Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
27/11/2013
El reto de la Ciberseguridad Industrial
En los últimos años estamos asistiendo a un cambio vertiginoso y radical en el Mapa de Riesgos que afectan a los sistemas de control industrial (ICS).
Tradicionalmente este tipo de sistemas han estado aislados físicamente y desarrollados con sistemas y protocolos específicos pero, en aras de la eficiencia y la flexibilidad, se han integrado con los sistemas estándar de las tecnologías de la información y comunicaciones, con la particularidad de que un fallo en su funcionamiento puede causar la destrucción de equipamiento de costes elevados, la interrupción de operaciones críticas a todos los niveles, un gran impacto económico, una pérdida importante de confianza e incluso la pérdida de vidas humanas.
Los ICS (Sistemas de Control Industrial, por sus siglas en inglés: Industrial Control Systems) en general, encargados de controlar líneas de producción, sistemas de protección contra incendios, arranque y parada de grupos electrógenos, etc, o los distintos tipos en particular: PLCs (Programable Logic Controllers), SCADAS (Supervisory Control and Data Aquisition), RTE (Real Time Embedded Systems), RTU (Remote Terminal Unit), etc., integrados en el mundo TI aprovechan, por tanto, las grandes ventajas de esta tecnología, pero están expuestos a un mundo lleno de nuevas amenazas.
Nos encontramos con un problema añadido al abordar la seguridad de este tipo de sistemas. La convergencia entre los Sistemas de Información Corporativa y los Sistemas de Control Industrial nos ha trasladado a un mundo en el que máquinas, personas e información están interconectados entre sí intercambiando datos, órdenes de control o información a todos los niveles. Mientras los Sistemas de Información Corporativa han estado habitualmente gestionados por profesionales del mundo TIC, los Sistemas de Control Industrial han estado gestionados por otros colectivos como el de los Ingenieros Industriales que, en líneas generales, se ha mantenido alejado y distante del mundo digital y, sobre todo, de sus amenazas. Este es uno de los grandes obstáculos que tenemos que salvar: la incredulidad de los profesionales que gestionan y manejan este tipo de sistemas de control ante la posibilidad de sufrir un “Ciberataque” que afecte al normal funcionamiento de los Sistemas de Control Industrial. Por decirlo de otra manera, una gran mayoría de estos profesionales, directamente, no creen que este tipo de incidentes, ya sea de una forma fortuita o deliberada, puedan producirse y aún en el caso en el que puedan producirse, la inmensa mayoría está convencida de que el impacto sobre el funcionamiento de sus sistemas industriales sería mínimo. Esta creencia representa, en si misma, un problema muy serio para las empresas en particular y para la sociedad en general cuando los sistemas de control industrial son los responsables de velar por el buen funcionamiento de lo que conocemos por Infraestructuras Críticas Nacionales.
Todos los países desarrollados se han puesto manos a la obra a marchas forzadas con declaraciones, normativas, leyes, guías de buenas prácticas y todo tipo de documentos que, entre otras muchas cosas, coinciden en la necesidad de conseguir, a toda costa, una cultura de la ciberseguridad apropiada a las amenazas a las que nos enfrentamos como sociedad.
Leer artículo completo en Security Art Work.