Los sistemas de control cambian lentamente. El diseño básico de un sistema de control “moderno” típico en servicio hoy en día tiene más de 20 años. En ese momento, internet era un bebé. Amazon acababa de comenzar a vender libros, Google acababa de aparecer y Facebook ni siquiera existía. El mundo en red de hoy tampoco existía. Los diseñadores de sistemas de control en el momento asumieron que las redes de control incluirían solo dispositivos de control. El ancho de banda y la potencia de procesamiento eran limitados y los sistemas debían aislarse para garantizar el rendimiento en tiempo real. La seguridad significaba simplemente colocar una cerca alrededor del perímetro de la planta y mantener las  puertas cerradas.

Como resultado, la mayoría de esas arquitecturas de sistemas de control que eran dominantes en la planta aún son dominantes, pero son intrínsecamente vulnerables a los ciberataques modernos. Un atacante suficientemente informado con acceso a la red puede activar interruptores, ajustar válvulas, cambiar puntos de ajuste e incluso controlar estrategias enviando mensajes directamente a los dispositivos de control. Además, muchas redes de control tendrán estaciones de trabajo de Windows u otros componentes cuyos mecanismos de seguridad y vulnerabilidades son bien conocidos por los piratas informáticos. Esto crea enormes vulnerabilidades cibernéticas una vez que la red de control ya no está aislada. 

Pero mantener una red aislada, crear un espacio de aire, ya no es realista. La gerencia desea que los datos del sistema de control estén disponibles en toda la empresa. Los vendedores quieren acceso remoto a los dispositivos que mantienen. Y los ingenieros de la planta quieren acceso remoto, por lo que pueden solucionar los problemas sin tener que conducir a la planta a las 2 a.m. (IIoT) posibilidades. 

Préstamo de TI empresarial

La práctica estándar actual es tomar prestado del mundo de TI empresarial. Un firewall reemplaza el espacio de aire entre el sistema de control y la red empresarial. Las configuraciones más complejas incluirán múltiples firewalls, zonas desmilitarizadas (DMZ), redes privadas virtuales (VPN), monitoreo de redes, sistemas de detección de intrusos e incluso monitoreo remoto de redes basadas en la nube. Esa red de control originalmente separada por aire ahora es parte de un sistema interconectado muy complejo que llega hasta Internet. Si todo está bien configurado y mantenido y monitoreado cuidadosamente, las vulnerabilidades asociadas con esta enorme superficie de ataque se pueden manejar para reducir el riesgo. Sin embargo, la configuración y el mantenimiento de esta infraestructura de red frente a las amenazas cibernéticas en constante cambio requiere un esfuerzo sostenido y serio.

Los piratas informáticos rusos investigan la red eléctrica

Un informe reciente del Departamento de Seguridad Nacional (DHS) de EE. UU. Y la Alerta TA18-074A del DHS   deja en claro que estas defensas son penetrables. Este informe describe una campaña rusa extendida contra la infraestructura crítica de Estados Unidos. 

Los atacantes comenzaron con una extensa investigación de sitios web públicos y continuaron con ataques de phishing y de pozos de agua contra proveedores y objetivos principales en la industria energética, con especial énfasis en los sistemas de control industrial (ICS). Las diapositivas informativas mostraron una pantalla HMI del sistema de control de la central eléctrica de una sesión RDP del actor de amenaza. Se informó que se reconstruyó a partir de los datos que quedaron de una sesión del Protocolo de Escritorio Remoto (RDP). El actor de la amenaza podría haber manipulado los controles de lo que parece ser un generador de turbina de gas con una carga de aproximadamente 15 Mw. 

Este no es el único ejemplo. En 2015, los atacantes utilizaron el acceso remoto RDP para eliminar parte de la red eléctrica de Ucrania. En 2016 lo volvieron a hacer. En este caso, utilizaron malware que se comunicaba directamente con los dispositivos de control. Las autoridades ucranianas informaron recientemente de un ataque de malware VPNfilter en una planta química. VPNfilter es un malware instalado en enrutadores que incluye un módulo de protocolo Modbus que se comunica directamente con los dispositivos de control.

Trisis/Triton

Trisis (también conocido como Tritón) fue un ataque que llegó al sistema de seguridad de una planta química sin nombre en el Medio Oriente en 2017. 

El ataque apuntó a un sistema de seguridad Triconex. Recientemente se reveló que los atacantes habían estado presentes en las redes de la planta durante más de un año. Los atacantes parecen haber utilizado técnicas de piratería en su mayoría ordinarias para obtener acceso a la red de control. El ataque al controlador Triconex fue diseñado a medida. Se sospecha que el cierre del proceso causado por la manipulación del atacante del controlador no fue el objetivo sino un error del atacante. 

La identidad y los motivos de los atacantes son desconocidos. Lo que se sabe es que estuvieron dentro de las redes de la planta el tiempo suficiente para descubrir casi todo lo que querían saber sobre la planta y su sistema de control. Se sospecha ampliamente que la intención era desactivar el sistema de seguridad y luego atacar el proceso. El contexto es un gran complejo petroquímico. Es muy fácil imaginar la pirotecnia que podría haber sido. 

El innovador controlador OSA Remote Processing de 2018 Processing Breakthrough Products incorpora una infraestructura de clave pública (PKI) a nivel de chip, lo que lo hace responsable de su propia seguridad. Cortesía de Bedrock Automation.

El creciente panorama de amenazas

Estos incidentes ilustran tanto las limitaciones de la ciberdefensa actual como el creciente interés en apuntar a los activos de ICS. Los estados nacionales no son los únicos actores. Aparentemente existe un mercado activo a través del cual los cibercriminales comunes pueden vender acceso indirecto a los sistemas de control. También hay malware diseñado para comunicarse directamente con dispositivos de control que no tienen defensas. Una vez que se penetran las defensas perimetrales, la red de control es un objetivo blando. Este problema solo empeorará a medida que aumente la presión para conectar todo. 

El mundo de TI también está descubriendo que el concepto de una defensa perimetral alrededor de un interior confiable es cada vez más difícil de mantener. Hace unos años, Google concluyó que la solución era asumir que no se podía confiar en la red. Lanzaron un programa que llamaron BeyondCorp, que crea un nuevo marco de confianza que no depende de redes confiables. Esto ahora se ha convertido en un concepto para la red Zero Trust. Calcula los derechos de acceso en función de una puntuación de confianza que incluye a la persona, el dispositivo que están utilizando, dónde se encuentran y lo que han estado haciendo recientemente. El empleado que usa una computadora portátil personal en una cafetería tiene privilegios diferentes a los que tiene desde la estación de trabajo de su oficina dentro de un edificio de Google. La solución Zero Trust desarrollada por Google y otros es muy compleja, pero la premisa básica, que la seguridad no puede depender de confiar en la red, es cada vez más válida. Cualquier dispositivo conectado a una red confiable, incluso indirectamente, se convierte en un vector de ataque potencial. 

El problema básico es simple: si no podemos confiar en el mensajero, en este caso, en la red, ¿cómo confiamos en el mensaje?   La solución casi siempre se reduce a respuestas a dos preguntas: ¿Quién envió el mensaje? ¿Y ha sido manipulado? La tecnología digital para responder estas preguntas ahora es omnipresente, al menos en las industrias de comercio electrónico, militar y aeroespacial. Consiste en una infraestructura de clave pública (PKI) que puede autenticar al remitente y una variedad de algoritmos criptográficos que asegurarán que el mensaje sea a prueba de manipulaciones y privado. Pero aún no está integrado en los sistemas de control convencionales que ejecutan la mayor parte del procesamiento global, principalmente porque estas arquitecturas de control convencionales están profundamente arraigadas en las tecnologías de control de 20 años mencionadas anteriormente. 

Cómo funciona la ciberseguridad intrínseca

El ganador del Premio a los productos innovadores de procesamiento 2018 Bedrock Automation es la excepción. Bedrock incrusta PKI en todos sus dispositivos comenzando en el nivel de chip, haciendo que el dispositivo sea responsable de su propia seguridad. El sistema ya no depende de una red externa de servidores de seguridad atornillados, dispositivos de detección de intrusos, etc., para analizar si las señales entrantes son confiables. Esto proporciona un nivel de profundidad completamente nuevo para la defensa. Si bien los piratas informáticos de élite pueden pasar por alto los firewalls, romper la criptografía sólida implementada adecuadamente no es una posibilidad práctica. El atacante ahora enfrenta un conjunto completamente nuevo de barreras que existen en muchas rutas de señal, no solo una. El controlador tiene esencialmente un sistema inmune.

Los elementos básicos de PKI son sencillos. Todas las partes de confianza tienen certificados únicos que los identifican. Los certificados también incluyen datos que definen los roles y privilegios del sistema de cada parte. Los certificados son emitidos y administrados por una autoridad de certificación (CA). Los mecanismos PKI permiten a todos los miembros de la web de confianza reconocer a otros miembros y excluir a los impostores. 

En el caso de un módulo controlador en un ICS, esta seguridad permite saber que el actor es un ingeniero autorizado para cambiar la programación del usuario, o si un operador tiene permiso para cambiar un punto de ajuste. Si el actor tiene las credenciales PKI adecuadas, el controlador permite la acción. Si no, el controlador lo bloquea. 

Los tres frentes de batalla de la ciberseguridad intrínseca

La seguridad intrínseca requiere atención a la seguridad en tres etapas de desarrollo: el diseño del sistema, la cadena de suministro de componentes y el proceso de fabricación.

El diseño en seguridad comienza en el nivel de silicio. La informática segura requiere un proceso de inicio a prueba de manipulaciones. El primer código que ejecuta el procesador no se puede cifrar. Proteger este código con firmas o sumas de verificación no ayuda porque si puede ser manipulado, los cheques llegan demasiado tarde. Este código inicial debe estar integrado en el chip del microprocesador. Las fases posteriores pueden usar código firmado y cifrado, pero esto nuevamente requiere características especiales de silicio para proteger las claves secretas. La seguridad intrínseca descansa sobre una base colocada a nivel de silicio.

A nivel de silicio, Bedrock tiene la visibilidad y el control únicos sobre su cadena de suministro de silicio que proviene del diseño y el abastecimiento de chips fabricados a medida. Sus placas de circuito están hechas y ensambladas en los Estados Unidos. El origen y el número de lote de cada parte, desde microprocesadores hasta resistencias en cada placa de circuito, se rastrea en la base de datos de fabricación de Bedrock. Cada placa tiene un número de serie único. Todas las placas se prueban utilizando accesorios y software de prueba especiales.

El montaje final de los módulos se realiza en las instalaciones seguras de Bedrock. Allí, Bedrock carga cada módulo con software de producción y un paquete único de certificados criptográficos y claves vinculadas a características inmutables de su silicio. Estos paquetes clave se generan mediante un sistema informático especial de alta seguridad y se cargan directamente en los módulos mediante un proceso automatizado seguro. Cada módulo ahora tiene su identidad criptográfica completa. No se puede clonar ni falsificar. Luego, el módulo pasa por una primera prueba de remojo de calor. Si todo va bien, se sella en su caja resistente a la manipulación y se somete a una prueba final de remojo con calor.

Protección más profunda a menor costo

Los cortafuegos, la detección de intrusos y la tecnología de conexión tienen un precio. Colocan una carga continua de mantenimiento y monitoreo en las operaciones, y aún no pueden defenderse contra todas las amenazas en evolución. Integrar la ciberseguridad profundamente en los dispositivos en un sistema de control agrega una capa de protección robusta adicional que no depende de la seguridad de la capa de red. Operacionalmente, esta capa es casi gratuita. El costo adicional de compra de los dispositivos es mínimo y los mecanismos de seguridad intrínsecos son casi invisibles para las operaciones. Incluso si los intrusos superan las defensas de la red, es probable que se detengan en seco antes de que puedan causar algún daño. 


Sam Galpin es un miembro de Bedrock Automation que participa en el desarrollo avanzado y la planificación estratégica y fue el principal arquitecto de software en la línea de productos de Bedrock Open Secure Automation (OSA). Anteriormente, trabajó en Foxboro Company (ahora parte de Schneider Electric), donde escribió todo el software para los módulos de E / S de la serie IA y fue ingeniero de software líder en varios otros productos de control clave. Antes de eso, fue CEO de Hyperform, un fabricante de kayaks y canoas de aguas bravas. Galpin tiene una licenciatura en ciencias de la tierra del MIT.