52 revista ABB 4|12

53Protección frente a las ciberamenazas

PATRIK Boo – La intensidad de los ciberataques a los sistemas informáticos aumenta día a día. no deja de resultar preocupante que la creciente conectividad y el perfeccionamiento de los hackers (piratas informáticos) estén haciendo a los sistemas de TI más vulnerables a las intrusiones informáticas. Uno de los objetivos de estos ataques, que hasta hace poco han permanecido relativamente a salvo o, al menos, inadvertidos, son los sistemas que supervisan los procesos industriales en todo el mundo. El sofisticado ataque de software malintencionado llamado Stuxnet y otros incidentes han aumentado la sensibilización generalizada sobre las vulnerabilidades de los sistemas de control. Si un sistema de control sufre un ataque, o incluso si se pone en riesgo de forma inadvertida, los resultados podrían ser infracciones de normativas, daños en el equipo, pérdida de producción, daños al medio ambiente o peligro para los ciudadanos o los empleados de una empresa. En respuesta a una amenaza potencial y la subsiguiente demanda de los clientes, ABB ha creado Cyber Security Fingerprint, un servicio no invasivo que contribuye de forma significativa a disminuir el riesgo de que un sistema de control sea objeto de un ataque.

¿Se pueden permitir los servicios públicos y las industrias una violación de la seguridad informática?

Protección frente a las ciberamenazas

Imagen del título El entorno “conectado” actual plantea problemas de seguridad informática a los propietarios de sistemas de control. Cyber Security Fingerprint de ABB ofrece una solución integral.

54 revista ABB 4|12

− Los sistemas de control de las empre­sas de suministro de agua en Illinois y Texas (Estados Unidos) fueron supues­tamente pirateados. En Illinois, una bomba de agua fue activada y desacti­vada incesantemente hasta que se quemó [1]. Poco después, un hacker publicó imágenes suyas en el sistema de control de una empresa de aguas de Texas para demostrar la facilidad con que el sistema de control –o cual ­ quier otro– de Illinois podía ser víctima de un ataque informático. El sistema de vigilancia de la seguridad de la central nuclear de Davis­Besse en Ohio fue infectado por el gusano “Slammer” en enero de 2003 y tuvo que desactivarse durante cinco horas. El gusano logró burlar los cortafuegos de la planta a través del ordenador portátil de un contratista que estaba conectado a la red de la central eléctrica. Afortuna­damente, la central nuclear estaba inactiva en ese momento porque se estaba realizando uno de los procesos de mantenimiento programado. No obstante, el gusano recorrió Internet y provocó una denegación de servicio en algunos hosts, lo que ralentizó drásti­camente el tráfico general de Internet. Además de la planta nuclear, el gusano infectó a casi otras 75.000 víctimas en cuestión de 10 minutos, entre ellas el sistema de control de una compañía eléctrica, a través de una red privada virtual (VPN); el sistema de control de una planta de petróleo, a través de un ordenador portátil; y una estación de operador de una máquina del papel, a través de un módem de acceso tele ­ fónico. Se calcula que provocó daños por valor de más de mil millones de dólares.

Un estudio realizado en 2011 por el Instituto Ponemon sobre la ciberde­lincuencia en grandes organizaciones multi nacionales con sede en los Estados Unidos cuantificó el impacto económico de los ciberataques y puso de relieve los graves daños que pueden causar en los resultados econó micos de una organiza­ción [2]. El estudio reveló que el coste medio de los ciberataques para una empresa es de 5,9 millones de dólares al año, aunque esta cifra varía entre 1,5 y 36 millones de dólares. No está previsto que estos costes disminuyan. La cifra de 5,9 millones de dólares repre­senta un aumento del 56% con respecto a 2010.

L os sistemas de control de hoy en día son más vulnerables que nunca a las ciberamenazas, debido a la mayor interconecti­

vidad, a la “informática en la nube” y al perfeccionamiento de las destrezas de los hackers. Mientras que las TI empre­sariales han sido siempre uno de los objetivos favoritos de estos piratas infor­máticos, su atención se dirige cada vez más a los sistemas de control. Uno de los factores que añade urgencia a la situación es el hecho de que en las economías emergentes están proliferan­do los sistemas de control.

Los ataques a los sistemas de control pueden causar estragos:− En una planta de tratamiento de

aguas residuales en Australia, un antiguo contratista descontento con la empresa accedió al sistema de control de esta e inundó el área circundante con millones de litros de aguas residuales sin tratar, acción que contaminó parques, ríos y los terrenos de un hotel. En Australia, el gusano “Sasser” infectó el sistema de señalización y control de RailCorp e hizo que se detuvieran todos los trenes durante ese día, lo que impidió que 300.000 trabajadores de Sídney acudieran a sus puestos de trabajo.

Dado que los costes de la ciberdelincuencia son dos o tres veces mayores que el coste de las medidas preventivas, la inversión proactiva en ciberseguridad es una decisión muy sensata.

55

Ciberataques: la respuestaLos hackers, o piratas informáticos, son cada vez más creativos y competentes, y el número de personas y grupos organiza­dos dedicados a estas actividades va en aumento, lo que deja unos daños cuyo coste asciende a millones, si no miles de millones, de dólares. Desde Stuxnet, el software malintencionado que infectó y paralizó la central de tratamiento de com­bustible­nuclear de Natanz (Irán) en 2010, los servicios públicos y las plantas indus­triales se han puesto en alerta. No hace mucho que la irrupción del virus “Flame”, el código malintencionado más complejo hasta la fecha, hizo que la tensión fuera en aumento.

Tales amenazas, sumamente peligrosas para los sistemas de control, han atraído la atención de los gobiernos, que están tomando medidas para regular la ciber­seguridad si no lo hacen las empresas. Aunque no es una opción necesariamen­te mala, las normativas impuestas por las Administraciones pueden errar el tiro o añadir costes innecesarios. Además, un enfoque de seguridad basado en nor­mativas no es una alternativa eficiente a un enfoque basado en el riesgo. Por tanto, las empresas deben demostrar que toman medidas de forma correcta y proactiva para abordar la ciberseguri­dad, aunque un estudio de Bloomberg Government de 2012 llegó a la conclu­sión de que los servicios públicos, los bancos y otros operadores de infraes­tructuras tal vez necesiten dedicar hasta nueve veces más tiempo que el que dedican en la actualidad a mejorar su seguridad [4].

Según el informe del Instituto Ponemon, una muestra de referencia que incluía 50 organizaciones indicaba que estas fueron objeto de 72 ciberataques mani­fiestos y concluidos con éxito a la semana en 2011, lo que se traduce en 1,4 ata­ques por organización de referencia cada semana. Esto representa un aumento del 44% de los ataques concluidos con éxito respecto al año anterior. Prácticamente todas las organizaciones sufrieron ata­ques relacionados con virus, gusanos y/o troyanos en el periodo de cuatro semanas tomado como referencia ➔ 1. Curiosamente, esos ataques malintencio­nados representan solo en torno a una cuarta parte de los inciden tes de seguri­dad en el ciberespacio: los demás son consecuencia de negligencias, malware o fallos de TI.

Los ciberataques son comunes, caros y perjudiciales. En 2011 se publicó una encuesta realizada a 200 ejecutivos de TI a cargo de servicios de abastecimien­to de agua, petróleo y gas en 14 países. El 80% de ellos afirmaba que habían sufrido ataques de denegación de servi­cio a gran escala [3]. Tales estadísticas, aunque están relacionadas principal­mente con TI empresariales, indican que cualquier empresa sin una estrategia de seguridad informática bien elaborada está expuesta a un riesgo demasiado alto si piensa que no será objeto de un ataque. Dado que los costes de la ciber­delincuencia son, como mínimo, dos o tres veces mayores que el coste de las medidas preventivas, la inversión proac­tiva en ciberseguridad es una decisión muy sensata.

Procedimientos y protocolos: análisis cualitativo que indica que las instrucciones y directivas bien escritas protegen a las organizaciones.

1 Los tipos de formas de ataque que sufren las empresas que participan en el estudio de Ponemon [2]

(%)

Virus, gusanos, troyanos

Malware

Botnets

Ataques basados en la Red

Dispositivos robados

Código malintencionado

Personal interno malintencionado

Phishing e ingeniería social

Denegación de servicio

0 20 40 60 80 100

100

96

82

64

44

42

30

30

4

Protección frente a las ciberamenazas

56 revista ABB 4|12

expertos en seguridad están muy preocu­pados por la vulnerabilidad de los siste­mas de control ante los ciberataques.

Cyber Security FingerprintPara ayudar a los clientes a hacer frente a las ciberamenazas, ABB desarrolló Cyber Security Fingerprint, un servicio no inva­sivo que puede aplicarse a la mayoría de los sistemas de control que funcionan con versiones actuales del sistema operativo Microsoft Windows. El servicio sigue la avanzada metodología de servicios en tres pasos de ABB, de eficacia probada ➔ 2. Esta metodología ayuda a los propietarios de sistemas de control a proteger sus inver siones y sus empresas identificando vulnerabilidades y describiendo cuál es la mejor forma de mitigar los riesgos:1) Diagnóstico: una evaluación y compa­

ración del estado actual con las buenas prácticas y normativas industriales y de equipos es el primer paso para desarrollar una estrategia que reduzca el riesgo frente a las ciberamenazas de seguridad para los sistemas de control. El objetivo de este ejercicio es identificar las áreas vulnerables y formular recomendaciones sobre cómo abordarlas.

2) Aplicación: a partir de las vulnera­bilidades identificadas en el paso 1, los elementos físicos y virtuales del sistema de control se protegen con las configuraciones de seguridad, las directivas y los procedimientos pertinentes. Esto puede hacerse siguiendo las recomendaciones, por ejemplo, creando protocolos para los ajustes de las contraseñas, lo cual se explica en el informe de Fingerprint.

El desafío de la protecciónEn el pasado, los sistemas de control se aislaban del resto de los sistemas de información de las plantas. Ahora, las empresas exigen un planteamiento mucho más integrado. Los servicios públicos y las industri as cuentan con este intercambio de información sin pre­cedentes para poder disponer de una visibilidad detallada de sus actividades y para facilitar una mejor toma de deci­siones.

Y la situación se complica aún más por el hecho de que los sistemas de control tien­den a tener una vida activa muy larga, de entre 15 y 20 años o más. En consecuen­cia, las defensas frente a los ciberataques pueden quedarse anticuadas o incluso ser nulas. Además, muchos sistemas incluyen pequeños dispositivos de procesamiento que realizan tareas específicas y que sen­cillamente no están equipados para ejecu­tar el software antivirus o los cortafuegos de protección.

Por otra parte, un ataque a un sistema de control puede tener consecuencias muy diferentes de una empresa a otra. En lugar de pérdidas de información o financieras, las consecuencias podrían ser infracción de los requisitos normati­vos, daños a los equipos, pérdida de producción, daños al medio ambiente o amenazas a la seguridad de los ciudada­nos y de los empleados.

Aunque unas medidas de seguridad bási­cas podrían haber evitado o reducido los efectos de la mayoría de las intrusiones que se describen en este artículo, los

Para ayudar a los clientes a hacer frente a las amena­zas que acechan en Internet, ABB ha creado Cyber Security Finger­print.

2 El ABB Cyber Security Fingerprint cumple la metodología de servicios avanzados de tres etapas de ABB, ya bien probada.

1. Diagnosticar (fingerprint)– Medir las desviaciones de

rendimiento– Predecir ROI– Emitir un plan de acción

2. Aplicar (práctica)

– Corregir desviaciones de rendimiento

– Definir y super ­ visar un plan

3. Conservar (exploración/seguimiento)

– Controlar desviaciones de rendimiento

– Programar mantenimiento– Definir activadores de

condición– Mantener las condiciones

Service

Mayor rendimiento

3 Las capas de protección múltiples reducen considerablemente el riesgo de sufrir ataques

Capas de protección de ciberseguridad

Seguridad física

Cortafuegos de software

Cortafuegos y arquitectura

Directivas de seguridad del grupo

Gestión de cuentas

Actualizaciones de seguridad

Soluciones de antivirus

Sistema de control

57

recopilación de datos– para recoger infor­mación y configuraciones del sistema de control y de los ordenadores de la red de la planta. Se carga un archivo ejecutable temporal para buscar en todos los ordena­dores y terminales conectados en la red del cliente y para recopilar información sobre el perfil y la configuración. Este pro­ceso sigue estrictamente las directivas y los procedimientos de seguridad de ABB.

Estos datos se añaden a la información recogida en entrevistas estructuradas con el personal clave de la planta, y se compa­ra el estado de seguridad del sistema y la planta con las buenas prácticas y normas del sector, como la serie ISO/IEC 270001,

NERC­CIP 2 e ISA­62443 ( ISA­99 ) 3. Después se utiliza el analizador de seguridad de ABB para generar indi­cadores clave del rendimiento (KPI), que indican los puntos fuertes y débiles de la ciber­seguridad del sis­tema de control evaluado ➔ 4. ABB deter mina indica­

dores clave del rendimiento para tres áreas fundamentales:− Procedimientos y protocolos: análisis

cualitativo que indica que las instruccio­nes y directivas bien escritas protegen a las organizaciones.

− Directivas de seguridad del grupo: directivas implementadas en el sistema, implantadas desde un

3) Conservación: la vigilancia perma nente del estado de los sistemas o, al menos, las comprobaciones periódicas, son medidas necesarias para proteger un sistema en un entorno que cambia con suma rapidez.

Este proceso de identificar los puntos fuertes y débiles a partir de datos recogi­dos de los sistemas críticos y del personal clave, y de compararlos con las buenas prácticas del sector, es el fundamento de Cyber Security Fingerprint de ABB. El enfoque de ABB sigue el principio de “defensa en profundidad”, lo que significa que Fingerprint comprueba si un sistema de control tiene los múltiples niveles de

protección necesarios para reducir signifi­cativamente el riesgo de ser objeto de un ataque ➔ 3.

Para completar el primer paso del procedi­miento de Fingerprint, un técnico de asis­tencia in situ de ABB utiliza Security Logger –herramienta patentada por ABB de alta velocidad y basada en software para la

La avanzada metodología de servicios de ABB ayuda a los propietarios de sistemas de control a proteger sus inversio­nes mediante la identificación de vulnerabilidades y la reducción del riesgo.

notas a pie de página1 La serie ISO/IEC 27000 (también conocida

como “familia de normas ISMS) incluye normas de seguridad de la información publicadas conjuntamente por la Organización Internacio­nal de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC).

2) NERC es una organización internacional, independiente y sin ánimo de lucro cuya misión es garantizar la fiabilidad del sistema de energía en grandes volúmenes en América del Norte. NERC­CIP se aplica específicamente a la protección de infraestructuras críticas (CIP).

3) La ISA99 cubre los sistemas de control y automatización industrial que, en caso de ser objeto de actos que entrañen riesgo, podrían ocasionar todas o algunas de las siguientes situaciones: peligro para la seguridad ciudadana o de los empleados de la empresa; pérdida de la confianza de los ciudadanos; incumplimiento de los requisitos normativos; pérdida de información privada o confidencial; pérdidas económicas y repercusiones en la seguridad nacional.

4 ABB revisa tres componentes clave del sistema de control de una planta para determinar los indicadores clave de rendimiento.

Sistema

– Organización– Personal– Control de acceso– Administración– Mantenimiento– Cumplimiento– Seguridad física

Procedimientos y protocolos

Directivas de seguridad del grupo

Configuración del equipo para cada ordenador del sistema

– Contraseñas– Cuentas de usuario– Auditorías de inciden­

tes de seguridad– Consola de

recuperación– Inicio de sesión

interactivo– Sistema y dispositivos– Acceso a la red– Seguridad de red– Criptografía del sistema– Aplicación de directivas

– Sistema operativo– Servicios– Cortafuegos– Particiones– Actualizaciones de

seguridad de MS– Antivirus– Puertos abiertos– Elementos de inicio– Aplicaciones

instaladas

5 El informe muestra el riesgo relativo para el sistema basado en las partes evaluadas. Las áreas con menos coloración tienen menor riesgo que aquellas que están más coloreadas.

Procedimientos y protocolos

Directivas de seguridad del grupo

Configuración del ordenador

1 23

4

5

6

7

8

9

10

11

12131415

16

17

18

19

20

21

22

23

24

2526 Los KPI están represen­

tados por números

Protección frente a las ciberamenazas

58 revista ABB 4|12

servicio no garantiza la seguridad al cien por cien de un sistema de control. Ningún control de la ciberseguridad puede hacerlo.

Protección integralCyber Security Fingerprint de ABB es un servicio no invasivo que puede aplicarse a la mayoría de los sistemas de control que utilicen una versión actual del sistema operativo Microsoft Windows. Utiliza nor­mas del sector en materia de recopilación de datos, buenas prácticas, una tecnolo­gía robusta y conocimientos especializa­dos sobre seguridad de sistemas para ayudar a las empresas a proteger sus acti­vos más valiosos. Conocer las vulnerabili­dades de la ciberseguridad de los siste­mas de control puede permitir a los servicios públicos y las industrias definir y aplicar planes de seguridad que:− aumenten la protección de la planta y

de la comunidad en la que está ubicada;

− reduzcan la posibilidad de que se produzcan interrupciones de sistemas y plantas;

− reduzcan mejor el riesgo frente a un ataque de ciberseguridad;

− reduzcan los costes por detección, contención y recuperación en relación con los ciberdelitos;

− faciliten una base sólida desde la que elaborar una estrategia de ciberseguri­dad sostenible.

servidor central o aplicadas en equipos individuales

− Configuración del ordenador: ajustes y aplicaciones que residen en equipos individuales del sistema

Sobre la base de la información recopilada y los KPI calculados, se genera un diagra­ma que identifica los riesgos de seguridad informática del sistema ➔ 5. Cuanto más tenue es el color en el diagrama, menor riesgo hay, aunque esto no significa que el sistema esté a salvo de ataques. No obstante, indica que hay instalada una buena protección básica para el sistema frente a las ciberamenazas.

El informe incluye también resultados detalla dos de cada sección y recomenda­ciones sobre cómo mejorar áreas vulnera­bles ➔ 6. ABB puede ayudar a implemen­tarlas. Las recomendaciones se refieren a consideraciones físicas, gestión de toda la infraestructura, directivas y procedi­mientos, y gobernanza y responsabilidad en toda la organización.

Una vez que las recomendaciones de Finger print se han aplicado, el proceso y las herramientas instaladas permiten la reevalua ción periódica para medir y man­tener el nivel de seguridad durante toda la vida útil del sistema de control. Esto es esencial en un momento en el que los ciber ataques evolucionan a diario.

Es importante tener en cuenta que Cyber Security Fingerprint es un indicador del estado de seguridad de un sistema en un momento dado. Ahora bien, aunque se sigan todas las recomendaciones, este

Lecturas recomendadasObermeier, S., Stoeter, S., Schierholz, R., Braendle, M., Ciberseguridad – la protección de las infraestruc­turas críticas en un mundo cambiante. Revista ABB 3/2012, 64–69.

Referencias[1] Ahlers, M. (2011, 18 de noviembre). Feds

investigating Illinois ‘pump failure’ as possible cyber attack. CNN.com. Consultado el 10 de julio de 2012 en http://articles.cnn.com/2011­11­18/us/us_cyber­attackinvestigation_1_cyber­attack­cyber­securitynational­cybersecurity?_s=PM:US

[2] Ponemon Institute. (agosto de 2011). Second annual cost of cyber crime study: Benchmark study of U.S. companies. Traverse City, MI.

[3] Torrenzano, R., Davis, M. (2011). Digital Assassination. Nueva York; St. Martin’s Press.

[4] Engleman, E., Strohm, C. (31 de enero de 2012). Cybersecurity Disaster Seen in U.S. Survey Citing Spending Gaps. Bloomberg.com. Consultado el 10 de julio de 2012 en http://www.bloomberg.com/news/2012­01­31/cybersecurity­disaster­seen­in­u­s­survey­citing­spending­gaps.html

Patrik Boo

ABB Process Automation Lifecycle Services

Westerville, OH, Estados Unidos

patrik.boo@us.abb.com

6 Conclusiones principales

Tema

Directiva de seguridad

Tamaño del histórico de contraseñas

Windows Server 2003 SP1

Descripción

Es crucial disponer de una directiva de ciberseguridad. La directiva describe

claramente lo que está y no está permitido y cómo reaccionar ante las

distintas situaciones. El proceso de redactar la directiva es importante, porque

obliga a la organización a considerar todos los aspectos de la ciberseguridad.

Al fijar un tamaño del histórico de contraseñas, los usuarios pueden elegir con qué frecuencia se pueden volver a utilizar las contraseñas antiguas. Debe desaconsejar­se a los usuarios que sigan un ciclo a través de un conjunto común de contraseñas.

El Service Pack 1 de Windows Server 2003 se presentó el 30 de marzo de 2005 y el apoyo oficial finalizó el 14 de abril de 2009.

Recomendación

Hay que hacer que los gestores se convenzan

de la importancia de una directiva de seguridad.

Designe un equipo de ciberseguridad para que

la redacte y la tenga al día.

Fije un valor del tamaño del histórico de contrase­ñas mayor o igual a 13 contraseñas.

Actualice todo el software del servidor con la última versión. NOTA: La mejora del sistema operativo puede dar lugar a la necesidad de mejorar también el software de ABB. El programa ABB Automation Sentinel permitirá a los abonados beneficiarse de software nuevo y de actualizaciones de ABB.