Implantar niveles de seguridad en plataformas SCADA supone un nuevo reto para los Departamentos de Sistemas de Información
La noticia del ataque a una central nuclear iraní en junio mediante el gusano Stuxnet, un virus informático que afecta a los sistemas de control industrial más extendidos, el SCADA (Supervisory Control And Data Acquisition), ha abierto las especulaciones sobre los riesgos a los que se exponen las infraestructuras críticas de todos los países. Para conocer cómo están haciendo frente a esta nueva realidad, ComputerWorld reunió a los responsables de sistemas de diferentes empresas para debatir sobre el tema.
Pensados para trabajar en entornos aislados y no conectados a la red, los sistemas SCADA carecen de dispositivos de seguridad como cortafuegos, mecanismos de cifrado o software antivirus. La interconexión que se ha producido entre todos los sistemas, la posibilidad de gestionarlos en remoto y la implantación de sistemas más abiertos y estándares, ha introducido nuevos elementos de riesgo en estas plataformas.
Francisco Lázaro, director de Seguridad y Sistemas de Soporte a Operaciones de Renfe, abrió la discusión asegurando que dada la actual situación es necesario que se establezca una colaboración eficaz entre los Departamentos de Sistemas y las áreas que tradicionalmente han controlado las plataformas
SCADA, ya que en su opinión, “debemos hacer frente a nuevas amenazas en todos los sistemas implantados en cualquier organización, pues cada vez más estos son abiertos y estándares y están mucho más expuestos. La filosofía de las plataformas SCADA es que duren mucho tiempo sin cambios. Esto choca frontalmente con los Sistemas de Información (SI) que se actualizan continuamente. La aparición de nuevas normas legales obliga a un control mucho más exhaustivo de esos entornos”.
Justo López, responsable de Seguridad Informática de Endesa, coincide también al afirmar que en la actual situación, “los SI son más vulnerables, pero a pesar de ello los entornos SCADA no pueden actualizarse continuamente pues están situados en lugares críticos de las organizaciones y para ellos la seguridad es estratégica”.
Rafael Hernández, responsable de Seguridad de Sistemas de Información de Cepsa, comenta que en su organización cuentan “con sistemas de control avanzados. La parte de ingeniería ha controlado hasta ahora todos sus sistemas. El auge de la conectividad y la movilidad complican el escenario y elevan el riesgo. Desde Sistemas no controlamos ni gestionamos, pero si aportamos elementos y servicios de seguridad, teniendo en cuenta que sus necesidades son completamente diferentes de las del resto de los departamentos”.
En opinión de Javier Arratibel, gerente de Sistemas de Monitorización y Control de Acciona, “el cambio que se ha producido en los sistemas, que han pasado de ser propietarios y cerrados a entornos abiertos y estándar, afecta a las plataformas SCADA. Ya no son un mundo cerrado sino que han tenido que abrirse y comunicarse con otras áreas. Intentamos aplicar las mismas políticas que al resto de los entornos, aunque es complejo porque su trabajo es mucho más crítico. La posibilidad de interactuar con estos sistemas a través de dispositivos móviles y de forma remota complica el panorama. Hemos comenzado a aplicar estándares de protección que ya están siendo usados en otros países”.
Los proveedores que trabajan en este nicho de mercado tienen mucho que decir. Para Isaac Fores, country manager para Iberia de Sonicwall, “desde hace más de dos años hemos notado en el mercado un cambio de tendencia. Las empresas han emprendido el camino de los sistemas abiertos y esto ha traído nuevos problemas a los que han tenido que enfrentarse las infraestructuras SCADA. Nuestro papel como proveedores es añadir niveles de seguridad, dotar a las organizaciones de sistemas que les permitan conocer quién accede a un sistema de este tipo, desde dónde y bajo qué parámetros; e introducir elementos de monitorización que mejoren los niveles de seguridad”.
Evidencias digitales
Para Francisco Lázaro, de Renfe, “el control de las plataformas SCADA es complejo. Las amenazas a estos entornos son importantes y muchas de ellas fruto del cambio de escenario, del uso de herramientas de conectividad, de arquitecturas generalistas, de la regulación o la madurez en la gestión de la seguridad de los SI. Tenemos que incluir a los elementos SCADA en el ciclo de seguridad de los sistemas, aplicar políticas, análisis de riesgo, controles, indicadores y evidencias digitales. Pero para todo se requieren nuevas herramientas y sistemas que incorporen capas y principios de seguridad”.
Rafael Hernández, de Cepsa, aporta un elemento nuevo: “los fabricantes de elementos SCADA son el tercer jugador en este mundo y también ellos están en fase de cambio, caminando hacia sistemas abiertos, lo que nos ayudará a concienciar a los departamentos de ingeniería de que los sistemas de seguridad son un elemento imprescindible y que deben integrar en sus entornos, políticas que la aseguren. La redacción por parte del Gobierno de una Ley de Infraestructuras Críticas obligará no sólo a adoptar medidas de seguridad, sino a definir el tipo de información que se reclama a estos departamentos. Esta situación nos permite establecer un nuevo nivel de colaboración”.
Nivel de riesgo aceptable
Como en cualquier área de actividad, la seguridad absoluta es imposible por lo que como asegura Javier Arratibel, de Acciona, “es necesario establecer el nivel de riesgo que puedes asumir y, a partir de ahí, planificar tus inversiones para proteger lo elegido”.
Isaac Fores, de Sonicwall Iberia, explica como, a veces, “vemos que no somos capaces de determinar los niveles de riesgos que una plataforma SCADA puede soportar”.
Rafael Hernández, de Cepsa, explica que, “son sistemas críticos y es necesario analizar dónde está el riesgo, su impacto en el negocio y a partir de ahí, generar planes directores que establezcan niveles de seguridad”.
Javier Arratibel, de Acciona, asegura que, “hay un elemento que a veces olvidamos y es la seguridad física de las personas que trabajan en estos entornos y a los que debemos darles todo tipo de autorizaciones para que puedan operar estas plataformas. Tenemos que implantar sistemas de auditoría y predicción para prevenir riesgos y conocer dónde se ha producido el fallo en caso de que se dé”.
Rafael Hernández aporta un nuevo elemento a la discusión, “desde Sistemas damos servicio a la parte más alta de las plataformas
SCADA pero no podemos quedarnos ahí. Debemos conseguir que generen información que aporte valor añadido al negocio, que se integren con el negocio, sino su función será marginal y continuarán como un elemento independiente”.
Javier Arratibel, de Acciona, afirma que esta idea está unida al cambio en la forma de manejar la información. “En la Dirección quieren la información al momento y en tiempo real, lo que te obliga a integrar todos los sistemas de tu organización. Los elementos SCADA deben integrarse con los ERP o con cualquier otro sistema de información. Es necesario también que puedan comunicarse con diferentes proveedores, con las autoridades regulatorias”.
Justo López, de Endesa, no está tan seguro de que la nueva ley pueda obligar a implantar sistemas de seguridad, “pero si es cierto que se va a crear un mercado de seguridad para plataformas SCADA que antes no existía, aunque su seguridad va a depender de la que tenga implantada a nivel general la propia empresa”.
Incremento de los presupuestos
Un aspecto destacable es que la implantación de sistemas de seguridad en las plataformas SCADA supondrá un incremento de las inversiones.
Rafael Hernández afirma que, “se ha producido un aumento de los presupuestos para la implantación de sistemas de control, lo que lleva a un aumento de las inversiones en seguridad. En general, estas se centrarán en todo aquello que suponga un aumento de la eficiencia del negocio, en seguridad y en la mejora de los procesos”.
Aspectos como la nueva Ley de Infraestructuras Críticas, la importancia y dependencia que determinadas organizaciones tienen cada vez más de las plataformas SCADA y el cambio que los fabricantes están asumiendo para cubrir las necesidades del mercado son aspectos que preocupan a los responsables de sistemas y seguridad.
Pensados para trabajar en entornos aislados y no conectados a la red, los sistemas SCADA carecen de dispositivos de seguridad como cortafuegos, mecanismos de cifrado o software antivirus. La interconexión que se ha producido entre todos los sistemas, la posibilidad de gestionarlos en remoto y la implantación de sistemas más abiertos y estándares, ha introducido nuevos elementos de riesgo en estas plataformas.
Francisco Lázaro, director de Seguridad y Sistemas de Soporte a Operaciones de Renfe, abrió la discusión asegurando que dada la actual situación es necesario que se establezca una colaboración eficaz entre los Departamentos de Sistemas y las áreas que tradicionalmente han controlado las plataformas
SCADA, ya que en su opinión, “debemos hacer frente a nuevas amenazas en todos los sistemas implantados en cualquier organización, pues cada vez más estos son abiertos y estándares y están mucho más expuestos. La filosofía de las plataformas SCADA es que duren mucho tiempo sin cambios. Esto choca frontalmente con los Sistemas de Información (SI) que se actualizan continuamente. La aparición de nuevas normas legales obliga a un control mucho más exhaustivo de esos entornos”.
Justo López, responsable de Seguridad Informática de Endesa, coincide también al afirmar que en la actual situación, “los SI son más vulnerables, pero a pesar de ello los entornos SCADA no pueden actualizarse continuamente pues están situados en lugares críticos de las organizaciones y para ellos la seguridad es estratégica”.
Rafael Hernández, responsable de Seguridad de Sistemas de Información de Cepsa, comenta que en su organización cuentan “con sistemas de control avanzados. La parte de ingeniería ha controlado hasta ahora todos sus sistemas. El auge de la conectividad y la movilidad complican el escenario y elevan el riesgo. Desde Sistemas no controlamos ni gestionamos, pero si aportamos elementos y servicios de seguridad, teniendo en cuenta que sus necesidades son completamente diferentes de las del resto de los departamentos”.
En opinión de Javier Arratibel, gerente de Sistemas de Monitorización y Control de Acciona, “el cambio que se ha producido en los sistemas, que han pasado de ser propietarios y cerrados a entornos abiertos y estándar, afecta a las plataformas SCADA. Ya no son un mundo cerrado sino que han tenido que abrirse y comunicarse con otras áreas. Intentamos aplicar las mismas políticas que al resto de los entornos, aunque es complejo porque su trabajo es mucho más crítico. La posibilidad de interactuar con estos sistemas a través de dispositivos móviles y de forma remota complica el panorama. Hemos comenzado a aplicar estándares de protección que ya están siendo usados en otros países”.
Los proveedores que trabajan en este nicho de mercado tienen mucho que decir. Para Isaac Fores, country manager para Iberia de Sonicwall, “desde hace más de dos años hemos notado en el mercado un cambio de tendencia. Las empresas han emprendido el camino de los sistemas abiertos y esto ha traído nuevos problemas a los que han tenido que enfrentarse las infraestructuras SCADA. Nuestro papel como proveedores es añadir niveles de seguridad, dotar a las organizaciones de sistemas que les permitan conocer quién accede a un sistema de este tipo, desde dónde y bajo qué parámetros; e introducir elementos de monitorización que mejoren los niveles de seguridad”.
Evidencias digitales
Para Francisco Lázaro, de Renfe, “el control de las plataformas SCADA es complejo. Las amenazas a estos entornos son importantes y muchas de ellas fruto del cambio de escenario, del uso de herramientas de conectividad, de arquitecturas generalistas, de la regulación o la madurez en la gestión de la seguridad de los SI. Tenemos que incluir a los elementos SCADA en el ciclo de seguridad de los sistemas, aplicar políticas, análisis de riesgo, controles, indicadores y evidencias digitales. Pero para todo se requieren nuevas herramientas y sistemas que incorporen capas y principios de seguridad”.
Rafael Hernández, de Cepsa, aporta un elemento nuevo: “los fabricantes de elementos SCADA son el tercer jugador en este mundo y también ellos están en fase de cambio, caminando hacia sistemas abiertos, lo que nos ayudará a concienciar a los departamentos de ingeniería de que los sistemas de seguridad son un elemento imprescindible y que deben integrar en sus entornos, políticas que la aseguren. La redacción por parte del Gobierno de una Ley de Infraestructuras Críticas obligará no sólo a adoptar medidas de seguridad, sino a definir el tipo de información que se reclama a estos departamentos. Esta situación nos permite establecer un nuevo nivel de colaboración”.
Nivel de riesgo aceptable
Como en cualquier área de actividad, la seguridad absoluta es imposible por lo que como asegura Javier Arratibel, de Acciona, “es necesario establecer el nivel de riesgo que puedes asumir y, a partir de ahí, planificar tus inversiones para proteger lo elegido”.
Isaac Fores, de Sonicwall Iberia, explica como, a veces, “vemos que no somos capaces de determinar los niveles de riesgos que una plataforma SCADA puede soportar”.
Rafael Hernández, de Cepsa, explica que, “son sistemas críticos y es necesario analizar dónde está el riesgo, su impacto en el negocio y a partir de ahí, generar planes directores que establezcan niveles de seguridad”.
Javier Arratibel, de Acciona, asegura que, “hay un elemento que a veces olvidamos y es la seguridad física de las personas que trabajan en estos entornos y a los que debemos darles todo tipo de autorizaciones para que puedan operar estas plataformas. Tenemos que implantar sistemas de auditoría y predicción para prevenir riesgos y conocer dónde se ha producido el fallo en caso de que se dé”.
Rafael Hernández aporta un nuevo elemento a la discusión, “desde Sistemas damos servicio a la parte más alta de las plataformas
SCADA pero no podemos quedarnos ahí. Debemos conseguir que generen información que aporte valor añadido al negocio, que se integren con el negocio, sino su función será marginal y continuarán como un elemento independiente”.
Javier Arratibel, de Acciona, afirma que esta idea está unida al cambio en la forma de manejar la información. “En la Dirección quieren la información al momento y en tiempo real, lo que te obliga a integrar todos los sistemas de tu organización. Los elementos SCADA deben integrarse con los ERP o con cualquier otro sistema de información. Es necesario también que puedan comunicarse con diferentes proveedores, con las autoridades regulatorias”.
Justo López, de Endesa, no está tan seguro de que la nueva ley pueda obligar a implantar sistemas de seguridad, “pero si es cierto que se va a crear un mercado de seguridad para plataformas SCADA que antes no existía, aunque su seguridad va a depender de la que tenga implantada a nivel general la propia empresa”.
Incremento de los presupuestos
Un aspecto destacable es que la implantación de sistemas de seguridad en las plataformas SCADA supondrá un incremento de las inversiones.
Rafael Hernández afirma que, “se ha producido un aumento de los presupuestos para la implantación de sistemas de control, lo que lleva a un aumento de las inversiones en seguridad. En general, estas se centrarán en todo aquello que suponga un aumento de la eficiencia del negocio, en seguridad y en la mejora de los procesos”.
Aspectos como la nueva Ley de Infraestructuras Críticas, la importancia y dependencia que determinadas organizaciones tienen cada vez más de las plataformas SCADA y el cambio que los fabricantes están asumiendo para cubrir las necesidades del mercado son aspectos que preocupan a los responsables de sistemas y seguridad.
