El informe Control Systems Cyber Security Awareness del año 2005 (US-CERT) analizaba cómo entre los años 2002 y 2004 el 66% de los incidentes de seguridad ocurridos con sistemas SCADA se debían a ataques externos, mientras que el 22% se debían a accidentes, el 3% a errores o fallos de funcionamiento internos y el resto, a causas desconocidas. Para que os hagáis una idea, entre 1982 y 2001, sólo el 29% de los incidentes de seguridad se habían catalogado como externos.
Este incremento tan espectacular se debe principalmente a lo que ya hemos comentado en alguna entrada anterior dedicada a CIIP: a principios del siglo XXI los sistemas SCADA han comenzado a trabajar con tecnologías y protocolos estándar y conocidos por todos, como suelen estar distribuidos geográficamente se conectan a centros de supervisión y control mediante tecnologías y protocolos estándar, y a su vez estos centros suelen estar conectados a la red corporativa de la empresa o institución propietaria del proceso, y a través de esta red, a Internet.
Por este motivo la preocupación por la seguridad de los sistemas SCADA ha sido creciente. Algunos ejemplos son las nuevas normativas, mejores prácticas, instituciones, etc; dedicadas a la seguridad de estos sistemas. Además, dentro de la protección de infraestructuras de información críticas (CIIP), la protección de los sistemas de control industriales es un punto clave. Incluso se ha comenzado a hablar de ciberterrorismo depués de los incidentes ocurridos en Estonia en el año 2007 y de la cantidad de información técnica acerca de los productos de diferentes fabricantes de sistemas SCADA que se han encontrado tras la detenciones de diferentes terroristas en los últimos años.
Aunque en España ya tenemos el CNPIC y por algo se empieza, en otros países como Estados Unidos nos llevan mucha ventaja trabajando en estos temas. Allí se creó dentro del DHS (Department of Homeland Security), el US-CERT y el Control Systems Security Program, que se dedica exclusivamente a la seguridad de sistemas SCADA.
Os dejo este enlace ya que está completamente actualizado con las últimas noticias relacionadas con la seguridad dentro del área industrial (ataquesm vulnerabilidades descubiertas), y tenéis multitud de información, artículos y noticias para comenzar a profundizar en estos temas:
http://www.us-cert.gov/control_systems/
Especialmente interesante, dentro de la pestaña Top10, es el recurso Secure Architecture Design, os recomiendo que le echéis un vistazo, aunque hablaremos de ello en el futuro en este blog.
Aunque como podéis ver todavía no existen estándares y normativas universalmente aceptadas, sino que suelen ser más bien inicitivas a nivel nacional, y/o sectorial sí que existen ciertos principios básicos que todos estamos de acuerdo en que deebn ser los fundamentos de la seguridad industrial en la actualidad:
Este incremento tan espectacular se debe principalmente a lo que ya hemos comentado en alguna entrada anterior dedicada a CIIP: a principios del siglo XXI los sistemas SCADA han comenzado a trabajar con tecnologías y protocolos estándar y conocidos por todos, como suelen estar distribuidos geográficamente se conectan a centros de supervisión y control mediante tecnologías y protocolos estándar, y a su vez estos centros suelen estar conectados a la red corporativa de la empresa o institución propietaria del proceso, y a través de esta red, a Internet.
Por este motivo la preocupación por la seguridad de los sistemas SCADA ha sido creciente. Algunos ejemplos son las nuevas normativas, mejores prácticas, instituciones, etc; dedicadas a la seguridad de estos sistemas. Además, dentro de la protección de infraestructuras de información críticas (CIIP), la protección de los sistemas de control industriales es un punto clave. Incluso se ha comenzado a hablar de ciberterrorismo depués de los incidentes ocurridos en Estonia en el año 2007 y de la cantidad de información técnica acerca de los productos de diferentes fabricantes de sistemas SCADA que se han encontrado tras la detenciones de diferentes terroristas en los últimos años.
Aunque en España ya tenemos el CNPIC y por algo se empieza, en otros países como Estados Unidos nos llevan mucha ventaja trabajando en estos temas. Allí se creó dentro del DHS (Department of Homeland Security), el US-CERT y el Control Systems Security Program, que se dedica exclusivamente a la seguridad de sistemas SCADA.
Os dejo este enlace ya que está completamente actualizado con las últimas noticias relacionadas con la seguridad dentro del área industrial (ataquesm vulnerabilidades descubiertas), y tenéis multitud de información, artículos y noticias para comenzar a profundizar en estos temas:
http://www.us-cert.gov/control_systems/
Especialmente interesante, dentro de la pestaña Top10, es el recurso Secure Architecture Design, os recomiendo que le echéis un vistazo, aunque hablaremos de ello en el futuro en este blog.
Aunque como podéis ver todavía no existen estándares y normativas universalmente aceptadas, sino que suelen ser más bien inicitivas a nivel nacional, y/o sectorial sí que existen ciertos principios básicos que todos estamos de acuerdo en que deebn ser los fundamentos de la seguridad industrial en la actualidad:
- Conciencia de seguridad y formación.
- Definición de políticas y procedimientos.
- Diseño de arquitecturas seguras.
- Control del acceso remoto.
- Análisis de vulberabilidades y riesgos.
- Respuesta ante incidentes.
- Gestión de configuración y actualización.
- Monitorización y control.
- Gobernanza de IT.
- Gestión del cambio.
Como podéis ver, en relidad son los mismo principios básicos de la gestión de seguridad que en cualquier otro entorno, pero se están definiendo mejores prácticas específicas para los entornos industriales. Hablaremos de ello en entradas futuras.