InfoSecMan Blog

La informática industrial, y entre ella los sistemas SCADA (Supervisory Control and Data Acquisition, en español, control supervisor y adquisición de datos) llevan utilizándose muchos años en sistemas y aplicaciones muy variadas, para las que en su momento se recogieron numerosos requisitos de comunicaciones, usabilidad e incluso seguridad física y laboral (estos sistemas suelen estar situados en entornos industriales poco “amigables” ambientalmente hablando). Sin embargo, hasta hace muy poco, pocos eran los sistemas (y siguen siendo) en los que se introducía la seguridad de la información como un requisito más en el funcionamiento de estas plataformas.

Las consecuencias de esta ausencia de “seguridad” en este tipo de sistemas es más crítica si cabe que en los sistemas tradicionales de tratamiento de información, ya que en estos casos pueden correr peligro vidas humanas (creo que no hace falta comparar el fallo de un servidor web con el de un sistema de control de una grúa de descarga portuaria, por ejemplo).

Como en muchos otros casos, especialmente a raíz de los atentados contra las Torres Gemelas de Nueva York, en general se ha comenzado a tomar conciencia de los riesgos asociados a estos sistemas y el propio gobierno de Estados Unidos y la Unión Europea han desarrollado marcos regulatorios en torno a los mismos (un breve resumen aquí ), con el fin de disminuir los riesgos asociados a estos sistemas.

En nuestro país no soy consciente de que existan aún empresas dedicadas a ofrecer servicios de seguridad de informática industrial (que realicen por ejemplo SCADA Security Assessments) lo cuál quiere decir bastante del nivel existente, como podéis suponer. En Estados Unidos, sin embargo, sí que existe un mercado de seguridad alrededor de esta área, celebrándose incluso congresos monográficos dedicados al tema (como el promovido por SANS, Process Control & SCADA Security Summit ), profesionales especializados en este área de seguridad y compañías con servicios activos al respecto.

Recientemente he entrado en contacto ligeramente con este tipo de sistemas e instalaciones y estoy viendo que, en efecto, la seguridad de la información brilla por su ausencia de forma generalizada en este tipo de instalaciones: redes planas sin filtrado entre “servidores” y “usuarios”, accesos remotos indiscriminados sin control aparente, ubicaciones desatendidas que un atacante o usuario malicioso podría utilizar para ganar acceso, redes de producción o monitorización compartiendo medio con las redes ofimáticas e incluso los accesos a Internet… y una larga lista de vulnerabilidades esperando a que alguien decida explotarlas (o sean explotadas accidentalmente).

Se hace por tanto necesaria la incorporación de la seguridad de forma explícita en estos sistemas. ¿Cómo hacerlo? El primer paso sin duda es crear la consciencia en sus propietarios de que los mismos están incompletos y que están asumiendo riesgos que en muchos casos pueden ocasionar grandes pérdidas económicas e incluso humanas. Por supuesto, una formación de base en seguridad a todos aquellos profesionales implicados en el diseño de estos sistemas sería un punto muy positivo como medida preventiva pero, ya en este punto, una medida adicional puede ser la de evaluación independiente de la seguridad de estos sistemas (si lo hacemos ya para otras infraestructuras IT por qué no para estos??).

¿Qué experiencias tenéis vosotros en este ámbito? ¿Cuál es vuestra opinión al respecto? Comentarios (públicos o privados) bienvenidos!

Como complemento, un pequeño artículo que trata sobre este tema: leedlo aquí.