La seguridad de los sistemas de control consiste en proteger las redes de tecnología operativa (OT) y los dispositivos de campo del sistema de control (p. ej., sensores de procesos, actuadores, variadores, etc.). Sin embargo, todavía hay una brecha en la educación y tecnología de seguridad cibernética a nivel de dispositivos de campo. El 28 de mayo de 2019, se hicieron dos anuncios independientes que afectan la seguridad cibernética de la cadena de suministro del sistema de control que, en conjunto, significan una falta de seguridad cibernética, seguridad y resistencia de todas las infraestructuras, incluida la red eléctrica. Los problemas de la cadena de suministro pueden ser subcomponentes dentro del alcance del proveedor del sistema de control o pueden estar fuera del alcance del proveedor.

El primer anuncio fue los riesgos de la cadena de suministro de seguridad cibernética de NERC: informe del personal y acciones recomendadas, expediente No. RM17-13-000. Según NERC, las cadenas de suministro para la tecnología de la información y las comunicaciones y los sistemas de control industrial pueden brindar varias oportunidades para que los adversarios inicien ataques cibernéticos, lo que presenta riesgos para el sistema eléctrico a granel.

El segundo anuncio fue una notificación de transmisores de proceso falsificados de Yokogawa. Los transmisores de proceso miden presión, nivel, flujo, temperatura, etc. Los transmisores de presión y presión diferencial se utilizan en aplicaciones de control de procesos en aplicaciones comerciales, industriales, de fabricación y de defensa, incluidas aplicaciones de seguridad de centrales nucleares y sistemas integrados de seguridad no nuclear (SIS). Los transmisores de proceso son los verdaderos “dispositivos de borde” en un sistema de control, pero generalmente carecen de seguridad cibernética o autenticación. Específicamente, los transmisores Yokowaga se usan ampliamente en todo el mundo, incluso en América del Norte. La primera notificación de Yokogawa sobre transmisores falsificados fue en 2014 y se basó en dispositivos falsificados encontrados fuera de Norteamérica (https://www.yokogawa.com/pr/topics/2014/pr-topics-2014-12-en.htm).

Según Yokogawa, el reciente anuncio está basado en un nuevo informe de productos falsificados en América del Norte. Las falsificaciones afectadas conocidas se limitaron a la serie EJA-110E. Los productos falsificados se adquirieron a través de una cadena de suministro no autorizada y falsificada con la que Yokogawa no tiene ninguna relación comercial. Lo más probable es que las falsificaciones se vendieran con fines de lucro, como vender carteras falsas de Prada por un precio con descuento. Sin embargo, los transmisores falsificados pueden actuar como caballos de Troya para entregar malware detrás de firewalls. Los transmisores falsificados también pueden estar mal configurados, ser inexactos o incapaces de cumplir con los requisitos de diseño (ver figura adjunta).

Los transmisores falsificados no son un problema exclusivo de Yokogawa. Ha habido numerosos casos en los que se han utilizado transmisores falsificados o del “mercado gris” de otros proveedores, pero no ha habido una notificación formal de otro proveedor de transmisores como con Yokogawa. Sinclair Koelemij de Honeywell respondió a las discusiones de Linked-in sobre el anuncio de Yokogawa con lo siguiente: “Existen muchos otros ejemplos de dispositivos y sensores de campo falsificados, incluso en combinación con certificaciones falsas ATEX (Explosión atmosférica) (la certificación ATEX es un requisito para todas las empresas que fabrican equipos eléctricos que se utilizan en entornos peligrosos y están destinados a ser comercializados en la Unión Europea). La cadena de suministro es crítica para la seguridad OT, esto incluye todos los elementos de un sistema de automatización. No solo desde una perspectiva de riesgo cibernético, el montaje de equipos falsificados en el campo puede provocar accidentes muy graves. En el caso de una certificación ATEX falsa, incluso explosiones masivas ”. Otros proveedores de sistemas de control han recibido llamadas de los clientes sobre el rendimiento del transmisor donde el proveedor no puede conciliar el número de serie del transmisor instalado con los registros del proveedor.

Los transmisores falsificados se convierten en un problema de seguridad nuclear debido a lo que se llama Dedicación de grado comercial, que efectivamente permite el uso de dispositivos de seguridad no calificados en aplicaciones de seguridad nuclear. El término “falsificación” no se usa para la dedicación de grado comercial, pero el término “garantía razonable” se usa como un término general. Los transmisores falsificados ciertamente no pueden proporcionar una garantía razonable del rendimiento esperado. Los transmisores falsificados también son una preocupación importante para las aplicaciones SIS, ya que muchos sistemas de seguridad usan los mismos transmisores que en las aplicaciones básicas de control de procesos.  

No está claro qué tan extendido han llegado estos transmisores falsificados. Los transmisores falsificados pueden ser un mecanismo de falla de causa común que es MUY peligroso. Además, pueden preprogramarse derrotando cualquier programa de seguridad cibernética. En consecuencia, existe la necesidad de tener un programa para identificar dispositivos falsificados antes de que se instalen y después en caso de que pasen por el proceso de detección.

Volviendo a la presentación de la cadena de suministro de NERC, los únicos sensores identificados en la presentación de NERC eran sensores de movimiento para seguridad física. La instrumentación de procesos y los sistemas de seguridad que utilizan transmisores falsificados pueden causar daños cinéticos en múltiples instalaciones, lo que puede ser un problema importante de confiabilidad de la red. Debido a que los transmisores falsificados pueden preprogramarse independientemente de las redes OT (enrutables) Ethernet y, sin embargo, alimentar las redes OT, los transmisores falsificados pueden afectar a los sistemas de alto, medio o bajo impacto NERC. Sin embargo, no existe un programa de seguridad cibernética para abordar transmisores falsificados. Además, los transmisores son instalados por técnicos de instrumentos que generalmente no forman parte de ningún equipo de seguridad cibernética y, por lo tanto, tienen una capacitación mínima o nula en seguridad cibernética.

Parece que los esfuerzos del gobierno y las normas no han abordado adecuadamente la seguridad cibernética de estos dispositivos críticos. Sin embargo, los gobiernos de Rusia e Irán parecen preocuparse por este tema. En el marco de tiempo de 2014, un investigador de seguridad ruso hizo una presentación en la Conferencia de Seguridad Cibernética de ICS sobre la piratería del protocolo de Transductor Remoto Direccionable por Carretera (HART) que son las redes de sensores de proceso de 4-20 miliamperios. En la misma conferencia, un investigador del Instituto de Tecnología de la Fuerza Aérea hizo una presentación sobre un estudio de prueba de concepto sobre sensores de proceso de huellas digitales. Esto fue seguido en 2016 con resultados de huellas digitales de ADN de RF de transmisores WART HART de Emerson, Honeywell, Siemens y Yokogawa (López, J. Leifer, NC, Busho, CR y Temple, MA “

Durante los últimos años, he escrito extensamente sobre la necesidad de monitorear los sensores de proceso a nivel de señal sin procesar en tiempo real. Los sensores de proceso de huellas dactilares, que incluían la serie específica de sensores Yokogawa, deberían poder detectar la diferencia entre los sensores Yokogawa originales (OEM) y falsificados, especialmente porque el sitio web indica que hay una diferencia en la estructura del circuito y los principios de medición (no hubo sensores falsificados en el trabajo de huellas dactilares). Además, los proveedores de monitoreo de redes OT y detección de amenazas comienzan asumiendo que los sensores no están comprometidos, están autenticados y son correctos, lo que puede no ser una suposición correcta. ISA99 está abordando la seguridad cibernética de los sensores de proceso a nivel de política en ISA/IEC62443-4-2.

Sentí que el monitoreo fuera de banda de los sensores podría ayudar con la cadena de suministro antes de leer el anuncio de Yokogawa. Dado el anuncio de Yokogawa y los ataques de Stuxnet y Triton que debían comprometer las pantallas del operador, se necesita una detección fuera de banda en tiempo real lo antes posible.

Ha sido evidente que la seguridad cibernética del sistema de control ha sufrido de brechas culturales / problemas de gobernanza que a menudo condujeron a la falta de seguridad cibernética en los sensores / transmisores de proceso y la falta de ingenieros / técnicos de instrumentos que participan en los equipos de seguridad cibernética. Esto también plantea la pregunta de qué es OT. Si los transmisores no se consideran parte de OT, este NO es un problema de convergencia IT/OT. Si los transmisores se consideran OT, se vuelve crítico que los ingenieros y técnicos de instrumentos formen parte del equipo de seguridad cibernética.

Como se mencionó, según NERC, las cadenas de suministro para los sistemas de control industrial pueden proporcionar varias oportunidades para que los adversarios inicien ataques cibernéticos que afectan el Sistema Eléctrico a Granel. Sin embargo, NERC ha evitado el direccionamiento de dispositivos y redes de campo del sistema de control (los sensores que se encuentran dentro del perímetro de seguridad electrónica los hace fuera de alcance). La ironía es que los sensores de proceso son críticos para la confiabilidad (la “R” en NERC) pero NERC continúa ignorándolos. Esto tiene que cambiar.

No se creía que Stuxnet ni Tritón fueran amenazas hasta que realmente ocurrieron. Lo mismo parece ser el caso con la seguridad cibernética de los sensores de proceso. El sistema de control de ciberseguridad necesita abordar tanto las redes como los dispositivos de campo del sistema de control. Esto incluye personas (con expertos en instrumentación involucrados), procesos (monitoreo de sensores falsificados y certificaciones) y tecnologías (monitoreo de sensores en línea). La conclusión es que si tiene el control de los transmisores, tiene el control del proceso, que debería ser el punto de realizar la seguridad cibernética del sistema de control.


Fuente: LINK