao, alcance, naturaleza y objetivos. Especialmente, se recomienda que, como primer paso y para lograr un enfoque adecuado, se realice un anlisis de riesgos en el cual se obtenga el riesgo repercutido, tanto antes como despus de aplicar las medidas descritas. Conceptualmente, estas se van a dividir en tres categoras en funcin del objetivo que tratan de cubrir, esto es, de si su aplicacin tiene efectos preventivos, de deteccin o correctivos. Es importante recalcar que algunas de las medidas podran englobarse en varias categoras, debido a que ofrecen ms de un nico servicio de seguridad. 7.1 MEDIDAS PREVENTIVAS
7.1.1 Restringir el acceso lgico entre el sistema de monitorizacin y control y otras redes Como se ha visto, uno de los principales focos de riesgo considerados por los expertos consultados es la actual tendencia de interconexin de los sistemas de monitorizacin y control con otras redes. Por ello es aconsejable limitar o controlar estas conexiones para que nicamente las realmente necesarias se lleven a cabo. Para aplicar esta restriccin se deber implementar una arquitectura de red segura, que incluya, al menos, los siguientes aspectos: Segmentacin de redes. No todos los usuarios tienen las mismas necesidades, ni todos los servicios los mismos requerimientos. Por ello, es recomendable realizar una segmentacin de la red, de modo que cada subred tenga un propsito especfico y ofrezca acceso nicamente a aquellos usuarios que lo requieran. Por ejemplo, se debera segmentar la red de administracin, la red de acceso remoto, la red de copias de seguridad, etc. Adems de incrementar la seguridad, la segmentacin permite una gestin ms eficiente de los recursos. Generacin de DMZs. Aunque esta caracterstica podra incluirse en el punto anterior, al tratarse de una segmentacin especialmente sensible se hace una mencin particular. El objetivo y finalidad de las DMZ consiste en ubicar en una red semi-confiable aquellos servicios y equipos que requieran visibilidad hacia otra red diferente, y que adems necesiten conectividad con la red confiable. Ejemplos prcticos de DMZs a generar seran: DMZ de administracin, DMZ de acceso remoto o DMZ de servicios TI (antivirus, actualizaciones).
Pgina 57 de 105
Instalacin de elementos de seguridad. Para complementar de forma adecuada la segmentacin de red, es necesaria la instalacin y configuracin de elementos de seguridad, como pueden ser firewalls, routers con ACLs, IDS, IPS, correladores de eventos, etc. La eleccin de unos dispositivos u otros deber depender del alcance y criticidad de la red que se desee proteger, aunque los firewalls y routers con ACLs deberan ser imprescindibles, debido a su efectividad y facilidad de configuracin. Esta configuracin debera contemplar, al menos: o Firewalls. Habilitar nica y exclusivamente las conexiones necesarias, denegando todo el trfico que no haya sido autorizado explcitamente en la ltima regla (es decir, seguir una poltica de lista blanca). Asimismo el firewall deber contar con mecanismos de acceso y gestin remota suficientemente robustos, utilizando por ejemplo contraseas complejas y filtrado por direccin origen. Routers con ACL. Establecer listas de control de acceso que limiten en cada interfaz del router las direcciones IP de origen y destino, permitiendo solamente aquellas que sean necesarias y denegando las dems. IDS en la red. Desplegar sondas IDS en los enlaces troncales de la red, para que se encarguen de enviar los eventos generados a un correlador de eventos que agregue y analice la informacin de todas las sondas, generando las correspondientes alarmas. Para que el funcionamiento del IDS sea ptimo, se debern adaptar e incluso, crear los plugins asociados a los protocolos utilizados. Es decir, en aquellos casos en los que su funcionamiento se base en patrones configurables que permitan detectar situaciones anmalas, es muy recomendable generar dichos patrones de acuerdo al funcionamiento de la red SCADA donde se vayan a desplegar las sondas IDS.
Se recomienda tambin no permitir las conexiones directas entre la red de monitorizacin y control y otras redes, debiendo tener siempre como origen o destino alguna DMZ. Es necesario prestar especial atencin a las interconexiones involuntarias e indirectas entre diferentes redes. Estas situaciones suelen darse en los casos en los que un equipo cuente con dos interfaces de red, y que cada una de ellas tenga conectividad con una red distinta. Este ejemplo suele ser foco de muchas interconexiones no controladas, que pueden comprometer la seguridad de toda la red. Para facilitar el seguimiento de estas medidas, se recomienda la generacin y mantenimiento de un diagrama de red, donde se plasme la arquitectura implementada. Adicionalmente, para complementar este diagrama se aconseja mantener un inventario de las conexiones autorizadas entre la red de monitorizacin y control y otras redes, en el
que al menos se recoja la siguiente informacin: origen de la conexin, destino de la conexin, fecha de autorizacin, fecha de caducidad, persona solicitante, persona que autoriza, servicio autorizado y observaciones. 7.1.2 Restringir el acceso fsico a la red SCADA y a sus dispositivos
Un acceso fsico no autorizado podra comprometer el estado de la red, por lo que se debern establecer los mecanismos de proteccin fsicos que se consideren adecuados, combinndolos con medidas de proteccin lgica cuando sea posible. Dependiendo de la criticidad y ubicacin de la posicin a proteger se debern tomar las medidas acordes a su importancia, aunque en trminos generales, se proponen, adems de las medidas bsicas, las siguientes: circuito cerrado de televisin, sensores de movimiento, sensores de presin, controles de acceso mediante tokens, etc. 7.1.3 Redundar aquellos componentes cuya disponibilidad se considere esencial
Dado que la disponibilidad es el atributo principal a considerar en este tipo de redes, se recomienda redundar, ya sea a fsica o lgicamente, aquellos componentes que se consideren como crticos. El objetivo de esta redundancia es eliminar lo que se denominan puntos nicos de fallo, de modo que la funcionalidad quede garantizada en caso de que ocurra un fallo lgico o fsico. Los elementos que se suelen redundar en este tipo de redes, son: Dispositivos de red. Esta redundancia se recomienda aplicar tanto fsica como lgicamente, esto es, implementando pares redundados de dispositivos con configuracin activo-activo, activo-pasivo o activo-standby. En el plano lgico, se recomienda configurar conexiones redundantes, o implementar algoritmos que permitan recalcular caminos en caso de error en algn enlace. Servicios crticos. En esta categora se pueden incluir los servidores SCADA, los HMI y los histricos, principalmente. Tradicionalmente la redundancia de estos servicios se ha realizado fsicamente, aunque en los ltimos aos est empezando a utilizarse la redundancia tambin respecto a los elementos lgicos mediante tcnicas de virtualizacin. Creacin de equipos multidisciplinares
7.1.4
Se recomienda que los equipos encargados de operar y mantener los sistemas y redes SCADA sean multidisciplinares, esto es, que los miembros de dicho equipo abarquen los campos de conocimiento de seguridad (fsica y lgica), de informtica y telecomunicaciones y de industria. De este modo, se evitar la toma de decisiones en base a premisas incompletas por falta de conocimiento.
Pgina 59 de 105
7.1.5
Definicin y aplicacin de roles y responsabilidades
El objetivo principal de la definicin y aplicacin de roles y responsabilidades es establecer una segregacin de funciones que se encuentre, en primer lugar, alineada con el negocio y la operativa, y en segundo lugar, que se base en el principio de mnimos privilegios. Es decir los empleados deben tener asignadas nica y exclusivamente las funciones y responsabilidades propias de su puesto, y por tanto contar nicamente con las credenciales de acceso a los sistemas y aplicaciones necesarias. Aplicando los roles y responsabilidades de forma adecuada, se minimiza la posibilidad de ocurrencia de errores humanos y de ataques internos, as como facilitar la trazabilidad de las acciones en caso de incidente. 7.1.6 Desarrollar e implantar adecuadamente polticas y procedimientos
Dado que la seguridad no es exclusivamente un problema tcnico, sino tambin de negocio, resulta necesario desarrollar e implantar un conjunto de polticas y procedimientos que sean seguidos en el da a da. Este conjunto de documentos debe abarcar todos los aspectos que afectan a la red. A continuacin se incluye a modo de ejemplo un conjunto de documentacin recomendable. Es necesario destacar que no todos los documentos son necesariamente de aplicacin a cualquier empresa, sino que depender del tamao y negocio de la misma: Poltica de seguridad: define de manera general los requisitos de seguridad aplicables al entorno operativo. Poltica de seguridad fsica y ambiental: define los requisitos de seguridad fsica que deben cumplir las posiciones de la red, as como los centros de control. Tambin incluye los requisitos ambientales que se deben dar para el correcto mantenimiento de los equipos desplegados. Poltica de formacin y concienciacin del personal: define los planes y requisitos de formacin del personal, ya sea para adquirir conocimientos tcnicos, como para obtener una mayor concienciacin de seguridad. Poltica de auditoras de seguridad: debe definir y establecer una serie de auditoras de seguridad peridicas que afecten tanto a los sistemas SCADA como a los equipos asociados, los elementos de red y las comunicaciones, as como su alcance y enfoque. Poltica de adaptacin a la normativa legal: debe definir la necesidad de revisin, adaptacin y cumplimiento a la normativa legal que afecte a los activos de la compaa.
Pgina 60 de 105
Procedimiento de respuesta ante incidentes: este procedimiento recoge los pasos y acciones que se debern tomar como respuesta a cualquier tipo de incidente, detallando los responsables encargados de llevar a cabo las respuestas oportunas. Procedimiento de revisin de registros de auditora: este procedimiento refleja formalmente el procedimiento de revisin de los registros de auditora y de monitorizacin de la red, con el objetivo de detectar anomalas, ya sean funcionales o de seguridad. Deber contemplar, al menos, la periodicidad de la revisin, personal responsable, sistemas afectados, pasos a seguir en caso de incidente, criticidad de eventos y escalado y notificacin de incidentes graves.
Procedimiento de gestin de cambios: recoge los pasos a seguir a la hora de afrontar cambios en los activos de informacin. Debe incluir, al menos, la necesidad de designar a una persona como responsable del cambio, otra persona encargada de aplicar el cambio, y pruebas de validacin antes de aplicarlo en el entorno productivo. Procedimiento de gestin de usuarios: establece y define los pasos y requisitos a seguir para la gestin de alta, baja o modificacin de usuarios. Asimismo debe incluir un responsable que autorice las acciones descritas anteriormente, y la asignacin de permisos y roles a cada usuario en funcin de sus necesidades operativas, tal y como se ha incluido en otro punto de las recomendaciones. Procedimiento de aplicacin de parches y firmas: establece los requisitos y pasos a seguir para la aplicacin de parches de seguridad y firmas de antivirus, contemplando, al menos, los siguientes aspectos: alcance de los sistemas afectados, definicin de polticas de actualizacin de los sistemas, periodicidad y horario de despliegue de parches y firmas, realizacin de pruebas controladas previas al despliegue y despliegue y aplicacin de las firmas y parches de seguridad. Procedimiento de anlisis de riesgos: el procedimiento de anlisis de riesgos debe incluir, al menos, los siguientes aspectos: identificacin y clasificacin de activos, identificacin de amenazas por activo, medidas preventivas, mitigadoras o reductoras del impacto, clculo del riesgo repercutido y acumulado de los activos identificados, y realizacin de un plan de accin en base al riesgo residual calculado anteriormente. Procedimiento de gestin de copias de seguridad: procedimiento formal que define, al menos, periodos de realizacin de copias de seguridad, almacenamiento fsico de los dispositivos que contienen las copias, testeo de las mismas, personal responsable y mecanismo de destruccin segura.
Pgina 61 de 105
Procedimiento de gestin y administracin de activos: este procedimiento debe recoger tanto con la gestin como con la administracin de los activos de informacin de la red SCADA. Para cada activo, se deber incluir, al menos: responsable, finalidad y uso y referencia al anlisis de riesgos del activo. Procedimiento de control de accesos fsicos: este procedimiento debe establecer, al menos, los siguientes aspectos: requisitos para conceder acceso fsico a las instalaciones, registro de datos del personal, tanto visitante como permanente, identificacin del personal, personal que autoriza el acceso y periodo temporal de validez de la autorizacin.
7.1.7
Segregacin de entornos
La segregacin de entornos es una buena prctica recomendable en todos los entornos TIC. Concretamente, se recomienda contar, al menos, con un entorno de produccin y otro de preproduccin. Este ltimo tiene como finalidad el ser empleado para probar los cambios que se deseen realizar en el entorno productivo, con el objetivo de detectar posibles malfuncionamientos, errores o inconsistencias derivados de su instalacin. 7.1.8 Investigacin previa a la contratacin del personal operador
La aplicacin de esta recomendacin se circunscribe principalmente a aquellos sistemas y redes SCADA que gestionen infraestructuras crticas o cuyo alcance sea considerable. Por tanto es recomendable, en el caso de personal para entornos crticos, solicitar referencias en anteriores puestos de trabajo as como tratar de comprobar la veracidad de las mismas. Esto es debido a que una vez contratados, su capacidad de actuacin sobre la red es posible que sea considerable, en funcin del rol que le sea asignado. 7.1.9 Aseguramiento de los accesos remotos
Aunque idealmente este tipo de redes deberan permanecer aisladas en la medida de lo posible, en la mayora de las ocasiones no es factible, ya sea por requerimientos de negocio, funcionales o de disponibilidad. En el caso de los accesos remotos, se recomienda establecer mecanismos de seguridad robustos que eviten accesos no autorizados. En particular, se recomienda implementar, al menos, las siguientes medidas: No conectar la red de SCADA directamente a Internet, sino de forma indirecta a travs de la red corporativa. Utilizar mquinas intermedias o mquinas de salto en las DMZs. Cifrar todas las comunicaciones con algoritmos robustos, empleando claves suficientemente complejas.
Pgina 62 de 105
Tunelizar todo el trfico relativo al acceso remoto entre la DMZ ubicada entre la red corporativa e Internet, y la DMZ ubicada entre la red corporativa y la red SCADA. Emplear un mecanismo de acceso y autenticacin de doble factor. Establecer un mecanismo que garantice que la mquina origen de la conexin cumple unos requisitos mnimos de seguridad (antivirus actualizado, sistema operativo parcheado, etc.). Configurar un lmite de tiempo de inactividad que implique la finalizacin de sesin. Utilizar preferentemente enlaces de comunicacin fsicos
7.1.10
Se recomienda utilizar, en la medida en que sea posible, enlaces de comunicacin fsicos, no solamente por seguridad lgica, sino tambin por disponibilidad. En lo relativo a la seguridad lgica, puede existir el riesgo de una mala configuracin del enlace inalmbrico que permita a un atacante interceptar dicha comunicacin y llegar a acceder a la informacin intercambiada. Sin embargo, este caso puede evitarse utilizando mecanismos de proteccin y cifrado automticos. Sin embargo, aunque una conexin inalmbrica sea segura, es susceptible de sufrir denegaciones de servicio mediante ataques del tipo jamming. Este tipo de ataques consiste en la generacin de ruido electromagntico que afecte negativamente a las comunicaciones. Cabe destacar que las comunicaciones inalmbricas tambin se pueden ver afectadas por el ruido intrnseco a otras instalaciones, como pueden ser ondas de radio, frecuencia de telefona mvil, instalaciones elctricas, etc. 7.1.11 Concienciacin y formacin del personal
Una de las primeras medidas en el mbito de la seguridad que todas las empresas, especialmente aquellas que emplean algn tipo de red de monitorizacin y/o control en tiempo real, es la planificacin de cursos o sesiones de concienciacin sobre seguridad. Esta concienciacin es clave para fomentar una cultura de seguridad entre los empleados. Paralelamente, y de forma complementaria a la concienciacin, es recomendable ofrecer una serie sesiones peridicas de formacin, en la que se muestren con ejemplos prcticos qu medidas pueden y deben tomarse para obtener un nivel de seguridad razonable, y evitar posibles errores que impacten en el funcionamiento diario de la empresa.
Pgina 63 de 105
Con estas medidas se evitaran, en gran medida, errores humanos, al contar el personal con los suficientes conocimientos tcnicos para afrontar situaciones inusuales. Los primeros que usan estos sistemas son [ingenieros] industriales, que no saben [] de seguridad informtica. Adems [] los que saben de seguridad informtica no saben de sistemas de control, por lo que al final se produce un vaco importante de conocimiento 7.1.12 Realizacin peridica de simulacros
La realizacin peridica de simulacros ofrece garantas razonables de que, en caso de contingencia, el personal operativo puede garantizar la disponibilidad del servicio, ya que cuenta con los conocimientos y habilidades necesarias para ello. En particular, se recomienda la realizacin peridica de simulacros en aspectos relativos a la disponibilidad funcional, esto es, en el caso de que un servicio o elemento se encuentre replicado, modificar qu elemento del par pasa a ser el activo y cul no. 7.1.13 Bastionar aplicaciones, sistemas operativos y equipos
Una medida que se debera aplicar antes de realizar el despliegue de una aplicacin, sistema operativo o equipo en el entorno productivo, es la realizacin de un bastionado de dicho elemento. El bastionado es la tarea de configuracin y securizacin, en la medida de lo posible, del nuevo elemento. El objetivo es que ese elemento cuente con un nivel de seguridad razonable, sin que por ello su funcionalidad se vea afectada. Este proceso de bastionado suele contar con, al menos, las siguientes fases: Eliminacin o desactivacin de servicios innecesarios y/o inseguros. Sustitucin de cuentas por defecto por cuentas personales y biunvocas. Alteracin de la configuracin por defecto, eliminando aquellos valores que sean considerados inseguros. Activacin de mecanismos y controles de seguridad, como puede ser el establecimiento de una poltica de contraseas robustas. Configuracin de la ejecucin de actualizaciones automticas, cuando sea posible.
Aunque el escenario ideal es que cada empresa desarrolle una gua de bastionado propia para cada producto, que se encuentre alineada con sus necesidades operativas, en el caso de no contar con esa opcin se pueden utilizar como base y referencia las guas de buenas prcticas y de seguridad que ofrecen organizaciones como el NIST (National
Institute of Standards and Technology), el CIS (Center for Internet Security) o el CCN (Centro Criptolgico Nacional). 7.1.14 Mantener las firmas de los antivirus actualizadas siempre que sea posible
Debido a la constante evolucin que sufren los sistemas de la informacin, y concretamente las amenazas relativas a la infeccin con malware, la necesidad de mantener actualizadas las firmas de los antivirus cobra gran relevancia. Es por ello que se recomienda que, siempre que sea posible, se actualicen las firmas de los antivirus, en un plazo razonable de tiempo. Antes de instalar cualquier actualizacin en el entorno productivo, es imprescindible aplicarlo en un entorno de pruebas para detectar posibles conflictos o malfuncionamientos como consecuencia de dicha aplicacin. 7.2 7.2.1 MEDIDAS DE DETECCIN Realizar peridicamente auditoras de seguridad
Con el objetivo de analizar y evaluar el nivel de seguridad real de los sistemas y de la red SCADA, se recomienda realizar de forma peridica auditoras de seguridad. stas deben ser: Auditoras tcnicas. Es aconsejable realizar test de intrusin internos y externos, as como test de vulnerabilidades y anlisis de la red. Con los resultados obtenidos se puede generar un documento que refleje el nivel de seguridad del sistema, as como un plan de accin para corregir, mitigar o asumir aquellos fallos que se hayan detectado. Auditoras fsicas. En funcin del alcance y tamao de la red, se recomienda realizar inspecciones fsicas en un conjunto aleatorio y representativo de instalaciones, evaluando la seguridad fsica existente y contrastndola con la requerida en la poltica de seguridad fsica y ambiental de la compaa. Inventario de sistemas de la red de monitorizacin y control
7.2.2
Es importante generar y mantener actualizado un inventario de equipos y sistemas de la red de monitorizacin y control, en el que para cada activo se recoja, al menos, la siguiente informacin: identificador, situacin geogrfica, finalidad, criticidad, responsable y gestor. Este inventario permite, entre otras cosas, la deteccin de equipos o elementos no autorizados en la red. 7.2.3 Activar el uso de trazas de auditora
Siempre que sea posible, se recomienda activar el uso de registros de auditora. Con ello, ser posible registrar los accesos fallidos, ya sea de los propios usuarios, de sistema o de aplicacin.
De esta forma, en caso de incidente de seguridad, mediante el estudio de las trazas de auditora se facilitar el anlisis forense que permita dilucidar el origen del mismo. 7.3 MEDIDAS CORRECTIVAS
7.3.1 Desarrollar un Plan de Continuidad de Negocio y un Plan de Recuperacin ante Desastres para la red SCADA Para garantizar la operatividad y disponibilidad de los sistemas, se recomienda definir y aprobar un Plan de Continuidad de Negocio (PCN) y un Plan de Recuperacin ante Desastres (PRD) propios de los sistemas SCADA. Como base se pueden emplear los PCN y PRD definidos en la empresa, siempre y cuando se recojan las necesidades especficas de este tipo de redes. En caso de incidente, estos planes contienen las pautas a seguir para, en primer lugar, mantener en funcionamiento el sistema, ms concretamente en este caso, el del sistema SCADA, y en segundo lugar, aplicar las medidas necesarias para volver a la normalidad. 7.3.2 Realizacin peridica de copias de seguridad
La realizacin de copias de seguridad es una tarea vital para garantizar la disponibilidad de los sistemas y de la propia red en caso de ocurrir algn incidente relativo a los datos o programas. Se recomienda realizar estas copias de seguridad con la suficiente periodicidad, atendiendo a la criticidad del activo sobre el que se est generando la copia de respaldo, as como a la frecuencia con la que se realizan cambios sobre el mismo. Asimismo, se recomienda realizar pruebas peridicas de restaurado de copias de seguridad, con el objetivo de verificar que la informacin de dichas copias es integra y correcta, y que el personal conoce el procedimiento a seguir para que, en caso de contingencia, estn preparados. 7.3.3 Mantener el software actualizado siempre que sea posible
Debido a la constante evolucin que sufren los sistemas de la informacin en el mbito de la seguridad, la necesidad de mantener dichos sistemas actualizados y parcheados cobra gran relevancia. Es por ello que se recomienda que, siempre que sea posible, se actualicen y apliquen aquellos parches de seguridad que sean considerados como crticos o importantes, en un plazo razonable de tiempo, de modo que las deficiencias de seguridad sean corregidas. Antes de instalar cualquier parche en el entorno productivo, es imprescindible aplicarlo en un entorno de pruebas para detectar posibles conflictos o malfuncionamientos en el sistema como consecuencia de dicha aplicacin.
Pgina 66 de 105
7.3.4
Seguridad integral
Para maximizar los esfuerzos orientados a garantizar la seguridad, se deben realizar utilizando un enfoque integral en el cual se anen tanto la visin fsica como la visin lgica de la misma, ya que los riesgos suelen implicar a ambos componentes, por lo que deben ser gestionados desde un nico punto de vista. Por tanto, se recomienda contar con un rea de seguridad nica en la empresa o, en el caso de que esto no sea posible, que exista un responsable de seguridad nico del cual dependan los encargados de ambas reas. Esta medida ha sido recomendada por muchos de los expertos consultados, tal y como se recoge a continuacin: Debera existir un responsable de la compaa del que dependiera un responsable de seguridad fsica y un responsable de seguridad lgica
Pgina 67 de 105
LNEAS DE DESARROLLO SEGURIDAD SCADA
FUTURO
EN
En lnea con la evolucin, transicin, y generalizacin de los sistemas SCADA, existen diversas lneas de desarrollo sobre las cuales se est trabajando, y que a medio plazo pueden aportar cambios significativos. El principal aspecto sobre el que se est incidiendo hoy en da es la seguridad. La motivacin de trabajar sobre este rea es clara: una mayor concienciacin sobre la necesidad de garantizar unos niveles razonables de seguridad, motivada por diferentes factores, como pueden ser el incremento de la exposicin de estos sistemas hacia el exterior, el incremento de amenazas externas (terrorismo) y la migracin hacia tecnologas estndar. En concreto, las principales reas de desarrollo son: 8.1 CONVERGENCIA Y UNIFICACIN DE SEGURIDAD LGICA Y SEGURIDAD FSICA Tradicionalmente se ha diferenciado y segregado la seguridad en dos reas y departamentos diferenciados. Esta segregacin se ha dado debido a que, mientras que la seguridad fsica es un campo que siempre ha estado presente, la seguridad lgica es relativamente reciente y ha ido aparejada a la evolucin de las tecnologas y sistemas TIC. En sus inicios, esta segregacin poda considerarse razonable, debido a que los sistemas de la informacin tenan un alcance limitado. Sin embargo, con el paso del tiempo las tecnologas han ido evolucionando, y han pasado de ser simples servicios concretos a abarcar un amplio abanico de funcionalidades y operaciones, incluyendo aspectos de la seguridad fsica, como puede ser la videovigilancia con cmaras que emplean comunicaciones TCP/IP. La consecuencia inmediata de este hecho ha sido que en muchas de las ocasiones, la colaboracin entre ambos campos ha sido escasa, cuando no nula. Esto ha provocado que el nivel de seguridad obtenido no cumpla las expectativas. A da de hoy, muchas empresas y profesionales han tomado conciencia de que la seguridad, como rea, es nica, y que por tanto la diferenciacin entre seguridad lgica y fsica carece de sentido. La unificacin en un rea nica de seguridad aporta mltiples beneficios, como pueden ser, entre otros, la reduccin de costes mediante la unificacin de las reas de seguridad lgica y seguridad fsica y el incremento de la eficiencia. Esta unificacin supone un mejor aprovechamiento de los recursos, al simplificar el organigrama y evitar duplicidades, adems de garantizar que la informacin y conocimiento de ambas vertientes sea compartido y considerado de forma conjunta,
permitiendo as el desarrollo de soluciones y mecanismos que correlacionen y asocien eventos y situaciones de ambas vertientes. Es importantsimo coordinar o gestionar la seguridad desde un punto de vista integrado incluyendo la dimensin fsica o la lgica, [] no puede ir cada una por su cuenta, la seguridad sera incompleta En trminos generales, esta idea es compartida por la mayora de los expertos consultados, si bien es cierto que existen algunas diferencias sobre cmo abordarla. Mientras que algunos abogan por la unificacin de ambas reas, otros sostienen que es suficiente designar a un responsable nico de seguridad, que coordine tanto al responsable de seguridad fsica como al responsable de seguridad lgica. Tiene que existir un responsable de seguridad integral por encima de los responsables de seguridad fsica, lgica, de informacin, corporativa. ste ser el encargado de realizar este registro de riesgos que abarca a todos los anteriores 8.2 MEJORA EN LA DETECCIN Y CORRELACIN DE EVENTOS DE SEGURIDAD
Con el auge del uso de tecnologas y productos de propsito general en los sistemas SCADA, as como del uso de protocolos estndares, o al menos conocidos, el uso de soluciones SIEM 14 (Security Information and Event Management) se ha ido extendiendo de manera notable. Estos productos son ampliamente implantados en entornos TIC, habiendo alcanzado un nivel de madurez y evolucin notable, en particular las firmas empleadas para la deteccin de eventos. Sin embargo, debido a la naturaleza de este tipo de sistemas, el uso de sistemas SIEM no es directamente aplicable, ya que no existen firmas diseadas para la mayora de los protocolos utilizados, ni para los eventos necesarios detectar en la operativa habitual. A da de hoy se est trabajando en este campo, ya que muchos usuarios finales y desarrolladores estn diseando y creando firmas especficas para este tipo de sistemas, por lo que, aunque ya se han producido avances importantes, el margen de mejora es considerable. Algunos expertos consultados nos han confirmado que existe una tendencia al alza en el desarrollo de plugins relacionados con SCADA y con procesos de monitorizacin industrial.
14 Se denominan soluciones SIEM a un conjunto de herramientas y productos que permiten un anlisis en tiempo real de alertas de seguridad generadas por dispositivos de red o software (aplicaciones, sistemas operativos, etc.).
Pgina 69 de 105
8.3 ESTANDARIZACIN Y MEJORA DE PROTOCOLOS DE MONITORIZACIN Y CONTROL Tal y como se ha detectado en la investigacin, los protocolos empleados en los sistemas SCADA son protocolos propietarios cuya seguridad se basaba en la oscuridad y desconocimiento de los mismos. Estos protocolos, con la migracin y uso de tecnologas de propsito general, han avanzado en el rea de la estandarizacin, pero han retrocedido en lo que concierne a la seguridad, ya que siguen adoleciendo de mecanismos que la ofrezcan de forma adecuada. Por otro lado, al ser ms conocidos han visto incrementada su superficie de ataque. Aunque los avances a este respecto no son tan significativos como sera deseable, se estn realizando trabajos de desarrollo de versiones seguras de algunos protocolos, como pueden ser, por ejemplo, los protocolos Secure DNP3, OPC UA o Secure ICCP. 8.4 ESTANDARIZACIN DE SISTEMAS Y REDUCCIN DE DEPENDENCIA RESPECTO DE LOS FABRICANTES La dependencia casi absoluta que se ha mantenido por parte de los usuarios finales de sistemas SCADA en relacin a los fabricantes ha supuesto una limitacin a la hora de lograr avances, especialmente en lo relativo a la seguridad. Los expertos entrevistados a lo largo de esta investigacin coinciden en que los fabricantes, en general, no ofrecen productos que contemplen medidas o mecanismos de seguridad integrados. Por este motivo, el incremento en el uso de tecnologa y soluciones estndares y de propsito general se hace cada vez ms necesario, ya que permite reducir parcialmente la dependencia respecto a un fabricante, y facilita implementar e integrar mecanismos y medidas de seguridad de terceros. De este modo, se podra incluso, en el caso de que se considerase necesario, realizar una migracin de la tecnologa especialista a otro fabricante que ofreciese unas caractersticas ms atractivas.
Pgina 70 de 105
RECOMENDACIONES
A continuacin, se incluye un conjunto de reflexiones y recomendaciones en base a las principales consideraciones recogidas en las entrevistas mantenidas con los expertos en el marco de esta investigacin. 9.1 RECOMENDACIONES ESTANDARIZACIN 9.1.1 PARA EL LEGISLADOR Y LOS AGENTES DE
Profundizacin en el marco legislativo
A pesar de que la opinin mayoritaria de los expertos consultados es que la nueva regulacin relativa a la proteccin de las infraestructuras crticas es positiva tanto en sus objetivos como en su contenido, al ser cuestionados sobre si profundiza suficientemente existen opiniones contrapuestas. La idea mayoritaria es que la ley tiene aspectos mejorables, como por ejemplo: Falta de concrecin en lo relativo a medidas de seguridad especificas a llevar a cabo. En particular, se ha sealado reiteradamente que la ley en algunos aspectos, como el Plan de Seguridad del Operador se limita a plantear una serie principios y se considera que debera incluir medidas concretas exigibles para la proteccin de las infraestructuras crticas. Como mejora [de la Ley de Proteccin de Infraestructuras Crticas], debera ser necesario establecer unos mnimos a cumplir, as como en el desarrollo de los planes de seguridad de los operadores Los riesgos derivados de los ataques deliberados son el principal foco de atencin de esta ley, lo que produce que no contemple en profundidad otras motivaciones y riesgos. Algunos expertos han sealado que deberan tenerse en cuenta tambin los ataques cibernticos, la infeccin indirecta o los ataques internos, entre otros. No, el real decreto no est abordando lo suficiente. Se echa en falta una mencin especfica de la problemtica existente en los sistemas de control. [] son igual de importantes los fallos de personal o los fallos de procedimiento Asimismo hay otros aspectos que, aunque son referentes al marco legal y jurdico, sern tratados en los posteriores apartados debido a que requieren un anlisis ms pormenorizado. 9.1.2 Regulacin sectorial
Otra de las opiniones mayoritarias entre los expertos entrevistados es la necesidad, o al menos recomendacin, de establecer una regulacin sectorial.
Esta regulacin se encuentra justificada por el hecho de que no todas las infraestructuras crticas, ni todos los sistemas SCADA, son iguales, ya que su tipologa, naturaleza y alcance varan, especialmente encontrndose en diferentes sectores. Por tanto, esta regulacin se adaptara de una forma ms eficaz a las necesidades especficas de cada sector, pudiendo profundizar y llegar a una concrecin mayor. A este respecto podra tomarse como referencia el caso de Estados Unidos, donde existen un conjunto de organismos y asociaciones sectoriales (NERC en electricidad, AGA en gas, etc.). Estos organismos desarrollan y publican guas y conjuntos de buenas prcticas aplicables a las empresas e infraestructuras de sus sectores. Los responsables de empresas y reguladores miran fuera de Espaa a la hora de decidir aspectos de estandarizacin. Por ejemplo, un referente en el sector elctrico sera el NERC (North American Electric Reliability Corporation) de Estados Unidos 9.1.3 Establecimiento de organismos y mecanismos sancionadores
Aunque la acogida de la Ley para la Proteccin de Infraestructuras Crticas es favorable, existen dudas sobre su aplicabilidad, o dicho de otra forma, sobre su grado de cumplimiento. En general, la idea extendida entre los expertos consultados es que las empresas sern capaces de adaptarse al cumplimiento de la ley debido en parte a su ausencia de concrecin respecto a aspectos concretos. No obstante, algunos expertos han planteado la posibilidad de establecer organismos sancionadores, encargados de velar por el cumplimiento de la ley, como una alternativa a desarrollar. Dado que no hay una opinin mayoritaria, a continuacin se expondrn las principales ventajas e inconvenientes que derivaran de la constitucin de dicho organismo, as como del establecimiento de sanciones. Las principales ventajas que aportara la posibilidad de establecer sanciones son: La existencia de sanciones, especialmente las econmicas, puede suponer un impulso para las empresas operadoras de infraestructuras crticas a la hora de adoptar las medidas necesarias para el cumplimiento de la ley. El establecimiento de un mecanismo sancionador implicara la necesidad de establecer auditoras, por lo que se facilitara el seguimiento del estado de las infraestructuras crticas y de sus consiguientes sistemas SCADA, adems de mejorar la fluidez de las comunicaciones entre las compaas y la Administracin.
Pgina 72 de 105
Incremento de la percepcin de la seguridad. Al existir un organismo encargado de velar por el cumplimiento de la Ley, la percepcin sobre la seguridad mejorara considerablemente, colocando a las empresas espaolas y a la Administracin Pblica en una posicin privilegiada.
Por otro lado, los principales inconvenientes que conllevara su creacin son: Agravio comparativo. Un exceso de exigencia legal en el mbito nacional podra dar lugar a un agravio comparativo respecto a otros pases, pudiendo provocar que las empresas tuviesen reticencias respecto a operar en Espaa. Imposibilidad de cumplimiento. Aunque la mayora de las infraestructuras crticas son propiedad de grandes empresas o de la Administracin, puede darse la situacin de que alguna de ellas sea explotada por una PYME con un presupuesto limitado. En esos casos, su capacidad de cumplimiento podra ser parcial, lo cual conllevara la aplicacin de sanciones que podran suponer un importante lastre econmico para dicha empresa.
En resumen, se recomienda que sea considerada la constitucin de un organismo sancionador, teniendo en cuenta tanto las ventajas como los inconvenientes que ello aportara. 9.1.4 Establecimiento de requisitos o exigencia de certificaciones para especialistas en seguridad lgica en sistemas SCADA e Infraestructuras Crticas Tomando como referencia entornos restringidos y de defensa, una idea expuesta durante la fase de entrevistas es la posibilidad de exigir ciertos requisitos o certificaciones a empresas que provean y oferten seguridad lgica. Esta exigencia se justifica por la criticidad de las instalaciones y sistemas afectados, ya que en caso de sufrir algn tipo de incidente de seguridad, su indisponibilidad funcional podra suponer un gran impacto a nivel nacional para la sociedad. Por tanto, se recomienda estudiar la posibilidad de definir y exigir algn tipo de requisitos o certificaciones a este tipo de empresas, para garantizar en todo momento la confidencialidad y profesionalidad del trabajo ofertado, as como un nivel de conocimientos adecuado. 9.1.5 Mayor involucracin de la Administracin Pblica
Aunque en la legislacin referente a Infraestructuras Crticas se recoge la necesidad de colaboracin entre los operadores de dichas infraestructuras y la Administracin, en opinin de algunos de los expertos consultados esta colaboracin debera ser ms estrecha y concreta.
Pgina 73 de 105
En particular, una de las ideas expresadas por los expertos es que organismos gubernamentales de seguridad desarrollasen y publicasen guas de seguridad y buenas prcticas en sistemas SCADA con un mayor nivel de detalle, ofrecindose informacin tcnica de configuracin de sistemas operativos, aplicaciones o protocolos seguros aplicables a este tipo de sistemas. Asimismo, consideran que tambin sera positiva una mayor colaboracin con diversas instituciones pblicas para profundizar en ciertas reas, como por ejemplo: los ministerios del Interior y de Defensa para cuestiones relativas a la seguridad, el Ministerio de Asuntos Exteriores y Cooperacin para aspectos relacionados con la interlocucin con otros pases, y el Ministerio de Industria, Energa y Turismo dado que en la industria es el sector en el que ms se emplean sistemas SCADA. Cuanto ms actores haya implicados en la definicin de la regularizacin y estandarizacin de la infraestructura critica, mejor sera la definicin de sta [] deberan de estar en la definicin por ejemplo: el CCN, Industria, Ministerio de Economa, Relaciones exteriores para una cooperacin nacional, Defensa y dependiendo de la criticidad hasta Fuerzas Armadas Asimismo, otro punto de involucracin podra ser la constitucin de equipos de trabajo conjuntos para la realizacin de auditoras de seguridad o anlisis de riesgos, de modo que el organismo pblico en cuestin pudiese aportar un punto de vista diferente. 9.2 9.2.1 RECOMENDACIONES PARA LOS FABRICANTES E IMPLANTADORES Ofertar productos con un mayor enfoque en la seguridad
Una de las consideraciones ms extendidas entre los usuarios finales de sistemas SCADA es la necesidad de que los productos ofertados por los principales fabricantes sean desarrollados desde un punto de vista integral de seguridad. Esta inquietud debera ser recogida y atendida por los proveedores de productos SCADA, ya que la mejor forma de contemplar la seguridad en un sistema es incluir requisitos de seguridad en la fase de diseo en cada uno de sus componentes. Asimismo, se recomienda priorizar la solucin de vulnerabilidades conocidas, ya que suponen un riesgo muy elevado para la seguridad de los sistemas SCADA. 9.2.2 Seguimiento de estndares y organismos de referencia
Debido a la especializacin de este tipo de redes y sistemas, as como a la tendencia actual hacia la convergencia de ciertos estndares, resulta altamente recomendable realizar un seguimiento de organismos de referencia, tanto en el mbito nacional (CCN, CNPIC), como en el internacional (CPNI, NIST, NERC, AGA, etc.).
Pgina 74 de 105
9.3 9.3.1
RECOMENDACIONES PARA EMPRESAS USUARIAS Solicitar productos con mayor enfoque en la seguridad
Dado que los usuarios finales de sistemas SCADA son conscientes de las carencias a en cuanto a la seguridad de los productos ofertados por los principales proveedores, una recomendacin destinada a los dichos usuarios es la de solicitar productos que cumplan estos requisitos. Debido a su posicin en el mbito de los sistemas SCADA, se recomienda que los usuarios finales establezcan requisitos de seguridad a la hora de solicitar informacin sobre estos productos, de tal forma que los fabricantes tomen conciencia de esta demanda y adapten sus productos a las exigencias del mercado. 9.3.2 Evaluar la opcin de externalizar el mantenimiento y seguridad de la red
La opcin de subcontratacin del mantenimiento funcional y de seguridad de los sistemas y redes SCADA es una solucin que algunas empresas deberan analizar y evaluar, especialmente las PYME que no mantengan infraestructuras catalogadas como crticas. Debido a la complejidad de este tipo de redes, para algunas empresas puede resultar muy costoso y difcil contar con personal especializado que se encargue de dichas tareas, as como proporcionarle los recursos necesarios para su labor. La subcontratacin, en funcin de la empresa y de la red, puede llegar a ser una solucin a tener en cuenta, ya que provee flexibilidad, servicio permanente y personal especializado, entre otros aspectos.
Pgina 75 de 105
10
CONCLUSIONES
10.1 ANLISIS DAFO Para facilitar y mejorar el nivel de comprensin del estado actual de este tipo de sistemas, as como de las ventajas y oportunidades que poseen, se incluye un anlisis DAFO (Debilidades, Amenazas, Fortalezas y Oportunidades). Este tipo de anlisis, tpicamente considera tanto factores internos (Fortalezas y Debilidades intrnsecas al objeto del anlisis) como externos (Amenazas y Oportunidades), de cuya combinacin se pueden extraer conclusiones que permiten obtener una visin ms global de las caractersticas de este tipo de sistemas. Fortalezas Monitorizacin y gestin centralizada. Esta gestin centralizada permite la toma de decisiones con informacin ms completa y precisa, sin necesidad de desplazamientos fsicos. Automatizacin de procesos. Dicha automatizacin mejora la eficacia del proceso automatizado y reduce la complejidad de mantenimiento del mismo. Reduccin de costes a largo plazo. Como consecuencia de las dos fortalezas anteriores, se produce una reduccin de costes significativa a largo plazo, al disminuir el nmero de operaciones manuales necesarias as como reducir el personal necesario para llevar a cabo dichas tareas. Aplicabilidad de soluciones TIC. La posibilidad de hacer uso de soluciones TIC permite una reduccin de costes significativa, as como la asuncin de estndares. Alta disponibilidad. Esta fortaleza es la principal caracterstica de los sistemas SCADA, como consecuencia de la posibilidad de monitorizar y gestionar de forma centralizada los procesos, as como automatizarlos.
Oportunidades Migracin a tecnologa de propsito general. Esta migracin es una gran oportunidad para reducir costes y mejorar carencias tpicas de los sistemas SCADA. Eficacia. Se puede lograr una eficacia operativa de negocio a travs de la monitorizacin y gestin centralizada y de la automatizacin de procesos y servicios.
Pgina 76 de 105
Regulacin y Legislacin. La nueva legislacin supone una oportunidad de mejora de la situacin de ese tipo de sistemas. Entorno cambiante. Este aspecto, aunque podra llegar a considerarse como una amenaza, es considerado en mayor medida como una oportunidad para solventar y corregir deficiencias que han afectado a este tipo de sistemas a lo largo del tiempo.
Debilidades Vulnerabilidades heredadas. La tecnologa de propsito general tradicionalmente ha contenido mltiples vulnerabilidades, por lo que puede suponer un riesgo. Vulnerabilidades de tecnologa propietaria. Esta debilidad es anloga al caso anterior, con la diferencia de que estas vulnerabilidades, por lo general, son menos conocidas. Dependencia de los fabricantes. Una vez que se cuenta con un sistema SCADA, la dependencia respecto al fabricante de los productos especializados es alta, debido a que resulta casi imposible usar para un mismo componente productos de diferentes fabricantes. Falta de concienciacin. La falta de concienciacin de seguridad, tanto por parte de los usuarios como de los fabricantes, ha dado lugar a muchos riesgos que deben ser considerados. Magnitud del sistema. La magnitud del sistema, ya sea geogrficamente o por la complejidad del proceso gestionado, supone un mayor esfuerzo para administrarla, tanto funcionalmente como en los aspectos relativos a la seguridad. Organigrama inadecuado. La diferenciacin entre seguridad fsica y seguridad lgica supone una menor preparacin ante amenazas. Ausencia de soluciones de seguridad especializadas. Aunque esta situacin est cambiando, a da de hoy existen pocas soluciones de seguridad especializadas y orientadas a este tipo de sistemas. Limitaciones impuestas por la necesidad de disponibilidad. La priorizacin de la disponibilidad ha supuesto una merma de la atencin en otros aspectos, especialmente en la seguridad.
Pgina 77 de 105
Amenazas Usuarios maliciosos. Debido a su criticidad, importancia y alcance, este tipo de sistemas se encuentran entre los potenciales objetivos de mltiples fuentes, como grupos terroristas o piratas informticos. Alta exposicin (Internet). Aunque la interconexin de este tipo de sistemas con Internet provee mltiples ventajas, supone tambin un alto grado de exposicin, incrementando notablemente la superficie de ataque. Publicacin de vulnerabilidades. La publicacin de vulnerabilidades por parte de investigadores puede suponer un riesgo para los productos afectados, especialmente en aquellos casos en los que los fabricantes de dichos productos no ofrecen parches de seguridad que las corrijan. Interrupcin de servicios bsicos. Debido a que muchos servicios considerados como bsicos o crticos estn controlados por este tipo de sistemas, la materializacin de una amenaza sobre la red puede suponer una interrupcin de dicho servicio.
Pgina 78 de 105
El anterior anlisis puede resumirse en la siguiente matriz:

Tabla 2: Matriz DAFO
Fortalezas
Anlisis Interno
- Monitorizacin y gestin centralizada - Automatizacin de procesos - Reduccin de costes a largo plazo - Aplicabilidad de soluciones TIC - Alta disponibilidad
Debilidades -Vulnerabilidades heredadas del TIC -Vulnerabilidades de tecnologa propietaria - Dependencia de los fabricantes - Falta de concienciacin - Magnitud del sistema - Organigrama inadecuado - Ausencia de soluciones de seguridad especializadas - Limitaciones impuestas por disponibilidad Amenazas - Usuarios maliciosos - Alta exposicin (Internet) - Publicacin de vulnerabilidades - Interrupcin de servicios bsicos
Fuente: INTECO
Oportunidades - Migracin a tecnologa de propsito general - Eficacia en la operativa de negocio - Regulacin y Legislacin - Entorno cambiante
Anlisis Externo
Tomando como base esta matriz, el resultado de la combinacin de los cuatro mbitos considerados es: Potencialidades. Surgen de la combinacin de las fortalezas y oportunidades. Definen las principales ventajas resultantes del uso de sistemas SCADA. Las principales potencialidades que se pueden extraer de este anlisis son: Desarrollar e implantar un sistema de monitorizacin y gestin en tiempo real empleando en la medida de lo posible tecnologa de propsito general, aplicando las soluciones TIC posibles para robustecer la seguridad. Aprovechar el entorno cambiante actual para realizar una migracin ordenada, extendiendo el uso de tecnologa de propsito general, y marcando adems como objetivo de la migracin la aplicacin de soluciones de seguridad y buenas prcticas.
Pgina 79 de 105
Reducir costes a largo plazo aprovechando la mayor eficacia que ofrecen este tipo de sistemas, as como migrando a tecnologas de propsito general. Automatizar procesos productivos o de servicios. Garantizar la robustez del proceso o servicio monitorizado y controlado por la red, obteniendo de esta forma una alta disponibilidad y mayor eficacia. Emplear soluciones TIC aplicables en estos sistemas para alcanzar el cumplimiento de la regulacin y legislacin vigente.
Limitaciones. Surgen de la combinacin de las debilidades y amenazas. Definen las principales preocupaciones que se deben considerar al hacer uso de este tipo de sistemas, debiendo prestarles especial atencin al realizar planificaciones. La existencia de vulnerabilidades, tanto heredadas de las soluciones TIC generales como las especficas de los productos SCADA, ha cobrado especial relevancia debido al auge del ciberterrorismo y de la publicacin de las mismas. Las vulnerabilidades resultan especialmente peligrosas debido a la ausencia de soluciones de seguridad especializadas para este tipo de sistemas, combinado con la alta exposicin a la que se estn viendo sometidas, ya sea a redes privadas, pblicas o incluso Internet. La magnitud del sistema, ya sea geogrfica o en funcin de la criticidad del servicio monitorizado y controlado, unida a la alta exposicin a la que se encuentran sometidos, da lugar a una superficie de ataque realmente amplia. La diferenciacin entre seguridad fsica y seguridad lgica tiene como consecuencia inmediata una menor proteccin frente a cualquier tipo de amenaza. Las fuertes exigencias de disponibilidad dan lugar en ocasiones a limitaciones en seguridad, con lo que el riesgo de sufrir ataques externos o internos haciendo uso de vulnerabilidades conocidas es muy elevado.
Riesgos. Surgen de la combinacin de las fortalezas y amenazas. Son aspectos a considerar al tomar las medidas preventivas y correctivas pertinentes. La monitorizacin y gestin centralizada de algn proceso o servicio es un foco de inters para terroristas, crackers o incluso personal interno con intenciones perniciosas.
Pgina 80 de 105
La automatizacin de los procesos es un aspecto crtico en este tipo de sistemas, por lo que su conexin a Internet puede suponer un gran riesgo, ya sea para la disponibilidad o para la confidencialidad. El uso de este tipo de sistemas supone a largo plazo una reduccin de costes, debido a su capacidad de monitorizacin y gestin centralizada y remota. Sin embargo, la interrupcin de este servicio, ya sea por error humano o por ataque, puede suponer un alto impacto econmico. La aplicabilidad de soluciones TIC es una gran ventaja debido a la abundancia de productos disponibles. Sin embargo, debido a las caractersticas particulares de este tipo de sistemas, es necesario ser cauteloso a la hora de aplicarlas a un entorno en concreto, ya que podra impactar negativamente en la disponibilidad o rendimiento del sistema.
Desafos: surgen de la combinacin de las oportunidades y debilidades. Son aspectos a considerar al planificar acciones futuras. La migracin a tecnologa de propsito general ofrece mltiples ventajas como la reduccin de costes o la estandarizacin de productos. Sin embargo, hay que ser cauteloso con esta migracin, ya que puede suponer la asuncin de vulnerabilidades propias de estos productos que antes no afectaban a estos sistemas. La reciente legislacin que se est desarrollando en el mbito nacional es una gran oportunidad para contemplar las debilidades intrnsecas a estos sistemas, definiendo medidas y controles compensatorios. Sin embargo, dicho cumplimiento puede llegar a resultar un desafo importante para algunas empresas. El uso de sistemas de SCADA supone un posicionamiento estratgico en el mercado, gracias a todas las ventajas que ofrece su uso. Sin embargo, puede resultar contraproducente si no se toman las medidas de seguridad y buenas prcticas adecuadas para protegerla, ya que puede convertirse en foco de ataques y amenazas que afecten a la operativa de negocio o a la imagen de la compaa. El entorno cambiante en el que se sitan estos sistemas es una gran oportunidad para mejorar carencias histricas propias de las mismas, sin embargo, en caso de no realizarse de forma adecuada, puede dar lugar incluso a un entorno ms inseguro que el actual.
Pgina 81 de 105
10.2 CONCLUSIONES DEL ANLISIS A modo de resumen, se recogen las principales conclusiones obtenidas de la presente investigacin: No todas las organizaciones son conscientes de que tienen un sistema SCADA En general, existe cierta confusin sobre la definicin de qu es un sistema SCADA. Este hecho da lugar a que muchas empresas, independientemente de su tamao, no sean conscientes de que poseen uno o varios sistemas SCADA. Uno de nuestros clientes [] piensa que no tiene ninguna red de control [], sin embargo tienen cientos de ellas sin ser conscientes. Por ejemplo, las redes que controlan los accesos de seguridad, las redes que controlan la calefaccin o el aire acondicionado... Los sistemas SCADA son vulnerables y estn expuestos al exterior Como consecuencia de mltiples factores, como pueden ser el exceso de confianza en la seguridad por oscuridad, el terico aislamiento respecto a otras redes o la falta de concienciacin sobre seguridad, da lugar en ocasiones a que algunos operadores de sistemas SCADA consideren que no son objetivo de potenciales ataques. Sin embargo, como han demostrado numerosos investigadores en el mbito de la seguridad informtica, la realidad es que pueden encontrase sistemas bastante inseguros, circunstancia que se agrava por la alta exposicin, en muchos de los casos desconocida, de este tipo de sistemas. La inseguridad viene dada por mltiples factores, como pueden ser: ausencia de bastionado, vulnerabilidades conocidas, diseos inseguros, ausencia de elementos de seguridad, etc. El entorno en el que se encuentran los sistemas SCADA ha cambiado Los sistemas SCADA, en sus orgenes, fueron diseados con el objetivo de mantener una disponibilidad absoluta del servicio, obviando la seguridad, y partiendo de la base de que el sistema aislado del mundo exterior. Estas premisas, con el transcurso de los aos, han evolucionado e incluso cambiado completamente. Si bien es cierto que la disponibilidad sigue primando respecto a otras caractersticas, la confidencialidad ha ganado relevancia siendo hoy en da una preocupacin importante. Esta preocupacin se ha visto potenciada por dos cambios sustanciales: Los sistemas SCADA ya no son sistemas aislados, por lo que resulta mucho ms fcil acceder a ellas.
Pgina 82 de 105
La migracin haca tecnologa de propsito general las ha hecho vulnerables frente a debilidades propias de las TIC comunes. Adems, en los ltimos aos investigadores del mbito de seguridad informtica han centrado su atencin en productos SCADA, por lo que han empezado a conocerse y publicarse vulnerabilidades de este tipo de sistemas.
Existe una importante oportunidad para realizar y aplicar una regulacin y legislacin adecuada En este campo en Europa, y ms concretamente en Espaa, han comenzado a darse pasos importantes, especialmente con las directivas y leyes que regulan la proteccin de infraestructuras crticas, as como con la constitucin de organismos pblicos como el CNPIC o el desarrollo de guas de buenas prcticas por organismos como el CCN. No obstante, aunque a juicio de la mayora de los expertos consultados se est avanzando por el buen camino y consideran que se trata de un aspecto que se encontraba pendiente en el marco legislativo espaol y cuya publicacin y aplicacin tendr efectos positivos en la proteccin de las mismas, muchos de ellos consideran que an queda camino por recorrer, lo cual presenta una gran oportunidad de establecer una regulacin y una normativa adecuada a las necesidades y caractersticas de este tipo de sistemas. Asimismo, segn la opinin de algunos de los expertos consultados, convendra estudiar y analizar la posibilidad de establecer un mecanismo u organismo sancionador, ya que consideran que resultara positivo para el cumplimiento de la ley. Sin embargo, otros expertos consultados consideran que podra resultar perjudicial para algunos sectores o empresas, al crearse un agravio comparativo respecto a otras regiones o pases en los que pudieran operar. Existe una tendencia de migracin y uso de tecnologas de propsito general Esta tendencia, propia de los ltimos aos, contiene tanto mltiples beneficios y oportunidades, como riesgos y amenazas a considerar. Entre los principales beneficios y oportunidades se puede destacar la flexibilizacin de los sistemas de monitorizacin y control en tiempo real al utilizar tecnologa estndar, la reduccin de costes y la reduccin de dependencia respecto a los fabricantes. En cuanto a las desventajas, conviene resaltar la asuncin de vulnerabilidades propias de estas tecnologas, as como posibles conflictos en trminos funcionales con la tecnologa propietaria.
Pgina 83 de 105
Es imprescindible enfocar la seguridad desde un punto de vista integral Aunque tradicionalmente se ha diferenciado entre la seguridad fsica y la seguridad lgica, principalmente debido a que esta ltima es ms reciente, es imprescindible utilizar un enfoque nico para abordar los riesgos actuales de un modo ms eficaz y eficiente. Hay que partir de un anlisis de riesgo antes de acometer mejoras Antes de acometer cualquier cambio, conviene realizar un anlisis de riesgo que permita a cada empresa conocer cul es su estado actual, con el objetivo de marcarse hitos y priorizar las tareas, solventando en primer lugar aquellas que sean consideradas como crticas.
Pgina 84 de 105
ANEXO I: ESQUEMA INTERRELACIONAL SCADA
Pgina 85 de 105
ANEXO II: CASO PRCTICO GRAN EMPRESA

I. OBJETIVOS Y ALCANCE
El principal objetivo del presente anexo es definir un caso terico de uso y explotacin de un sistema SCADA y una propuesta concreta de aseguramiento del mismo. Concretamente, se presenta a modo de ejemplo una empresa energtica que opere en el territorio nacional, y cuyo sistema SCADA tenga una gran dispersin geogrfica con un amplio conjunto de posiciones de campo. Por tanto, en este caso terico se expone un sistema SCADA tradicional, que monitoriza y controla un proceso e Infraestructura Crtica en tiempo real. II. INTRODUCCIN
El objetivo del presente proyecto es la revisin y aseguramiento del sistema SCADA de la compaa Distribucin Energtica S.A., el cual se encuentra desplegado a lo largo del territorio nacional. La seguridad de este sistema se considera crtica, ya que la operativa de negocio se basa en gran medida en su disponibilidad, por lo que la revisin de su estado actual resulta indispensable. Actualmente, la empresa cuenta con la siguiente infraestructura en el sistema SCADA: Un Centro de Control, ubicado en Madrid. Dicho centro de control, cuenta con los siguientes elementos: o o o o o o o Dos servidores SCADA redundados, en configuracin activo-pasivo. Dos servidores Histricos redundados, en configuracin activo-activo. Cinco consolas HMI para la monitorizacin y control del sistema. Cinco puestos de operador. Un router-firewall para la conectividad con la red corporativa. Dos routers para las comunicaciones con las posiciones de campo. Diez switches para las conexiones de los equipos y sistemas del centro de control.
Sesenta y dos posiciones de campo, dispersos por el territorio nacional. En cada una de dichas posiciones se encuentran, de forma genrica: o Uno o ms PLCs, que actan de intermediarios con los actuadores finales (la cantidad vara en funcin de la criticidad y tamao de la posicin).
Pgina 86 de 105
Sensores y actuadores electromecnicos monitorizados y controlados por el sistema SCADA. Uno o dos routers para las comunicaciones con el centro de control (en funcin de la criticidad y tamao de la posicin).
Las comunicaciones entre la red corporativa y el centro de control, as como las comunicaciones entre el centro de control y las posiciones de campo, se realizan utilizando el estndar de facto TCP/IP. Por otro lado, las comunicaciones locales entre los PLCs y los sensores y actuadores finales se realizan a travs de conexiones serie. La prctica totalidad de la red de comunicaciones es propiedad de la compaa, utilizando direccionamiento IPv4 privado tanto en lo referente a la red corporativa como en cuanto al sistema SCADA. El principal aspecto a cubrir en este proyecto de aseguramiento se centra en el diseo de una arquitectura de red segura, que cubra los siguientes aspectos: Conectividad segura entre el sistema SCADA y la red corporativa. Publicacin del servicio de cliente ligero hacia el sistema SCADA de forma segura. Segregacin de redes en funcin del tipo de trfico, criticidad del mismo, permisos, etc. Despliegue de sistemas IDS, as como un correlador de eventos que procese las trazas generadas por los IDS. Extensin de servicios corporativos hacia el sistema SCADA de forma segura: servidor de parches de seguridad y servidor de actualizacin de firmas de antivirus.
Asimismo se contempla la redundancia del centro de control, ya que actualmente en caso de contingencia grave, se trata de un punto nico de fallo. Esta redundancia se enmarca dentro de este proyecto con el objetivo de realizar una extensin segura de la red. III. SITUACIN ACTUAL
En esta seccin se va a describir la situacin actual de la compaa, ms concretamente, del sistema SCADA. A continuacin se adjunta un diagrama de red que muestra dicha situacin:
Pgina 87 de 105
Grfico 8: Ejemplo de SCADA I
Fuente: INTECO
Los principales aspectos detectados a mejorar son los siguientes: Existe un punto nico de fallo en la conexin entre la red corporativa y el centro de control. En caso de indisponibilidad del router-firewall, la conectividad se perdera. La configuracin de las reglas del firewall se basa en un filtrado de lista negra. Se han cerrado o filtrado algunos puertos considerados como innecesarios o peligrosos. Esta prctica puede resultar ineficiente ya que la lista de puertos restringidos puede llegar a ser prcticamente inabarcable, especialmente su mantenimiento y actualizacin peridicas.
Pgina 88 de 105
Actualmente no existe ninguna DMZ (red semi-confiable) para la publicacin de servicios entre el sistema SCADA y la corporativa. No existe ningn tipo de segmentacin de red en el Centro de Control. Se utiliza el mismo segmento lgico de red para diferentes tipos de trfico: comunicaciones SCADA, administracin de elementos de red, administracin de sistemas, etc.
No existe ningn mecanismo de deteccin de incidentes de seguridad en el sistema SCADA. Esta situacin dificulta la reaccin y toma de medidas adecuadas en caso de contingencia de seguridad. Los sistemas SCADA no reciben ni aplican parches de seguridad para el sistema operativo, por lo que son vulnerables a ataques conocidos y a exploits pblicos. Los antivirus instalados en los sistemas SCADA no reciben ni aplican actualizaciones en las firmas, por lo que su eficiencia se reduce notablemente. No existen elementos de filtrado lgico entre la red del Centro de Control y la Red de Campo, por lo que en caso de incidente de seguridad en alguna de las dos redes, se propagara a la otra de forma directa.
Otro aspecto a mejorar, aunque concierne en mayor medida a la disponibilidad que a la seguridad, lo suficientemente relevante como para incluirlo en este anlisis es la existencia de un nico Centro de Control. Esto supone un riesgo grave para la disponibilidad del sistema SCADA, ya que en caso de indisponibilidad del mismo (desastre natural, incendio, ataque fsico de gran impacto), se producira una interrupcin del servicio. IV. PROPUESTAS DE MEJORA
Tras describir la situacin actual de la compaa, en el presente apartado se describen los principales aspectos que se quieren mejorar tras acometer los cambios propuestos en el presente proyecto, siempre contemplando la seguridad como requisito a cumplir. En particular, los principales aspectos a contemplar, son: Proveer acceso remoto al sistema SCADA para la obtencin de informacin desde la red corporativa a travs de un cliente ligero. Esta caracterstica es requerida con el objetivo de disponer en tiempo real de la informacin de monitorizacin de la infraestructura controlada por el sistema SCADA. Dado que la configuracin de accesos remotos hacia el sistema SCADA supone incrementar la superficie de ataque contra la misma, se deben configurar tomando todas las precauciones necesarias para garantizar la confidencialidad e integridad
Pgina 89 de 105
de la informacin transmitida, as como la disponibilidad de los sistemas de la propia red. Establecer los mecanismos adecuados de descarga y aplicacin de parches de seguridad para el sistema operativo y las aplicaciones, as como de firmas de antivirus. Para cumplir este objetivo se pueden aprovechar los servidores de actualizaciones desplegados para el resto de los sistemas de la empresa. En particular, la opcin ms viable es la extensin de dichos servicios al sistema SCADA, con las particularidades necesarias. Configurar mecanismos de filtrado lgico y de deteccin de incidentes de seguridad. Debido a la criticidad del sistema SCADA, es necesario establecer un conjunto de medidas preventivas y de deteccin en cuanto a la seguridad, que dificulten tanto la ocurrencia como la propagacin de incidentes de seguridad y que, en caso de producirse, se cuenten con los medios necesarios para detectarlos, rastrearlos y corregirlos. Realizar un segmentado de la red para mejorar la eficiencia del uso de los recursos disponibles, as como para incrementar el nivel de seguridad. Crear un centro de control secundario de modo que, en caso de contingencia, se garantice la disponibilidad de la operativa de negocio. Asimismo, se recomienda extender las redes propuestas en el presente informe para el Centro de Control principal. Otra ventaja que conllevara la creacin de un centro de control secundario sera la posibilidad de realizar simulacros peridicos de incidentes en el centro de control principal. V. SOLUCIONES PROPUESTAS
Una vez realizado un anlisis de la situacin actual de la compaa detectando ciertos aspectos a mejorar, y tras enumerar los principales objetivos a lograr, se va a proponer un conjunto de soluciones que permitan alcanzar satisfactoriamente ambas cuestiones. El primer conjunto de soluciones propuestas son relativas a la configuracin y despliegue de una arquitectura de red segura, que incluya, al menos, los siguientes elementos y aspectos: Generacin y despliegue de tres DMZs, que son: o DMZ Actualizaciones: en esta DMZ se ubican los servidores de actualizaciones (aplicaciones, sistemas operativos, etc.) y los servidores
Pgina 90 de 105
de actualizaciones de firmas de antivirus. Estos servidores extienden el servicio ya desplegado en la red corporativa hacia el sistema SCADA. o DMZ Acceso: en esta DMZ se ubicar un servidor con un cliente ligero, que permita la visualizacin de la informacin del sistema SCADA desde la red corporativa. DMZ Eventos: en esta DMZ se desplegaran los servidores relativos a la correlacin y deteccin de eventos de seguridad en el sistema SCADA. Concretamente, se desplegar un correlador de eventos, que reciba y analice de forma agregada los eventos enviados por las sondas del sistema SCADA, y un visor de dichos eventos, al cual se pueda acceder desde la red corporativa.
La configuracin del cliente ligero en la DMZ de Acceso deber limitar sustancialmente las operaciones que se puedan realizar desde el mismo. En particular, deber permitir nica y exclusivamente acciones de lectura, que en ningn caso afecten a la operativa y funcionalidad del sistema SCADA. Asimismo, para robustecer el acceso, se recomienda configurar algn mecanismo de doble factor de autenticacin, ya sea para acceder al servidor o al propio cliente. Redundancia de elementos de conexin y filtrado entre la red corporativa y las DMZs, y entre las DMZs y los Centros de control. La situacin ideal sera emplear firewalls de diferentes fabricantes para que, en caso de que se descubra una vulnerabilidad en el firewall de un fabricante, no afecte al otro, y viceversa. Segmentacin de redes, con las siguientes subredes lgicas: o Subred SCADA: conecta a todos los equipos propios del sistema SCADA, extendindose desde el Centro de Control hasta las posiciones de campo. Se encarga de transmitir el trfico propio de SCADA, por lo que tiene prioridad mxima respecto al resto de subredes, y cuenta con un dimensionamiento adecuado. Subred de administracin de sistemas: conecta todos los equipos informticos desplegados en el sistema SCADA, ms concretamente en el Centro de Control, para permitir su administracin, ya sea para modificar la configuracin, para instalar parches de seguridad o actualizar las firmas de los sistemas antivirus. o Subred de administracin de elementos de red: conecta todos los dispositivos de red (firewalls, routers y switches) desplegados en el Centro de Control para permitir su administracin.
Pgina 91 de 105
Extensin lgica de las diferentes subredes del Centro de Control al Centro de Control Secundario, a travs de VLANs. Despliegue de sondas IDS en el sistema SCADA. Para obtener un rendimiento ptimo, se recomienda desplegarlas en los switches troncales de la red, habilitando en los mismos un puerto span que enve todo el trfico que pasa por dicho switch a la sonda IDS. Estas sondas debern enviar todas las alarmas generadas al correlador de eventos, mencionado anteriormente.
Sustitucin de los routers para las comunicaciones entre los Centros de Control y la Red de Campo por firewalls. El objetivo de estos firewalls es evitar la propagacin de ataques, desde o hacia los Centros de Control y la Red de Campo.
Por ltimo, se adjunta una versin simplificada del diagrama de red que recoge todas las recomendaciones realizadas. Los aspectos que no aparecen debido a la simplificacin son: Representacin de switches: no se han incluido en el diagrama ya que su despliegue dependera de muchos factores propios de la compaa. Representacin de sondas IDS: debido a que son muy dependientes de la configuracin y uso de los switches, no han sido incluidas en el diagrama. Conectividad de las subredes de administracin: dicha conectividad ha sido explicada en el documento, por lo que no se ha representado en el diagrama para facilitar su comprensin visual. Red de campo: representa genricamente algunas de las posiciones. No se incluyen todas debido a su elevado nmero.
El diagrama es el siguiente:
Pgina 92 de 105
Grfico 9: Solucin SCADA I
Fuente: INTECO
ANEXO III: CASO PRCTICO PYME

I. OBJETIVOS Y ALCANCE
El principal objetivo del presente anexo es proponer y definir un segundo caso terico de uso y explotacin de un sistema SCADA. A diferencia de en el caso anterior, la empresa ser una PYME, aunque debido a sus recursos limitados la mejor opcin para la gestin y mantenimiento del SCADA es externalizar dicho servicio. II. INTRODUCCIN
El objetivo del presente proyecto es la evaluacin del estado de seguridad y mantenimiento del sistema SCADA de la compaa Conservas Frescas y Duraderas S.L. Este sistema es el encargado de monitorizar y controlar el proceso de envasado, por lo que su disponibilidad y funcionamiento es considerado crtico para el negocio. Por ello, se ha tomado la decisin de acometer el proyecto actual, cuyos resultados permitirn evaluar la posibilidad de externalizar el mantenimiento y seguridad del sistema SCADA. Actualmente, la empresa cuenta con la siguiente infraestructura SCADA: Un Centro de Control, ubicado en una sala especial de la nave industrial donde se realiza el proceso de envasado, que cuenta con los siguientes elementos: o o o o o o Un servidor SCADA. Un servidor histrico. Dos consolas HMI para la monitorizacin y control del sistema. Dos puestos de operador. Un firewall para la conectividad con Internet. Diez switches para las conexiones de los equipos informticos ubicados en la nave industrial.
Los elementos propios del proceso industrial son: o o Seis PLCs, que actan de intermediarios con los actuadores finales. Sensores y actuadores electromecnicos monitorizados y controlados por el sistema SCADA.
Pgina 94 de 105
Otros elementos: o Dos puntos de acceso WiFi para la conexin de empleados a travs de sus porttiles. Diez ordenadores para el uso de los empleados.
Todas las comunicaciones entre los equipos informticos, y entre estos equipos y los PLCs, se realizan a travs de una nica red Ethernet, la cual tiene conectividad hacia Internet a travs del firewall ya mencionado. Para evitar la exposicin directa de los equipos de la red Ethernet, se emplean direcciones IPv4 privadas. El principal aspecto a cubrir en este proyecto es la realizacin de un anlisis de riesgo que permita identificar y evaluar el nivel de seguridad actual, as como la conveniencia de externalizar el servicio de mantenimiento y de seguridad. III. SITUACIN ACTUAL
En esta seccin se va a describir la situacin actual de la compaa, ms concretamente, del sistema SCADA. A continuacin se adjunta un diagrama de red que muestra dicha situacin:
Grfico 10: Ejemplo SCADA II
Fuente: INTECO
Los principales aspectos detectados son: Existe una nica red, tanto para el uso corporativo de los empleados, como para la monitorizacin y control del proceso. Esto puede suponer un gran riesgo, tanto funcionalmente como en lo relativo a seguridad. La existencia de dos puntos de acceso WiFi conectados a la red donde se ubican los sistemas SCADA incrementa la exposicin notablemente. La conectividad directa de la red donde se encuentran los sistemas SCADA e Internet expone al SCADA a una gran cantidad de riesgos innecesarios. La existencia de un nico servidor SCADA y un nico servidor de Histricos supone un riesgo alto para el proceso, ya que hay dos puntos nicos de fallos en la disponibilidad del SCADA. SOLUCIN PROPUESTA
IV.
Debido a las carencias detectadas en la red, y al tamao de la compaa, se propone la externalizacin del servicio de seguridad y mantenimiento del sistema SCADA a un proveedor especializado. Dado que esta gestin se realizar en gran medida remotamente, se recomienda habilitar un acceso remoto seguro a travs de una VPN, de modo que no suponga un riesgo para la compaa la existencia de dicho acceso. Para ello, se recomienda desplegar una DMZ en la que se ubique un concentrador VPN, que acte como extremo de un canal cifrado en las comunicaciones entre el proveedor y la compaa. Este concentrador deber bastionarse, al encontrarse publicado en Internet, y el mantenimiento lo llevar a cabo el proveedor contratado. Asimismo, se recomienda establecer una autenticacin de doble factor, con el objetivo de dificultar el acceso no autorizado (por ejemplo, contrasea y certificado emitido por autoridad reconocida). Los requisitos que se debern pedir al proveedor, son: Segmentacin de red: el trfico de administracin deber transmitirse por una nueva red lgica. Realizacin de copias de seguridad de la informacin crtica, de modo que en caso de incidencia se pueda recuperar la funcionalidad. Mantenimiento hardware de los equipos del sistema.
Pgina 96 de 105
Instalacin de un servidor web para la consulta remota del estado del SCADA y del proceso industrial. Asimismo, para garantizar la confidencialidad e integridad de las conexiones, se adquirir un certificado de una entidad reconocida. Para la conexin al servidor web, se configurar un proxy web en una nueva DMZ.
Esta situacin final descrita se refleja en el siguiente diagrama. Para que resulte ms visual, se ha empleado el color verde para representar la red lgica propia de la compaa, mientras que el color rojo representa la red de administracin que utilizar el proveedor contratado.
Grfico 11: Solucin SCADA II
Fuente: INTECO
Por ltimo, se recomienda eliminar el punto de acceso WiFi o, en caso de resultar imprescindible, segregar dicha red de modo que desde ella no hubiese ningn tipo de conectividad con los sistemas SCADA.
Pgina 97 de 105
ANEXO IV: PROTOCOLOS DE SCADA

Tabla 3: Protocolos de SCADA
Protocolo
Protocolo de Transporte
Uso
Industria
Ventajas
Debilidades
- Originariamente, DNP3 TCP/UDP comunicaciones serie. - Maestro/esclavo. - Autenticacin de datos. - Autenticacin de origen. Secure DNP3 - Seguridad en la capa de aplicacin de DNP3. Principalmente elctrico y agua - Bidireccional. - Autenticacin mediante HMAC con challenge/response para cada funcin. - Autenticacin extensible a otros cdigos de funcin. - Clave de sesin (pero compartida mediante PSK). - Snort IDS tiene firmas de ataques DNP3. - Directamente sobre Ethernet. - Comunicacin con otras redes, routers/gateways EtherCAT UDP encapsulan sobre UDP. - Maestro/esclavo. - Requisitos de rendimiento estrictos. Fabricacin industrial (mquinas industriales) - Broadcast y Multicast. - Cualquier topologa de bus. - 12000 I/O en 300 micro_s. - Interoperatividad con otros protocolos fieldbus. - PSK (Pre-Shared Key). - Modo Agresivo en la autenticacin. Principalmente elctrico y agua - Muy fiable, robusto y eficiente. - Ausencia de medidas de seguridad
TCP/UDP
- Envo de datos directamente sobre el bus de datos, que llega a todos los elementos conectados al bus.
Pgina 98 de 105
- Equivalente de Token Ring sobre FL-net UDP Ethernet (determinista). - Para LANs pequeas (<100 u). Foundation Fieldbus HSE (TCP/)UDP - Principalmente Asia y Norte Amrica. Sector petroqumico. - Mltiples bloques de funciones. - Diversas versiones. - PROFIBUS-FMS (Fieldbus Message Specification), PROFIBUS Serie - Fomentar uso y bajo coste. Fabricacin industrial genrico. - PROFIBUS-DP (Decentralized Periphery), para fabricacin industrial. - PROFIBUS-PA (Process Automation), para aplicaciones de automatizacin de procesos. - PROFIBUS sobre Ethernet. PROFINET (TCP/)UDP - Comunicaciones crticas de tiempo real. - Uno de los MODBUS Serie protocolos ms utilizados. - Protocolo de nivel de aplicacin. - Simple. - 127 funciones. - Integracin con redes EtherNet/IP y DeviceNet. Cliente Modbus -> EtherNet/IP o DeviceNet s, al contrario no es posible. MODBUS TCP TCP Diversos sectores - Snort IDS tiene firmas de ataques MODBUS. - No hay elementos de seguridad. - Complejo. - No hay seguridad en FF. - Comunicaciones deterministas. - No hay seguridad. - Ausencia de autenticacin, cifrado, etc. Fabricacin industrial - Nmeros de secuencia (gestin similar a TCP). - Diseado como protocolo any-to-any.
Fabricacin industrial
- Apoyado por Siemes, ERTEC, Hilscher.
- No hay planes para aadir seguridad.
Diversos sectores
- No hay elementos de seguridad.
Pgina 99 de 105
- Aplicaciones de tiempo real. NetDDE TCP - Creado por Wonderware. - A veces sustituido por OPC. - Protocolo para el intercambio de informacin entre compaas Diversos sectores
- Se integra perfectamente con aplicaciones Microsoft (Office y similares). - Definicin con detalle del nivel de permisos y autorizaciones a objetos. - Jerarqua de 3 niveles (App, Topic e Item).
- Microsoft. - Extiende DDE de Microsoft. - Sobre NetBIOS.
ICCP
TCP
Sector elctrico
- IEC 62351
- No implementa medidas de seguridad - No hay controles de seguridad efectivos. - Servicios DCOM y RPC. - Descubrimiento de servicios y Niveles de Seguridad de los servidores. - Permiso de uso de protocolos no seguros (sin cifrado, vulnerable si se usa sobre HTTP).
- Gran modelo de seguridad. - Integridad del mensaje. - Autenticacin de la Instancia de la Aplicacin. - Autenticacin del Usuario. OPC UA TCP o especfico del fabricante - Control y monitorizacin de sistemas. Diversos sectores - Confidencialidad. - Logs de Auditora de Seguridad. - Proteccin de Replay (nmeros de secuencia). - Proteccin de Mensajes Malformados. - Proteccin DoS. - Web Services (UA Binary XML para tiempo real, UA XML normal para otros usos no crticos).
Pgina 100 de 105
ANEXO V: BIBLIOGRAFA
American Gas Association (2006). Cryptographic Protection of SCADA Communications Part 1: Background, Policies and Test Plan. http://www.aga.org/SiteCollectionDocuments/Committees/Gas%20Control/0603A GAREPORT12.PDF Centro Criptolgico Nacional (2010). Seguridad en el Control de Procesos y SCADA Gua de Buenas Prcticas. https://www.ccn-cert.cni.es/publico/seriesCCN-STIC/series/400Guias_Generales/480A-SCADA-Guia_de_buenas_practicas/480A-SCADAGuia_de_buenas%20practicas-ene10.pdf Centro Criptolgico Nacional (2010). Seguridad en Sistemas SCADA. http://www.cnpic-es.es/Biblioteca/GUIAS_CCN/480-Seguridad_sistemas_SCADAmar10.pdf ENISA (2011). Protecting Industrial Control Systems. Recommendations for Europe and Member States. http://www.enisa.europa.eu/act/res/other-areas/ics-scada/protecting-industrialcontrol-systems.-recommendations-for-europe-and-member-states Geoffrey W. Turner, Forrester (2008). Industrial Control System Security. Igor Nai Fovino, Alessio Coletta & Marcelo Masera; ESCoRTS (2010). Taxonomy of security solutions for the SCADA sector. http://www.cen.eu/cen/Sectors/Sectors/ISSS/Focus/Documents/D22.pdf Keith Stouffer, Joe Falco & Karen Scarfone; NIST (2011). Guide to Industrial Control Systems (ICS) Security. http://csrc.nist.gov/publications/nistpubs/800-82/SP800-82-final.pdf Khalid Kark; Forrester (2009). Twelve Recommendations for Your 2009 Information Security Strategy. Michel Rasmussen; Forrester (2003). IT Issues and Opportunities in the Utilities Industry: Security of Supervisory Control and Data Acquisition (SCADA) Networks. National Communication System (2004). National Communication System, Supervisory Control and Data Acquisition (SCADA) Systems. http://www.ncs.gov/library/tech_bulletins/2004/tib_04-1.pdf
Pgina 101 de 105
Paul Cornish, David Livingstone, Dave Clemente & Claire Yorke; Chatman House (2011). Cyber Security and the UKs Critical National Infrastructure. http://www.chathamhouse.org/sites/default/files/public/Research/International%20 Security/r0911cyber.pdf R. Hansen, A. Hilton, B. Berger, W. Pullan, Z. Gao & C. M. Lee; Stoneflytech (2001). Low-cost automation and SCADA: a Pacific RIM perspective. http://www.stoneflytech.com/assets/32/Low_Cost_Canal_Automation_and_SCAD A.pdf Ramon Krikken; Gartner (2011). Field Research Summary: Security Monitoring. U.S. Department of Energy (2006). 21 steps to improve cyber security of SCADA networks. http://www.oe.netl.doe.gov/docs/prepare/21stepsbooklet.pdf U.S. Department of Homeland Security (2011). Common Cybersecurity Vulnerabilities in Industrial Control Systems. http://www.uscert.gov/control_systems/pdf/DHS_Common_Cybersecurity_Vulnerabilities_ICS_2 010.pdf
Pgina 102 de 105
ANEXO VI: NDICE DE GRFICOS Y TABLAS

NDICE DE GRFICOS Grfico 1: Estructura de los sistemas SCADA..................................................................19 Grfico 2: Esquema interrelacional SCADA .....................................................................22 Grfico 3: Comparativa Pirmides CIA ............................................................................23 Grfico 4: Pirmide cromtica CIA ...................................................................................24 Grfico 5: Centros de Control ..........................................................................................27 Grfico 6: Comunicaciones de campo .............................................................................28 Grfico 7: Localizaciones de campo ................................................................................29 Grfico 8: Ejemplo de SCADA I .......................................................................................88 Grfico 9: Solucin SCADA I ...........................................................................................93 Grfico 10: Ejemplo SCADA II .........................................................................................95 Grfico 11: Solucin SCADA II ........................................................................................97
NDICE DE TABLAS Tabla 1: Componentes de propsito general empleados en sistemas SCADA ................25 Tabla 2: Matriz DAFO ......................................................................................................79 Tabla 3: Protocolos de SCADA ........................................................................................98
Pgina 103 de 105
Sguenos a travs de:
Web
http://observatorio.inteco.es Perfil Facebook ObservaINTECO http://www.facebook.com/ObservaINTECO Perfil Twitter @ObservaINTECO http://www.twitter.com/ObservaINTECO Perfil Scribd ObservaINTECO http://www.scribd.com/ObservaINTECO Canal Youtube ObservaINTECO http://www.youtube.com/ObservaINTECO Blog del Observatorio de la Seguridad de la Informacin: http://www.inteco.es/blogs/BlogSeguridad
Envanos tus consultas y comentarios a:

observatorio@inteco.es
Instituto Nacional de Tecnologas de la Comunicacin
www.inteco.es

Estudio Sobre La Seguridad de Los Sistemas de Monitorización y Control de Procesos e Infraestructuras (SCADA)

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Estudio Sobre La Seguridad de Los Sistemas de Monitorización y Control de Procesos e Infraestructuras (SCADA)

Caricato da

Copyright:

Formati disponibili

Estudio sobre la seguridad de los sistemas de monitorizacin y control de procesos e infraestructuras (SCADA)

OBSERVATORIO DE LA SEGURIDAD DE LA INFORMACIN

Edicin: Marzo 2012

Correo electrnico del Observatorio de la Seguridad de la Informacin: observatorio@inteco.es

Organizaciones internacionales .........................................................................44

I. II. III. IV. V.

FASE 2: CONSULTA A EXPERTOS

INTRODUCCIN A LOS SISTEMAS DE MONITORIZACIN Y CONTROL EN TIEMPO REAL

ESTRUCTURA Y COMPONENTES DE LOS SISTEMAS SCADA

La estructura tpica de un sistema SCADA tradicional podra ser la siguiente:

Fuente: Forrester Research

Grfico 2: Esquema interrelacional SCADA

Fuente: Elaboracin propia

DIFERENCIAS EN SEGURIDAD RESPECTO A OTROS ELEMENTOS TIC

Grado de madurez: Alto Medio Bajo

de correo electrnico, servicios de despliegue actualizaciones, antivirus, administracin remota, etc.

Grfico 7: Localizaciones de campo

monitorizacin en tiempo real consecuencias no esperadas.

REGULACIN: LEGISLACIN APLICABLE ESTNDARES INTERNACIONALES

COM (2004) 702 final no publicada en Diario Oficial.

COM (2006) 786 final Diario Oficial C 126 de 7 de junio de 2007.

DOL, 23 de diciembre, de 2008, nm. 345, pgina 75.

B.O.E. nm. 102, de 29 de abril. B.O.E. nm. 121, de 21 de mayo.

RIESGOS PARA LA SEGURIDAD DE LOS SISTEMAS DE MONITORIZACIN Y CONTROL EN TIEMPO REAL

CAUSAS DEL ESCENARIO ACTUAL DE RIESGO

MOTIVACIN DE LOS ATACANTES

Definicin y aplicacin de roles y responsabilidades

LNEAS DE DESARROLLO SEGURIDAD SCADA

Profundizacin en el marco legislativo

El anterior anlisis puede resumirse en la siguiente matriz:

ANEXO I: ESQUEMA INTERRELACIONAL SCADA

ANEXO II: CASO PRCTICO GRAN EMPRESA

Grfico 8: Ejemplo de SCADA I

Grfico 9: Solucin SCADA I

ANEXO III: CASO PRCTICO PYME

ANEXO IV: PROTOCOLOS DE SCADA

- Apoyado por Siemes, ERTEC, Hilscher.

- No hay planes para aadir seguridad.

- No hay elementos de seguridad.

- Microsoft. - Extiende DDE de Microsoft. - Sobre NetBIOS.

Pgina 100 de 105

Pgina 101 de 105

Pgina 102 de 105

ANEXO VI: NDICE DE GRFICOS Y TABLAS

Pgina 103 de 105

Sguenos a travs de:

Envanos tus consultas y comentarios a:

Instituto Nacional de Tecnologas de la Comunicacin

Potrebbero piacerti anche