Published on Revista .Seguridad ([Link]

mx)
Inicio > Sistemas SCADA, consideraciones de seguridad

SISTEMAS SCADA, CONSIDERACIONES DE

SEGURIDAD
Eduardo Carozo Blumsztein

ICS SCADA

seguridad i

numero-18

Introducción

Intentaremos exponer las dificultades que encuentran las soluciones de seguridad que se aplican a las
redes telemáticas convencionales (ICT: Information and Communications Technology) cuando se
aplican a las redes telemáticas industriales (ICS: Industrial Control System).
Comenzaremos por la descripción de SCADA (Supervisory Control and Data Acquisition), es el nombre
del sistema de información especializado que se utiliza informalmente para referirse a un conjunto de
tecnologías, protocolos y plataformas, que componen lo que se denomina la ICS.

Los SCADA habitualmente tienen funciones de automatización y control en los procesos industriales y
diferentes niveles de interacción con los dispositivos remotos, siendo capaces, en su nivel más bajo, de
únicamente recabar datos (presión, temperatura, posición). En el nivel intermedio, de dirigir a distancia
dispositivos bajo supervisión humana remota (abrir compuertas, cerrar válvulas). En su nivel más alto
de interacción, tomar decisiones en forma automática (abrir o cerrar válvulas para mantener niveles de
tanques, rangos de presión en líneas de vapor, disparar disyuntores eléctricos en líneas de alta
tensión, etc.).

La razón por la que estos sistemas se destacan entre los activos de información críticos, es por su
potencial de impacto en la población en caso de una disfunción: Centrales de generación eléctrica
(nucleares, térmicas, etc.), control de redes de energía, redes de aguas potables, control de
gasoductos, líneas automatizadas de producción en fábricas, control y gestión de plantas de destilación
de hidrocarburos, petroquímicas, etc., instalaciones que cuando tienen malos funcionamientos o
interrupciones, generalmente afectan a miles de personas.

Es importante precisar, además, que en la medida en que los dispositivos se hacen más precisos y
confiables, más decisiones de control se están delegando a este tipo de sistemas, dado que su
capacidad de toma de decisiones con frecuencia es más ajustada (de mayor precisión) y más estándar
(lo que asegura mejoras de calidad en muchos procesos) que el control manual humano.

Históricamente, estos sistemas nacieron en una situación muy diferente a la que operan actualmente:
eran implementados en recintos cerrados, controlando dispositivos físicos cercanos (frecuentemente
bajo línea de vista del operador) y bajo estrictos controles de acceso físico en el interior de la
instalación industrial que debían medir o controlar. La mayoría de las implementaciones se realizaban
para controlar y registrar variables físicas (temperatura, presión, etc.) y estandarizar el comportamiento
de válvulas de flujo, niveles de tanques y generalmente la idea “concepto” era realizar una instalación
inicial y mantenerla en forma inalterada en el tiempo. La seguridad se controlaba por “obscuridad”,
dejando la red desconectada de su entorno y dando acceso a un número limitado de empleados
especializados. Es frecuente encontrarse con estos sistemas operando sin interrupciones ni
actualizaciones desde hace cuatro o cinco años.

Por esta forma de ser implementados y gestionados, los sistemas SCADA eran, en el pasado,
relativamente inmunes a las intrusiones y ataques que sufrían las redes en el exterior, no por ser más
resistentes, sino porque estaban desconectados y eran inaccesibles desde las redes administrativas o
Internet.

Es esencial entender que este aislamiento ha cambiado, ahora es necesario tomar datos del proceso
industrial en tiempo real, llevarlos a diversos sistemas de las redes administrativas, interconectar
nuestro sistema de control con empresas proveedoras a través de Internet, o comandar a distancia
elementos a través de datos de la red celular. Para ello, es necesario utilizar los mismos protocolos y
tecnologías que usan las redes de datos en general. Esta situación está provocando una alta
exposición de estos frágiles sistemas a ataques desde el exterior. Es cada vez es más frecuente
encontrarse con incidentes de seguridad que los afectan seriamente [1].

Otro aspecto relevante son las prácticas de los operadores de los sistemas de control industrial, que
culturalmente siguen percibiendo y trabajando con estos sistemas, como si estuvieran aislados e
implícitamente seguros.

Sistemas de seguridad de la información – Dificultades

Existe un profuso desarrollo y múltiples experiencias de éxito de sistemas de gestión de seguridad de

la información para redes complejas de tecnologías de la información y telecomunicaciones [2].

La mayoría de las propuestas son implementadas bajo el estándar ISO 27000, lo que implica en la
génesis de los sistemas, que el aseguramiento debe garantizarse sobre tres aspectos:
confidencialidad, integridad y disponibilidad.

El orden en la que se presentan estas tres características no es casual y es causal de muchos de los
aspectos que hacen inadecuado un Sistema de Gestión de Seguridad de la Información (SGSI)
tradicional para una red industrial. Para una entidad financiera, de gobierno o una empresa, en general
los riesgos más importantes están dirigidos por una posible pérdida de confidencialidad (por ejemplo,
debido a razones competitivas o pérdida de información privada de los ciudadanos), luego deben ser
considerados temas de integridad y cierra la lista de características la disponibilidad.
Por supuesto existen industrias en donde los órdenes están invertidos. Por ejemplo, en un sistema de
prepago de celulares, la disponibilidad es crucial, al igual que en las ICS. La ventana de tiempo
aceptable de indisponibilidad del servicio no supera los 40 segundos. En una entidad bancaria, la
integridad de la base de datos de cuentas bancarias es lo más importante; sin embargo, en la mayoría
de las soluciones, el ordenamiento de relevancia de las características es confidencialidad, integridad y
disponibilidad.

Cuando desarrollamos sistemas de gestión industrial, la disponibilidad del mismo es crucial debido a
que una interrupción de dichos sistemas, provoca inmediatamente falta de control de los sistemas
productivos, pérdidas de calidad y estandarización de calidad y, en los sistemas críticos,
potencialmente se pone en riesgo la vida de personas. Sigue en prioridad la integridad de la
información para lograr una rápida recuperación al estado de régimen después de una interrupción y,
finalmente, la confidencialidad.

Esta diferenciación de prioridades provoca importantes diferencias a la hora de escoger e implementar

herramientas de trabajo y seguridad. Asimismo, torna algunas prácticas habituales del mundo de las
Tecnologías de la Información y Comunicación (TIC ) en inaceptables para los entornos industriales.

Por ejemplo, el reinicio de sistemas es una práctica habitual en los procesos de actualización y parcheo
de software para mejorar el desempeño o la seguridad en el mundo de las tecnologías de la
información, pero en el entorno industrial, este tipo de prácticas es, en muchos casos, imposible o
excesivamente oneroso, puesto que implica la detención del proceso industrial con sus consecuentes
costos de parada y reposición del estado de régimen. Imaginemos que cada vez que sea necesario
actualizar un sistema operativo se detenga la línea de destilación de una refinería, con un costo de
varios millones de dólares. Esto determina como práctica operativa habitual “prohibir” la actualización
de los sistemas operativos de aplicaciones o software de soporte en dichas implementaciones, hasta
que se defina la detención de la instalación por otros motivos (mantenimiento o incidentes).

Para facilitar la conectividad y estabilidad de estas plataformas, en la mayoría de los protocolos de

comunicación SCADA entre los servidores de control, las RTU (Remote Terminal Units), los PLC
(Programmable Logic Controlers) y otros dispositivos; raramente se incorporan consideraciones de
seguridad (entre los más difundidos: DNP3, Modbus [3], ICCP, OPC). Todos estos protocolos tienen
reconocidas vulnerabilidades, brindando en casi todos los casos gran cantidad de información en texto
plano que permite obtener datos relevantes de la infraestructura).
Las aplicaciones SCADA deben sortear arduos controles de compatibilidad para conectar exitosamente
los múltiples dispositivos periféricos que utilizan, como sensores, PLC, válvulas, etc., por lo que en
general, la actualización de dichas aplicaciones tiene una demora con el estado del arte de la
seguridad en software de al menos un año, en la mayoría de los casos. Inclusive debemos tener
presente que, si actualizamos el sistema operativo sin obtener la comunicación de compatibilidad del
fabricante del SCADA, podemos perder garantías y sufrir interrupciones de la operación por
incompatibilidad.

Por otra parte, la vida útil de los equipamientos y aplicaciones es otro aspecto en el cual los dos
mundos: TIC y ICS difieren absolutamente, los tiempos de Redes de Control Industrial (RCI) son
habitualmente muy largos (hemos encontrado implementaciones activas de principios de la década de
los 90) y con las cuales las organizaciones están muy conformes con su desempeño y no desean
cambiar. En el mundo TIC, la velocidad de renovación de hardware y software rara vez supera los tres
años de antigüedad. Esto hace que la mayoría del equipamiento disponible en el mundo RCI sea
antiguo, con escasa capacidad computacional, imposibilitando la implementación de nuevas
funcionalidades de seguridad (como certificar o cifrar las comunicaciones).

Por último, en los tiempos que corren, las organizaciones se encuentran abocadas a centralizar las
gestiones de los sistemas de control e interconectarlos con los sistemas administrativos, perdiéndose
de vista la localización y control directo de los operadores contra los sistemas SCADA y exponiéndolos
a múltiples redes, incluso en ocasiones, a comunicaciones a través de Internet.

Así las cosas, es natural encontrarse sistemas operativos obsoletos, aplicaciones débilmente
implementadas y en los hechos encontrarnos frente a una excelente práctica operativa (es decir
¡concluir que nada mejor se puede hacer!). Es la realidad de construir con desarrollos concebidos para
el mundo TIC, aplicaciones para el mundo RCI.

[1] D.J. Kang, Proposal strategies of key management for data encryption in SCADA network of electric
power systems.

[2] SGSI para organizaciones complejas, Eduardo Carozo, ISACA

[3] Modbus, Modbus Application Protocol Specification V1.1b, 2006

Source URL: [Link]