Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
27/11/2013
El repte de la Ciberseguretat Industrial
En els últims anys assistim a un canvi vertiginós i radical en el mapa de riscos que afecten els sistemes de control industrial (ICS).
Tradicionalment este tipus de sistemes s’han aïllat físicament i s’han desenrotllat amb sistemes i protocols específics però, per a aconseguir l’eficiència i la flexibilitat, s’han integrat amb els sistemes estàndard de les tecnologies de la informació i comunicacions, amb la particularitat que un error en el seu funcionament pot causar la destrucció d’equipament de costos elevats, la interrupció d’operacions crítiques a tots els nivells, un gran impacte econòmic, una pèrdua important de confiança i, fins i tot, la pèrdua de vides humanes.
Els ICS (Sistemes de Control Industrial, sigles en anglés d’Industrial Control Systems), en general encarregats de controlar línies de producció, els sistemes de protecció contra incendis, l’encesa i l’apagament de grups electrògens, etc., o els distints tipus en particular: PLC (Programable Logic Controllers), SCADAS (Supervisory Control and Data Aquisition), RTE (Real Time Embedded Systems), RTU (Remote Terminal Unit), etc., integrats en el món TI aprofiten, per tant, els grans avantatges d’esta tecnologia, però estan exposats a un món ple de noves amenaces.
Ens trobem amb un problema afegit en abordar la seguretat d’este tipus de sistemes. La convergència entre els sistemes d’informació corporativa i els sistemes de control industrial ens ha traslladat a un món en què màquines, persones i informació estan interconnectats entre si intercanviant dades, ordes de control o informació a tots els nivells. Mentres els sistemes d’informació corporativa han estat habitualment gestionats per professionals del món TIC, els sistemes de control industrial han estat gestionats per altres col·lectius com el dels enginyers industrials que, en línies generals, s’ha mantingut allunyat i distant del món digital i, sobretot, de les seues amenaces. Este és un dels grans obstacles que hem de salvar: la incredulitat dels professionals que gestionen i manegen este tipus de sistemes de control davant de la possibilitat de patir un ciberatac que afecte el funcionament normal dels sistemes de control industrial. Per dir-ho d’una altra manera, una gran majoria d’estos professionals, directament, no creuen que este tipus d’incidents, ja siga d’una forma fortuïta o deliberada, puguen produir-se, i encara en el cas en què puguen produir-se, la immensa majoria està convençuda que l’impacte sobre el funcionament dels seus sistemes industrials seria mínim. Esta creença representa, en si mateixa, un problema molt seriós per a les empreses en particular i per a la societat en general quan els sistemes de control industrial són els responsables de vetlar pel bon funcionament del que coneixem per infraestructures crítiques nacionals.
Tots els països desenrotllats s’han posat mà a l’obra a marxes forçades amb declaracions, normatives, lleis, guies de bones pràctiques i tot tipus de documents que, entre moltes altres coses, coincidixen en la necessitat d’aconseguir, coste el que coste, una cultura de la ciberseguretat apropiada a les amenaces a les quals ens enfrontem com a societat.
Llegiu l’article complet en Security Art Work.