Preparando KICS hacia la protección industrial

¡Hurra!

Hemos lanzado KICS (Kaspersky Industrial CyberSecurity) la cibervacuna especial contra ciberenfermedades, la cual brinda protección a fábricas, plantas energéticas, hospitales, aeropuertos, hoteles, almacenes, carnicerías y otros miles de tipos de empresas que utilizan sistemas de control industrial (SCI). En otras palabras, debido a que casi todas las empresas se manejan con dichos sistemas, ¡acabamos de lanzar una cibersolución dirigida a millones de negocios grandes, medianos y pequeños de producción y servicio de todo el mundo!

Entonces, ¿qué es todo esto de KICS? ¿Para qué sirve? Primero, recapitulemos…

Antes de la década de los 2000, un ciberataque en una instalación industrial solo podía ser la fuente de inspiración para un escritor de ciencia ficción. Pero el 14 de agosto de 2003 en el noreste de EE.UU. y en el sureste de Canadá, la ciencia ficción se hizo realidad:

kaspersky-industrial-security-1

Debido a ciertos problemas en el suministro eléctrico, 50 millones de ciudadanos norteamericanos se quedaron sin electricidad (unos durante horas, otros durante días). Se rumoraban muchas razones tras esta catástrofe creada por el hombre, incluyendo árboles en mal estado, la caída de un rayo, ardillas malvadas y… el efecto secundario de un ciberataque que empleó el gusano informático Slammer (Blaster).

Lo que yo sé es que en realidad fue una combinación de todos estos factores. Quiero decir, ocurrió un acontecimiento muy extraño (árboles/ardillas) y al mismo tiempo el gusano provocó accidentalmente la caída del sistema de comunicaciones: una emergencia localizada y a pequeña escala se transformó en una a gran escala porque los mecanismos de control no fueron capaces de lidiar con la situación, lo que causó un efecto dominó que llegó a la región entera.

Probablemente ya habían ocurrido incidentes como este anteriormente, ya que el ICS y las redes de ordenadores existen desde hace varias décadas. Pero es posible que esos incidentes se hayan mantenido en secreto o hayan desaparecido. Lo más importante en este momento es el hecho de que desde el 2003 ha habido cada vez más historias nuevas sobre ciberataques con objetivos industriales, y son cada vez más frecuentes. Y en el 2010, el ataque de Stuxnet al programa nuclear iraní demostró que el problema tiene aspecto militar.

kaspersky-industrial-security-2

Conclusión: las instalaciones industriales también son vulnerables ante los ciberataques, y no solo eso, las consecuencias de ignorar este hecho pueden llegar a ser muuuuy desagradables, incluso catastróficas.

Muy bien. Está claro que el sector industrial necesita protección. Pero, ¿cómo?

Bien, en cuanto a las soluciones estándar de terminal, éstas protegen solo una parte de la infraestructura de las empresas, específicamente la llamada “red corporativa“. Los procesos de protección de la producción (la red industrial) requieren un enfoque completamente diferente ya que las redes industriales son algo muy diferente desde las cosas que ya se protegen (PLC, SCADA, HMI…) hasta el  entorno donde se desenvuelven y, más importante aún, sus funciones y el modo de llevarlas a cabo.

A diferencia del típico ambiente de oficina de TI, lo que es importante para los procesos de control de producción es una operación ininterrumpida y continua las 24 horas del día, 7 días a la semana. Eso es lo más importante. Es tan importante que el clásico trío de conceptos clave de la seguridad de la información (confidencialidad, integridad y disponibilidad, en ese mismo orden)  ha sido reordenado para que las redes industriales estén disponibles y sean integrales y confidenciales. Pero, para estar seguros, bueno, no podemos personalizar ese trío, ¿o sí? Por ello que hemos implementado las KICS.

kaspersky-industrial-security-3

Seamos claros desde el principio: esto no es un producto, es una solución.

Solo por instalar un software de seguridad no significa que la red industrial esté protegida. En cambio, los procesos internos, las tecnologías y el equipo han de ser analizados; se deben desarrollar un modelo de amenazas y una estrategia de protección; el software ha de ser adaptado a los requisitos específicos de la red; los especialistas necesitan formación, y muchas cosas más. Todo esto para mantener lo más importante: la continuidad.

Hicimos todo eso con la ayuda de las consultas que hicimos a varios clientes corporativos/industriales y analizando los casos de éxito y ya existen dos implementaciones exitosas de KICS: una en una empresa petrolera y otra en un puerto marítimo. Los resultados iniciales en ambos han sido muuuuy interesantes…

Por desgracia, como era de esperar, no puedo daros todos los detalles. Solo puedo daros un panorama general para que al menos tengáis una idea de a qué nos enfrentamos:

Habiendo pasado solamente unos días de la operación de KICS en la red industrial de un cliente, descubrimos varias brechas bastante importantes en la seguridad, incluyendo la conexión no autorizada de un portátil por parte de un empleado (¡ups!). Como ya he dicho, eso ocurrió en cuestión de pocos días. ¿Os imagináis qué encontraríamos dentro de un mes, o un año? Sí, toda clase de peligros; pero por ello se creó KICS: para protegeros de todo esto.

En algunos aspectos, las redes industriales están menos protegidas que cualquier ambiente corporativo de TI normal. ¡De verdad!

Existe un punto de vista popular en el mundo respecto a la finalidad industrial que establece que “si funciona, no lo toques”; claro, no en todas partes, pero esta idea, por desgracia, suele predominar. ¡Lo que esto significa es que, si un proceso de producción informatizado funciona correctamente, no será necesario instalarle actualizaciones durante al menos 20 años! ¡Sin importar que se conecte a Internet! Lo importante es ¡DEJARLO ESTAR! Y cuidado con aquél que quiera dar ideas sobre cómo mejorar la seguridad: lo echarían incluso antes de poder hablar: ¿parchear? ¿en este siglo? ¿chicos? ¿HOLA? Si interrumpieran el proceso por tan solo un minuto.

Pero no podemos dejar que los sistemas de control industrial sean vulnerables en esta época solo porque exijan una continuidad. Simplemente, no podemos.

A finales del año pasado hicimos un ciberconcurso para estudiar los vectores de ataque contra infraestructura fundamental. Para el concurso utilizamos un exhibidor con una subestación eléctrica real integrada, construida conforme a las tecnologías modernas y al estándar de comunicación de IEC1850.

kaspersky-industrial-security-4Y adivinad qué pasó

Se hackeo durante las primeras 3 horas y no sólo con un método de ataque, sino con dos; y a lo largo de 2 días enteros, se hackeó veintiséis veces. Muchos de esos hackeos hicieron que la subestación completa se detuviera por completo. Todos los dispositivos se destruyeron totalmente, ¡incluso se descubrió una vulnerabilidad de día cero!

Pero no tengáis miedo, ¡ha llegado KICS! Y ya ha descubierto cada uno de los ataques. Esto significa que en una red real hubiera prevenido todos los ataques y sí, queridos ingenieros de la línea de producción, ¡sin interrumpir la producción ni un solo segundo!

LEER COMENTARIOS 0
Deja una nota