Preparando KICS hacia la protección industrial

¡Hurra!

Hemos hecho el lanzamiento de KICS (Kaspersky Industrial CyberSecurity). La vacuna especial contra las enfermedades cibernéticas, la cual brinda protección a fábricas, plantas energéticas, hospitales, aeropuertos, hoteles, almacenes, charcuterías, y otros miles de tipos de empresas que utilizan sistemas de control industrial (ICS). En otras palabras, debido a que casi todas las empresas se manejan con dichos sistemas, ¡acabamos de lanzar una solución cibernética dirigida a millones de negocios grandes, medianos y pequeños de producción y servicio de todo el mundo!

Entonces, ¿qué es todo esto de KICS? ¿Para qué sirve? Primero, recapitulemos…

Antes de la década de los 2000, un ataque cibernético en una instalación industrial solo podía ser la fuente de inspiración para un escritor de novelas de ciencia ficción. Pero el 14 de agosto de 2003 en el noreste de EUA y el sureste de Canadá, la ciencia ficción se volvió realidad:

Ups

Debido a ciertos problemas en la red energética, 50 millones de ciudadanos norteamericanos se quedaron sin electricidad – algunos por varias horas, otros por varios días. Se rumoraban muchas razones detrás de esta catástrofe creada por el hombre, incluyendo árboles en mal estado, la caída de un rayo, ardillas malvadas, y… el efecto secundario de un ciberataque que empleó un Slammer (Blaster), un gusano informático.

Lo que yo sé es que, en realidad fue una combinación de todos estos factores. Quiero decir, ocurrió un acontecimiento muy extraño (árboles/ardillas) y al mismo tiempo el gusano provocó accidentalmente la caída del sistema de comunicaciones: una emergencia localizada y a pequeña escala se transformó en una a gran escala porque los mecanismos de control no fueron capaces de lidiar con la situación, causando un efecto dominó que cubrió toda la región.

Probablemente ya habían ocurrido incidentes como este anteriormente, ya que el ICS y las redes de computadoras existen desde hace varias décadas. Pero es posible que esos incidentes se hayan mantenido en secreto o desaparecido. Lo más importante en este momento es el hecho de que desde el 2003 ha habido cada vez más historias nuevas sobre ciberataques con objetivos industriales, y son cada vez más frecuentes. Y en el 2010, el ataque de Stuxnet al programa nuclear iraní demostró que el problema tiene un aspecto militar.

Conclusión: las instalaciones industriales también son vulnerables ante los ciberataques, y no solo eso, las consecuencias de ignorar este hecho pueden llegar a ser muuuuy desagradables, incluso catastróficas.

Muy bien. Está claro que el sector industrial necesita protección. Pero, ¿cómo?

Bien, en cuanto a las soluciones estándar de terminal – ellas protegen solo una parte de la infraestructura de las empresas – específicamente la parte llamada “red corporativa”. Los procesos de protección de la producción –la red industrial- requieren un enfoque completamente diferente ya que las redes industriales son una especie muy diferente – desde las cosas que se deben proteger (PLC, SCADA, HMI…) hasta el entorno donde se desenvuelven, y, aun más importante, sus funciones y de qué manera las llevan a cabo.

A diferencia del típico ambiente de oficina de TI, lo que es importante para los procesos de control de producción es una operación ininterrumpida y continua las 24 horas del día, 7 días a la semana. Eso es lo más importante. Es tan importante que la clásica tercia de conceptos clave de la seguridad de la información – confidencialidad, integridad y disponibilidad (en ese mismo orden) – han sido reordenadas para que las redes industriales sean disponibles, integrales y confidenciales. Pero, para estar seguros, bueno, no podemos personalizar esa tercia, ¿o si? Es por eso que implementamos KIC.

Seamos claros desde el principio: esto no es un producto, es una solución.

El hecho de instalar un software de seguridad, este no protege una red industrial. En cambio, los procesos internos, las tecnologías y el equipo necesitan ser analizados, un modelo de amenazas y una estrategia de protección debe ser desarrollada; el software necesita adaptarse a los requisitos específicos de la red; los especialistas deben ser entrenados, y muchas cosas más. Todo esto para mantener lo mas importante: la continuidad.

Hicimos todo eso – con la ayuda de las consultas que hicimos a varios clientes corporativos/industriales y analizando los casos de éxito – también existen dos implementaciones exitosas de KICS – una en una empresa petrolera y otra en un puerto marítimo. Los resultados iniciales en ambos han sido muuuuy interesantes…

…Desafortunadamente, como era de esperarse, no puedo darles todos los detalles. Solo puedo darles un panorama general para que al menos se den una idea de a qué nos estamos enfrentando:

Habiendo pasado solamente algunos días de operación de KICS en la red industrial de un cliente, descubrimos varias brechas bastante serias en la seguridad, incluyendo la conexión no autorizada de un empleado en una laptop (¡ups!). Como ya dije, eso ocurrió en cuestión de pocos días. ¿Se imaginan qué encontraríamos en un mes, o un año? Sip, toda clase de peligros; pero eso es para lo que fue creado KICS: para protegerlos de todo esto.

En algunos aspectos, las redes industriales están menos protegidas que cualquier ambiente corporativo de TI normal. ¡De verdad!

Existe un punto de vista popular en el mundo respecto a la finalidad industrial que establece que, “si funciona, no lo toques”; claro, no en todos lados, pero esta idea, por desgracia, suele predominar. ¡Lo que esto significa es que, si un proceso de producción computarizado funciona correctamente, no será necesario instalarle actualizaciones durante al menos 20 años! ¡Sin importar que se conecte a Internet! Lo importante es – ¡DEJARLO SER! Y cuidado con aquel que quiera dar ideas sobre cómo mejorar la seguridad: lo echarían incluso antes de poder hablar: ¿parchear? ¿en este siglo? ¿chicos? ¿hola? Si interrumpieran el proceso por tan solo un minuto.

Pero no podemos dejar que los sistemas de control industrial sean vulnerables en esta época solo porque exigen una continuidad. Simplemente, no podemos.

A finales del año pasado hicimos un ciberconcurso para estudiar los vectores de ataque contra infraestructura fundamental. Para el concurso utilizamos un exhibidor con una subestación eléctrica real integrada – que fue construida de acuerdo a las tecnologías modernas y al estándar de comunicación de IEC1850.

Y adivinen qué pasó

Fue hackeada en las primeras 3 horas – y no sólo con un método de ataque, sino con 2. Y a lo largo de 2 días enteros, fue hackeada 26 veces, muchos de esos hackeos hicieron que la subestación completa se detuviera por completo. Todos los dispositivos fueron totalmente destruidos, ¡incluso se descubrió una vulnerabilidad de día cero!

Pero no tengan miedo – ¡Ha llegado KICS! Y ya capturó a cada uno de los ataques. Esto significa que en una red real hubiera prevenido todos los ataques – y sí, queridos ingenieros de la línea de producción, ¡sin interrumpir la producción ni un solo segundo!

LEER COMENTARIOS 0
Deja una nota