REVISTA .SEGURIDAD | 1 251 478, 1 251 477 | REVISTA BIMESTRAL

Sistemas SCADA, consideraciones de seguridad

Introducción

Intentaremos exponer las dificultades que encuentran las soluciones de seguridad que se aplican a las redes telemáticas convencionales (ICT: Information and Communications Technology) cuando se aplican a las redes telemáticas industriales (ICS: Industrial Control System).

Comenzaremos por la descripción de SCADA (Supervisory Control and Data Acquisition), es el nombre del sistema de información especializado que se utiliza informalmente para referirse a un conjunto de tecnologías, protocolos y plataformas, que componen lo que se denomina la ICS.

Los SCADA habitualmente tienen funciones de automatización y control en los procesos industriales y diferentes niveles de interacción con los dispositivos remotos, siendo capaces, en su nivel más bajo, de únicamente recabar datos (presión, temperatura, posición). En el nivel intermedio, de dirigir a distancia dispositivos bajo supervisión humana remota (abrir compuertas, cerrar válvulas). En su nivel más alto de interacción, tomar decisiones en forma automática (abrir o cerrar válvulas para mantener niveles de tanques, rangos de presión en líneas de vapor, disparar disyuntores eléctricos en líneas de alta tensión, etc.).

La razón por la que estos sistemas se destacan entre los activos de información críticos, es por su potencial de impacto en la población en caso de una disfunción: Centrales de generación eléctrica (nucleares, térmicas, etc.), control de redes de energía, redes de aguas potables, control de gasoductos, líneas automatizadas de producción en fábricas, control y gestión de plantas de destilación de hidrocarburos, petroquímicas, etc., instalaciones que cuando tienen malos funcionamientos o interrupciones, generalmente afectan a miles de personas.

Es importante precisar, además, que en la medida en que los dispositivos se hacen más precisos y confiables, más decisiones de control se están delegando a este tipo de sistemas, dado que su capacidad de toma de decisiones con frecuencia es más ajustada (de mayor precisión) y más estándar (lo que asegura mejoras de calidad en muchos procesos) que el control manual humano.

Históricamente, estos sistemas nacieron en una situación muy diferente a la que operan actualmente: eran implementados en recintos cerrados, controlando dispositivos físicos cercanos (frecuentemente bajo línea de vista del operador) y bajo estrictos controles de acceso físico en el interior de la instalación industrial que debían medir o controlar. La mayoría de las implementaciones se realizaban para controlar y registrar variables físicas (temperatura, presión, etc.) y estandarizar el comportamiento de válvulas de flujo, niveles de tanques y generalmente la idea “concepto” era realizar una instalación inicial y mantenerla en forma inalterada en el tiempo. La seguridad se controlaba por “obscuridad”, dejando la red desconectada de su entorno y dando acceso a un número limitado de empleados especializados. Es frecuente encontrarse con estos sistemas operando sin interrupciones ni actualizaciones desde hace cuatro o cinco años.

Por esta forma de ser implementados y gestionados, los sistemas SCADA eran, en el pasado, relativamente inmunes a las intrusiones y ataques que sufrían las redes en el exterior, no por ser más resistentes, sino porque estaban desconectados y eran inaccesibles desde las redes administrativas o Internet.

Es esencial entender que este aislamiento ha cambiado, ahora es necesario tomar datos del proceso industrial en tiempo real, llevarlos a diversos sistemas de las redes administrativas, interconectar nuestro sistema de control con empresas proveedoras a través de Internet, o comandar a distancia elementos a través de datos de la red celular. Para ello, es necesario utilizar los mismos protocolos y tecnologías que usan las redes de datos en general. Esta situación está provocando una alta exposición de estos frágiles sistemas a ataques desde el exterior. Es cada vez es más frecuente encontrarse con incidentes de seguridad que los afectan seriamente[1].

Otro aspecto relevante son las prácticas de los operadores de los sistemas de control industrial, que culturalmente siguen percibiendo y trabajando con estos sistemas, como si estuvieran aislados e implícitamente seguros.

Sistemas de seguridad de la información – Dificultades

Existe un profuso desarrollo y múltiples experiencias de éxito de sistemas de gestión de seguridad de la información para redes complejas de tecnologías de la información y telecomunicaciones[2].

La mayoría de las propuestas son implementadas bajo el estándar ISO 27000, lo que implica en la génesis de los sistemas, que el aseguramiento debe garantizarse sobre tres aspectos: confidencialidad, integridad y disponibilidad.

El orden en la que se presentan estas tres características no es casual y es causal de muchos de los aspectos que hacen inadecuado un Sistema de Gestión de Seguridad de la Información (SGSI) tradicional para una red industrial. Para una entidad financiera, de gobierno o una empresa, en general los riesgos más importantes están dirigidos por una posible pérdida de confidencialidad (por ejemplo, debido a razones competitivas o pérdida de información privada de los ciudadanos), luego deben ser considerados temas de integridad y cierra la lista de características la disponibilidad.

Por supuesto existen industrias en donde los órdenes están invertidos. Por ejemplo, en un sistema de prepago de celulares, la disponibilidad es crucial, al igual que en las ICS. La ventana de tiempo aceptable de indisponibilidad del servicio no supera los 40 segundos. En una entidad bancaria, la integridad de la base de datos de cuentas bancarias es lo más importante; sin embargo, en la mayoría de las soluciones, el ordenamiento de relevancia de las características es confidencialidad, integridad y disponibilidad.

Cuando desarrollamos sistemas de gestión industrial, la disponibilidad del mismo es crucial debido a que una interrupción de dichos sistemas, provoca inmediatamente falta de control de los sistemas productivos, pérdidas de calidad y estandarización de calidad y, en los sistemas críticos, potencialmente se pone en riesgo la vida de personas. Sigue en prioridad la integridad de la información para lograr una rápida recuperación al estado de régimen después de una interrupción y, finalmente, la confidencialidad.

Esta diferenciación de prioridades provoca importantes diferencias a la hora de escoger e implementar herramientas de trabajo y seguridad. Asimismo, torna algunas prácticas habituales del mundo de las Tecnologías de la Información y Comunicación (TIC ) en inaceptables para los entornos industriales.

Por ejemplo, el reinicio de sistemas es una práctica habitual en los procesos de actualización y parcheo de software para mejorar el desempeño o la seguridad en el mundo de las tecnologías de la información, pero en el entorno industrial, este tipo de prácticas es, en muchos casos, imposible o excesivamente oneroso, puesto que implica la detención del proceso industrial con sus consecuentes costos de parada y reposición del estado de régimen. Imaginemos que cada vez que sea necesario actualizar un sistema operativo se detenga la línea de destilación de una refinería, con un costo de varios millones de dólares. Esto determina como práctica operativa habitual “prohibir” la actualización de los sistemas operativos de aplicaciones o software de soporte en dichas implementaciones, hasta que se defina la detención de la instalación por otros motivos (mantenimiento o incidentes).

Para facilitar la conectividad y estabilidad de estas plataformas, en la mayoría de los protocolos de comunicación SCADA entre los servidores de control, las RTU (Remote Terminal Units), los PLC (Programmable Logic Controlers) y otros dispositivos; raramente se incorporan consideraciones de seguridad (entre los más difundidos: DNP3, Modbus[3], ICCP, OPC). Todos estos protocolos tienen reconocidas vulnerabilidades, brindando en casi todos los casos gran cantidad de información en texto plano que permite obtener datos relevantes de la infraestructura).

Las aplicaciones SCADA deben sortear arduos controles de compatibilidad para conectar exitosamente los múltiples dispositivos periféricos que utilizan, como sensores, PLC, válvulas, etc., por lo que en general, la actualización de dichas aplicaciones tiene una demora con el estado del arte de la seguridad en software de al menos un año, en la mayoría de los casos. Inclusive debemos tener presente que, si actualizamos el sistema operativo sin obtener la comunicación de compatibilidad del fabricante del SCADA, podemos perder garantías y sufrir interrupciones de la operación por incompatibilidad.

Por otra parte, la vida útil de los equipamientos y aplicaciones es otro aspecto en el cual los dos mundos: TIC y ICS difieren absolutamente, los tiempos de Redes de Control Industrial  (RCI) son habitualmente muy largos (hemos encontrado implementaciones activas de principios de la década de los 90) y con las cuales las organizaciones están muy conformes con su desempeño y no desean cambiar. En el mundo TIC, la velocidad de renovación de hardware y software rara vez supera los tres años de antigüedad. Esto hace que la mayoría del equipamiento disponible en el mundo RCI sea antiguo, con escasa capacidad computacional, imposibilitando la implementación de nuevas funcionalidades de seguridad (como certificar o cifrar las comunicaciones).

Por último, en los tiempos que corren, las organizaciones se encuentran abocadas a centralizar las gestiones de los sistemas de control e interconectarlos con los sistemas administrativos, perdiéndose de vista la localización y control directo de los operadores contra los sistemas SCADA y exponiéndolos a múltiples redes, incluso en ocasiones, a comunicaciones a través de Internet.

Así las cosas, es natural encontrarse sistemas operativos obsoletos, aplicaciones débilmente implementadas y en los hechos encontrarnos frente a una excelente práctica operativa (es decir ¡concluir que nada mejor se puede hacer!). Es la realidad de construir con desarrollos concebidos para el mundo TIC, aplicaciones para el mundo RCI.

 


[1] D.J. Kang, Proposal strategies of key management for data encryption in SCADA network of electric power systems.

[2] SGSI para organizaciones complejas, Eduardo Carozo, ISACA

[3] Modbus, Modbus Application Protocol Specification V1.1b, 2006

UNAM

[ CONTACTO ]

Se prohíbe la reproducción total o parcial
de los artículos sin la autorización por escrito de los autores

 

Hecho en México, Universidad Nacional Autónoma de México (UNAM) © Todos los derechos reservados 2017.