Efectos Secundarios de un ataque a Sistemas de Control Industrial (SCI)

Efectos Secundarios de un ataque a Sistemas de Control Industrial (SCI)

Las amenazas específicas que afectan la Seguridad de los Sistemas de Control Industrial (SCI) se están volviendo cada vez más frecuentes en el escenario de la Seguridad de la Información. Existen muchas diferencias entre los sistemas estándar de Tecnologías de la Información (TI) y Seguridad de los Sistemas de Control Industrial (SCI), siendo los dos más importantes la disponibilidad de los Sistemas de Control en SCI, y las consecuencias de los ataques, más de esto en el futuro. Antes de entrar en detalles, me gustaría mencionar algunos de los sectores más importantes en el espectro de SCI: Energía Nuclear, Comunicaciones, Servicios de Emergencia, Sistemas de Transporte, y Sistemas de Agua [1].

Desde el punto de vista de la disponibilidad, debido a la naturaleza de los SCI en el que los productos o procesos están configurados en un lazo, en el que debido a su ciclo continúo, los dispositivos de CSI no pueden ser detenidos en base a la necesidad. Al mismo tiempo, las consecuencias de un ataque exitoso generan una diferente sensación de urgencia comparados con los mismos en TI debido a su naturaleza cinética. En otras palabras, cuando hay un caso de datos filtrados sin autorización, las personas afectadas pueden recibir un procedimiento desde la compañía afectada para aplicar una solución temporal cambiando contraseñas, configuraciones, etc., pero los usuarios afectados directamente no sabrán exactamente como y cuando su información será usada o las consecuencias de un uso inapropiado hasta que es demasiado tarde.

En el caso de los SCI, su impacto cinético es instantáneo, dirigido (posiblemente afectando el desarrollo norma de la población de una región geográfica específica atacando una planta eléctrica y deteniendo la producción de energía) y que podría durar por semanas o meses dependiendo del nivel de destrucción causada por los ataques. En el peor de los casos, un ataque exitoso en contra de la Infraestructura de SCI puede causar las pérdidas de vidas.
Como podemos observar, el impacto cinético es la consecuencia más peligrosa de los ataques en contra de la infraestructura de SCI.

Análisis de los ataques de 2019

A pesar de que el mundo, desde la perspectiva de TI es más pequeño que nunca, los principales objetivos de actores maliciosos siguen siendo grandes corporaciones en países industrializados. Estos actores maliciosos pueden ser divididos en cinco grupos [2]:

1.      Atacantes de Estados o Naciones

Dueños de los APT, tienen personal altamente especializado y tienen la capacidad de desarrollar nuevos ataques.

2.      Ciber criminales

Individuos o grupos que realizan ciberataques para obtener un beneficio económico de ello.

3.      Hacktivists

Individuos o grupos que realizan ciberataques en objetivos por razones políticas o ideológicas.

4.      Usuarios internos

Usuarios finales, administradores de sistemas, ejecutivos, etc.

5.      Socios

Definido como empresas que proveen Servicios trabajando juntos o mediante acceso remoto con la compañía cliente.

Estos grupos están usualmente enfocados en grandes objetivos, o como se menciona anteriormente, objetivos localizados en países desarrollados, especialmente en el área de SCI donde la gran mayoría de las más grandes empresas de Energía o Industria están localizados. Por lo tanto, es muy interesante el ver países como Perú o Bolivia en la lista de los principales países con el mayor incremento en el porcentaje de computadores usados en SCI en el cual objetos peligrosos fueron bloqueados cuando los dispositivos de memoria removibles fueron conectados a estas, como se muestra en el siguiente diagrama:

Figura 1. Países y territorios con el más grande incremento en el porcentaje de computadoras en SCI en el cual objetos peligrosos fueron bloqueados cuando dispositivos de memoria fueron conectados [3, 4].

A pesar de que las estadísticas están enfocadas en computadoras usadas en ambientes de SCI, el incremento de objetos peligrosos bloqueados es una clara indicación que los ataques en SCI pueden ocurrir en el futuro, ya sea por una computadora comprometida sea conectada directamente a algún dispositivo de SCI o por un malware diseñado para usar la infraestructura de computadoras como un puente para identificar e infectar dispositivos de SCI.

La razón detrás de esta supuesto es que a pesar de que Programas de Antivirus (AV) pueden ser encontrados en entornos empresariales en América del Sur, Programas de AV son solo capaces de detectar lo que es llamado commodity malware, malware usado años atrás disponible para ser adquirido o descargado de manera gratuita, dejando la puerta abierta a amenazas más avanzadas para la Seguridad de SCI.

La implementación de controles de seguridad más avanzados o configurados en múltiples capas, especialmente en SCI en países como Bolivia o Perú es usualmente una conversación muy difícil de tener en cualquier empresa independientemente de su tamaño, básicamente por el costo asociado con estos productos, adicionalmente a estos puntos es la falta de comprensión de cómo trabaja Seguridad desde el punto de vista del ciclo de conocimiento donde inversión adicional es necesaria en entrenamiento interno y externo.

¿Por qué Bolivia y Perú?

Existen muchas razones para que actores maliciosos o atacantes, principalmente Ciber Criminales y Hacktivists, estén interesados en atacar la infraestructura de SCI en Bolivia y Perú, acá les presento algunos de estas:

1.      Economía dependiente

Países como Bolivia y Perú, así como otros países de América del Sur, debido a que las actividades económicas más productivas son la extracción y exportación de Recursos Naturales, por ejemplo,  Perú tiene importantes minas de Oro y Cobre que proporcionan estos minerales a países como China, EUA, etc., generando un porcentaje importante del presupuesto anual del país y apoyo a la habilidad del gobierno para mejorar las condiciones de vida de sus ciudadanos. Tener un impacto en este motor de generar dinero tendrá un impacto significativo en la economía del país y, por lo tanto, en sus ciudadanos.

En este caso los Ciber criminales y Hacktivists pueden ser contratados para hacer el trabajo para la organización realmente interesada en causar un efecto negativo en las economías de estos países.

2.      Efectos secundarios en otras economías

Tener un impacto importante en proveedores de materias primas como Bolivia y Perú pueden tener un impacto en sus consumidores finales, como China, Japón, EUA, etc., no permitiéndoles continuar con operaciones normales en sus fábricas lo que puede retrasar, o detener si el ataque SCI causa un impacto mayor en la infraestructura, causando un impacto diferente en su sus economías.

En este caso, como en el anterior, los Ciber criminales y Hacktivists pueden ser contratados para hacer el trabajo por la organización realmente interesada en causar el efecto negativo en los consumidores principales de la producción de estos países. En este caso en particular, los atacantes de estado o nación pueden ser parte de la estrategia de ataque.

3.      Trabajadores descontentos

Esta es una conversación común en la Seguridad de TI, pero no muy común en la Seguridad de SCI por, debido a la naturaleza de la red, es a veces difícil de identificar a un trabajador descontento. Aun así, se deben considerar las medidas necesarias, como el uso de cámaras de CCTV en puntos clave de la planta, o infraestructura de seguridad adicional y los controles aplicados entre todos los niveles en las organizaciones.

Soluciones disponibles

Como se explicó anteriormente, las empresas en Bolivia o Perú no tienen estas conversaciones, y/o no tienen el presupuesto necesario para invertir, asumiendo estos problemas específicos, aquí hay algunas soluciones disponibles:

1. Tener una discusión honesta acerca de la Seguridad de TI con las personas en sus compañías y con la gerencia. La razón detrás de la mención de Seguridad de TI es porque ésta es la puerta principal de cualquier ataque relacionado a SCI.
2. Pida a su equipo de Seguridad de TI a que realice una Evaluación de Riesgos y decida la infraestructura o sistemas críticos desde el punto de vista de TI.
3. Realice una evaluación de la condición desde su red de SCI usada en su empresa, cosas como: años de operación y esperanza de vida, capacidad de actualización, segmentación entre la Red de SCI y la Red de TI, requerimientos de gestión, etc. 
4. Reúna los resultados de su Evaluación de SCI y realice una Evaluación de Riesgo de su Infraestructura de SCI, existen diferentes métodos disponibles para este propósito (NIST 800-82, North American Electrical Reliability Council (NERC), Cyber Security Evaluation Tool o CSET, Electricity Subsector Cybersecurity Risk Management Process, etc.), decida cuál es el más adecuado para usted y aplíquelo, los resultados deben de ser sus Sistemas o Infraestructura Crítica [5, 6, 7, 8].
5. Con los resultados de la Evaluación de Riesgos, tenga una conversación con su equipo de Seguridad de TI, con su equipo de SCI y cruce referencias de los dos resultados (TI y SCI) de las dos Evaluaciones de Riesgo. El resultado debe de ser los puntos más importantes para proteger.
6. Defina la estrategia requerida desde el punto de vista de Seguridad de TI para proteger los puntos más importantes, personal requerido y presupuesto asociado.
7. Compruebe, y cree si es necesario, todas las políticas de acuerdo con reguladores locales/internacionales y reguladores específicos de la empresa.
8. Es siempre una buena idea contactar a los fabricantes de SCI y Empresas de Sistemas de Seguridad de TI para crear una Prueba de Concepto (o Proof of Concept (POC) en inglés). Los resultados de la Prueba de Concepto deben de mostrar la eficacia de los sistemas para aplicar las políticas de la Empresa, y la eficacia para mitigar los riesgos descubiertos.
9. Mapeé los resultados de la Prueba de Concepto con el presupuesto disponible. Esto puede dar una idea a Gerencia para tomar la decisión final de comprar, implementar, alquilar o subcontratar cualquier sistema.

Gastar o no gastar, ese es el dilema

Un factor útil para decidir los gastos en una Empresa es el costo asociado con un ataque. A pesar que en el caso de un ataque en contra de SCI el impacto negativo de la violación en términos de la información revelada es menor comparado con el real impacto cinético, es aun útil para explicar a Gestión como la reputación y Operaciones normales pueden ser afectados, y cuán difícil puede ser recuperarse de estos [9].

Tener a los equipos de TI y SCI trabajando juntos en los resultados de la Evaluación de Riesgos puede proveer una evaluación valiosa en el costo asociado con un ataque y dependiendo de la naturaleza de los negocios de la empresa un costo más detallado puede ser calculado. Obviamente, si existe la más pequeña posibilidad de que un ataque en contra de la Empresa puede tener como resultado la pérdida de vidas, el costo asociado pueden ir más allá del valor de la Empresa, y definitivamente ningún monto de dinero puede ser suficiente para las familias que pueden verse afectadas por esa pérdida de vidas.

Habiendo dicho esto, existen soluciones para cada presupuesto y puede tratarse de soluciones con un costo asociado o de Código Abierto, cada una con sus propias desventajas, más de estos en un post futuro. La más grande desventaja asociada con las soluciones pagas es el costo asociado es el presupuesto requerido, no solo para la solución, pero, inclusive más importante, para el entrenamiento requerido para el personal requerido que operará la solución. Siempre recuerde que las Personas son la parte más fundamental de su Personal, Procesos y Tecnología (PPT).

En el caso de las soluciones de Código Abierto, a pesar de que el costo asociado no es tan grande, usualmente el Hardware usado en la solución es el mayor costo asociado; el conocimiento asociado es el más grande impacto en el presupuesto de la Empresa. Tener a un experto en la solución de Código Abierto en la empresa puede ser costoso, además depurar y administrar una solución de Código Abierto puede no ser siempre sencillo, especialmente in ambientes de SCI, donde la disponibilidad es el rey.

Ahora, dependiendo de la estructura de la empresa, su equipo de TI puede ser subcontratado así como la empresa a cargo del mantenimiento de los dispositivos de SCI, en el caso de que no exista la pericia o habilidad requerida cuando se haga las diferentes Evaluaciones de Riesgo y se tengan las diferentes conversaciones, o cuando un Gerente de Alto Cargo requiera de un par de ojos adicionales para supervisar el proceso (lo cual no es una mala idea después de todo), en esos casos, un costo adicional puede ser el contratar una empresa de consultoría que provea la pericia o habilidad y la solución. Dependiendo de la tarea entre manos y la Empresa a ser contratada, este costo puede representar un monto significativo de presupuesto, por lo tanto, sea muy cuidadoso si desea ir por esta ruta, compruebe lo más que pueda todas las referencias e información acerca de la organización de consultoría.

Conclusión

A pesar de que es interesante ver países como Bolivia y Perú en el listado de países afectados por ataques en contra de CSI, Empresas de CSI en general deberían de tener a Seguridad como una de sus tareas prioritarias, aún más importante si un ataque puede tener un impacto cinético representado por la pérdida de vidas.

Las Evaluaciones de riesgos, desde el punto de vista de TI y SCI, son necesarios y deberían de ser analizados como grupo por ambos equipos de TI y SCI.

Gastar siempre es un problema, pero necesario para evitar indeseables consecuencias negativas, o impacto negativo, y para actuar proactivamente en contra de un posible ataque de SCI.



Referencias
[1] Critical Infrastructure Sectors, Department of Homeland Security, US -  https://www.dhs.gov/cisa/critical-infrastructure-sectors
[2] Creating a Threat Profile in your organization, SANS - https://www.sans.org/reading-room/whitepapers/threats/creating-threat-profile-organization-35492
[3] Threat landscape for industrial automation systems, H1 2019, Kaspersky - https://ics-cert.kaspersky.com/reports/2019/09/30/threat-landscape-for-industrial-automation-systems-h1-2019
[4] Infographic – ICS/OT Cyber Attacks, Galactic Security Systems - https://www.galacticsecurity.systems/
[5] Guide to Industrial Control Systems (ICS) Security, NIST - https://csrc.nist.gov/publications/detail/sp/800-82/rev-2/final
[6] North American Electric Reliability Corporation (NERC) - https://www.nerc.com/Pages/default.aspx
[7] Industrial Control Systems Assessment, CISA - https://www.us-cert.gov/ics/Assessments
[8] Electricity Subsector Cybersecurity Risk Management Process, U.S. Department of Energy - https://www.energy.gov/sites/prod/files/Cybersecurity%20Risk%20Management%20Process%20Guideline%20-%20Final%20-%20May%202012.pdf
[9] The State Of Industrial Cybersecurity 2018 - https://ics.kaspersky.com/media/2018-Kaspersky-ICS-Whitepaper.pdf