Documentos de Académico
Documentos de Profesional
Documentos de Cultura
La presente publicacin pertenece al Instituto Nacional de Tecnologas de la Comunicacin (INTECO) y est bajo una
licencia Reconocimiento-No comercial 3.0 Espaa de Creative Commons, y por ello est permitido copiar, distribuir y
comunicar pblicamente esta obra bajo las condiciones siguientes:
1) Reconocimiento: El contenido de este informe se puede reproducir total o parcialmente por terceros, citando su
procedencia y haciendo referencia expresa tanto a INTECO como a su sitio web: www.inteco.es. Dicho
reconocimiento no podr en ningn caso sugerir que INTECO presta apoyo a dicho tercero o apoya el uso que hace
de su obra.
2) Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos
mientras su uso no tenga fines comerciales.
Al reutilizar o distribuir la obra, tiene que dejar bien claro los trminos de la licencia de esta obra. Alguna de estas
condiciones puede no aplicarse si se obtiene el permiso de INTECO como titular de los derechos de autor. Nada en esta
licencia menoscaba o restringe los derechos morales de INTECO. http://creativecommons.org/licenses/by-nc/3.0/es/
El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). As, se
trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y
orden de lectura adecuado.
Para ampliar informacin sobre la construccin de documentos PDF accesibles puede consultar la gua disponible en la
seccin Accesibilidad > Formacin > Manuales y Guas de la pgina http://www.inteco.es
NDICE
PUNTOS CLAVE ...............................................................................................................6
1
Presentacin......................................................................................................10
1.2
DISEO METODOLGICO......................................................................................13
2.1
2.2
2.3
2.4
3.2
3.3
3.4
Beneficios de su uso..........................................................................................31
4.2
4.3
5 REGULACIN:
LEGISLACIN
APLICABLE
Y
ESTNDARES
INTERNACIONALES .......................................................................................................37
5.1
5.2
Pgina 3 de 105
5.3
6.1
6.2
6.3
7.2
7.3
8.2
8.3
8.4
Estandarizacin de sistemas y reduccin de dependencia respecto de los
fabricantes ...................................................................................................................70
9
RECOMENDACIONES .............................................................................................71
9.1
9.2
9.3
10 CONCLUSIONES .....................................................................................................76
10.1
10.2
Pgina 4 de 105
I.
Objetivos y alcance............................................................................................86
II.
Introduccin .......................................................................................................86
III.
IV.
Propuestas de mejora........................................................................................89
V.
Objetivos y alcance............................................................................................94
II.
Introduccin .......................................................................................................94
III.
IV.
Pgina 5 de 105
PUNTOS CLAVE
INTECO, en su misin de impulsar el desarrollo de la Sociedad del Conocimiento a travs
de proyectos en el marco de la innovacin y la tecnologa, publica el Estudio sobre la
seguridad sistemas de monitorizacin y control de procesos e infraestructuras (SCADA).
Este estudio tiene como objetivos determinar qu son los sistemas SCADA, cul es su
finalidad y, especialmente, cules son sus riesgos de seguridad y cmo estos se pueden
evitar o mitigar.
La metodologa llevada a cabo para la realizacin de la investigacin se ha basado en
dos aspectos de diferente ndole. En primer lugar, se ha llevado a cabo un anlisis
documental profundo. Para ello se ha determinado las fuentes de informacin disponibles
en referencia a estudios, investigaciones y trabajos relacionados con los sistemas
SCADA (Supervisory Control And Data Acquisition) e ICS (Industrial Control System) para
su posterior consulta en busca de informacin til y actual al respecto.
En segundo lugar, se ha realizado una consulta a diferentes expertos de los mbitos
relacionados con este tipo de sistemas mediante una serie de entrevistas personales.
Entre estos profesionales se encuentran investigadores, implantadores, usuarios de
sistemas SCADA y expertos en seguridad de la informacin.
De este modo, se ha podido conseguir un enfoque multidisciplinar en la investigacin que
reporte mayores beneficios y aporte una visin enriquecedora para su anlisis.
I.
Un sistema SCADA se puede describir de forma general como un sistema que permite la
monitorizacin y/o control, de forma centralizada y remota, de un conjunto de actuadores
o dispositivos finales. Se trata de un trmino que pese a estar restringido a un tipo de
sistema de control industrial actualmente se utiliza para denominar a la gran mayora de
estos sistemas.
Un SCADA est constituido por varios componentes repartidos en diferentes puntos. Los
centros de control son los puntos donde se ubican los sistemas y componentes centrales,
es decir, es desde donde se supervisa y gestiona el proceso. Por otro lado, las posiciones
de campo son las ubicaciones en las que se encuentran los actuadores electromecnicos
a gestionar, como vlvulas, sensores, bombas, etc. Con el fin de comunicar estos dos
puntos, estos sistemas cuentan con una red de comunicaciones que pueden cubrir
grandes distancias.
Pgina 6 de 105
II.
Este tipo de sistemas presenta una serie de beneficios que facilitan su utilizacin en
muchos y diversos sectores. Estos beneficios se centran esencialmente en la gestin
remota de procesos complejos, automatizando tareas y programando actuaciones frente
a posibles eventualidades. De este modo, los sistemas de monitorizacin y control en
tiempo real posibilitan una optimizacin de los procesos gestionados.
Esta funcionalidad fomenta su uso en sectores tan variados como la generacin
energtica o la industria manufacturera. Adems, estos sistemas se utilizan para
gestionar procesos rutinarios presentes en muchos otros sectores al margen de los
industriales. Entre estos procesos cabe destacar los sistemas de climatizacin de
instalaciones o el funcionamiento del sistema de ascensores de un edificio.
III.
Dado que en muchos casos, los sistemas SCADA actan sobre las llamadas
Infraestructuras Crticas, se encuentran sujetos a ciertas regulaciones y normativas.
Esto se debe a que muchos servicios bsicos para la poblacin dependen de su
funcionamiento y por tanto deben contar con una proteccin adecuada.
En los ltimos aos se han emprendido diversas actuaciones normativas en materia de
Infraestructuras Crticas en el mbito nacional, como es la aprobacin de un Plan
Nacional de Proteccin de las Infraestructuras Crticas (Ley 8/2011), as como la
elaboracin de un primer Catlogo Nacional de Infraestructuras Estratgicas. Adems, a
da de hoy se cuenta con el Centro Nacional para la Proteccin de las Infraestructuras
Crticas, rgano director y coordinador de las actividades relacionadas con la proteccin
de las infraestructuras crticas adscrito a la Secretara de Estado de Seguridad del
Ministerio del Interior de Espaa.
IV.
Pgina 7 de 105
Gestin de riesgos
Con el fin de prevenir y solventar los riesgos identificados, en la elaboracin del presente
estudio se ha recopilado una serie de medidas de seguridad y buenas prcticas
sealadas por los expertos consultados.
Estas buenas prcticas se agrupan en tres categoras:
Pgina 8 de 105
VI.
Recomendaciones
Los usuarios finales deben exigir que los productos ofertados por los proveedores
les proporcionen un nivel aceptable de seguridad.
Pgina 9 de 105
INTRODUCCIN Y OBJETIVOS
1.1
PRESENTACIN
1.1.1
Pgina 10 de 105
1.1.2
Pgina 11 de 105
Pgina 12 de 105
DISEO METODOLGICO
2.1
Pgina 13 de 105
2.2
Esta fase del proyecto se ha destinado a consultar la opinin de expertos sobre los
diferentes mbitos de anlisis propuestos para el estudio.
2.2.1
Seleccin de expertos
Pgina 14 de 105
ISACA, N+1. Antonio Ramos. Presidente - ISACA Madrid Chapter, Socio Director
(N+1).
2.2.2
Realizacin de entrevistas
Las entrevistas desarrolladas con los expertos han seguido el siguiente guin:
a) Presentacin y detalles del experto. Presentacin, principales campos de
actuacin y experiencia en la realizacin de proyectos con sistemas SCADA.
b) Tecnologas existentes. Principales productos y empresas de sistemas SCADA.
c) Aplicaciones y usos de los sistemas de monitorizacin y control SCADA.
Principales usos y aplicaciones de los sistemas SCADA, as como anlisis de
costes y beneficios.
Pgina 15 de 105
Pgina 16 de 105
INTRODUCCIN
A
LOS
SISTEMAS
DE
MONITORIZACIN Y CONTROL EN TIEMPO REAL
Pgina 17 de 105
Pgina 18 de 105
3.1
Pgina 19 de 105
Centros de control:
o
Posiciones de campo:
o
1
Un elemento core es aquel elemento o conjunto de elementos centrales de un sistema y cuyo funcionamiento se
considera esencial para la operativa correcta del sistema del que es parte.
Pgina 20 de 105
Pgina 21 de 105
Pgina 22 de 105
3.2
Los sistemas SCADA tienen una serie de rasgos que los diferencian de otros sistemas
TIC, como su utilidad, diseo inicial y la evolucin especfica que han sufrido en los
ltimos aos.
Desde el punto de vista funcional, este tipo de sistemas, se encuentran diseados para
trabajar de manera continua. Es decir, la disponibilidad del servicio prestado es la
prioridad absoluta. Esto se debe a que en muchos casos los sistemas SCADA controlan y
monitorizan actividades de vital importancia para la sociedad, como la generacin y
distribucin de energa elctrica.
Los sistemas SCADA, al contrario que los sistemas TIC (Tecnologas de la Informacin y
Comunicacin) habituales, tienen un enfoque diferente respecto a la conocida pirmide
CIA (Confidentiality, Integrity, Availability, Confidencialidad, Integridad, Disponibilidad) de
prioridades. Mientras que en un sistema TIC tradicional la escala de prioridades presenta
como base la confidencialidad, posteriormente la integridad y finaliza con la
disponibilidad, en un sistema SCADA el objetivo primordial es garantizar la disponibilidad
del servicio y del sistema.
A modo comparativo, se incluyen a continuacin ambos enfoques de la pirmide CIA,
encontrndose a la izquierda el enfoque tradicional TIC, y en la derecha el enfoque propio
de sistemas SCADA. En ellas, la parte ms amplia de la pirmide es el atributo que se ha
priorizado, mientras que la zona ms estrecha es la que menos se ha desarrollado.
Grfico 3: Comparativa Pirmides CIA
Fuente: INTECO
Pgina 23 de 105
Disponibilidad
Integridad
Grado de madurez:
Alto
Medio
Bajo
Confidencialidad
Fuente: INTECO
Pgina 24 de 105
Componente
Productos / Fabricante
Electrnica de red
Hardware computacional
Sistemas operativos
Bases de datos
Pgina 25 de 105
Protocolos de red
Servicios TI corporativos
Virtualizacin
de
Pgina 26 de 105
Centros de control
Grfico 5: Centros de Control
Seguridad fsica. Al tratarse del ncleo de este tipo de sistemas, estos centros
han contado histricamente con unas medidas de proteccin fsicas muy robustas,
por lo que su nivel de madurez se considera alto.
Pgina 27 de 105
3.4.2
Funcionalidad. Este aspecto ha sido cubierto de una forma muy eficaz desde el
inicio del uso de este tipo de sistemas. Se ha basado, y an hoy se basa, en dos
pilares fundamentales, que son la redundancia (tanto en lo referido al software
como al hardware) y la robustez de los sistemas y equipos empleados.
Comunicaciones
Grfico 6: Comunicaciones de campo
Fuente: INTECO
Pgina 28 de 105
3.4.3
Pgina 29 de 105
Pgina 30 de 105
4.1
BENEFICIOS DE SU USO
Pgina 31 de 105
Si bien es cierto que estas acciones podran llegar a desarrollarse de forma manual, sera
necesario para ello mantener personal operario en cada una de las presas y, al ser
imprescindible la intercomunicacin entre los operarios de los diferentes puestos, podran
producirse errores humanos en la comunicacin, lo que podra implicar fallos en la toma
de decisiones. De esta manera, el hecho de utilizar sistemas de monitorizacin y control
industrial se suele traducir en un ahorro de costes y un nivel de funcionalidad ms
deficiente.
4.1.2
Los sistemas de supervisin y gestin en tiempo real tambin resultan de gran utilidad
para su uso en los procesos industriales complejos. Estos procesos pueden abarcar
multitud de funciones, peros siempre cuentan con un factor en comn, su dificultad para
ser gestionados manualmente. En este caso, se podra tomar como modelo el proceso de
fabricacin de un compuesto qumico relativamente complejo, como por ejemplo un
medicamento.
Este proceso de fabricacin se encontrara ubicado en una nica planta industrial, por lo
que el alcance geogrfico sera limitado. A pesar de ello, contara con un conjunto de
sensores y actuadores considerablemente amplio. Estos elementos se encontraran
implantados a lo largo de la cadena de produccin y tendran diferentes fines, como por
ejemplo medir y controlar los siguientes aspectos: la cantidad de compuestos qumicos
disponibles y utilizados en cada unidad, la capacidad de los contenedores donde se
almacenen los productos finales, la temperatura de los hornos, las revoluciones de un
proceso de centrifugado, etc.
En definitiva, los sistemas en este caso monitorizan y controlan un proceso realmente
complejo, con una gran cantidad de variables susceptibles de ser modificadas y de cuyos
valores depende completamente el resultado del producto final.
Mediante el uso de un sistema SCADA, se puede gestionar de forma centralizada el
estado actual del proceso, as como controlar en todo momento que ningn parmetro
exceda los valores que se consideren adecuados. En este tipo de procesos, muchas
veces las acciones que se realizan son dependientes unas de otras, por lo que la
Pgina 32 de 105
es
indispensable
para
poder
reaccionar
ante
En este caso, la gestin manual del proceso industrial resultara inviable debido a su alta
complejidad, por lo que los beneficios son muy elevados. No obstante, el coste de
implantar y mantener este sistema SCADA tambin es ms elevado, aunque la relacin
coste beneficio contina siendo favorable.
4.1.4
Un sistema SCADA no solo se puede utilizar para controlar una infraestructura crtica o
una gran instalacin, sino que tambin abarcan multitud de servicios y procesos
cotidianos. Ejemplo de ello son los sistemas que controlan el mecanismo de unas
escaleras mecnicas. Para la concrecin de su funcionamiento se puede tomar como
ejemplo un sistema que controle de forma centralizada y en tiempo real la instalacin de
aire acondicionado de un edificio.
En este caso, los elementos gestionados son tanto los equipos de refrigeracin, como la
propia instalacin encargada de distribuir el aire frio. Mediante el sistema SCADA, se
puede controlar todo el proceso relativo a la refrigeracin, como puede ser la temperatura
del aire generado, la intensidad, el tiempo en el que est funcionando, etc.
Asimismo, puede monitorizarse un conjunto de sensores en las salas, que miden en
tiempo real la temperatura de cada una de ellas, enviando alarmas en caso de que la
temperatura de una sala no se encuentre dentro de un rango predefinido. De este modo,
se puede programar un proceso que se encargue de alterar el flujo de aire para
corregirlo, o simplemente esperar a que un operador realice la accin oportuna.
Este tipo de monitorizacin y control est muy extendido y se puede encontrar en multitud
de instalaciones, pero es de vital importancia en algunas de ellas en las que mantener las
condiciones ambientales dentro de unos parmetros determinados puede ser un factor
esencial para su funcionamiento, como puede ser en el caso de los Centros de Procesos
de Datos (CPDs).
El principal beneficio de los sistemas SCADA en estos casos es la simplificacin de la
gestin de un elemento, en este caso la temperatura, en funcin de las necesidades y
usos de cada sala. De este modo, se obtiene una mayor eficiencia energtica y, por
tanto, una reduccin de costes. Adicionalmente, en los casos en que las condiciones
Estudio la seguridad de los sistemas de monitorizacin y control de procesos (SCADA)
Observatorio de la Seguridad de la Informacin
Pgina 33 de 105
ANLISIS SECTORIAL
La amplitud de sus aplicaciones provoca que los sistemas SCADA se utilicen en una gran
variedad de sectores, aunque su peso y relevancia es dispar. A continuacin se sealan
los principales sectores en los que se emplean:
Pgina 34 de 105
Agua. En el caso del sector del agua, los sistemas SCADA son utilizados
principalmente para los procesos de potabilizacin, distribucin y tratamiento de
aguas. Debido a la extensin geogrfica de dichas instalaciones, se pueden incluir
tanto grandes sistemas SCADA, por ejemplo el sistema que controla el
abastecimiento de una regin, como pequeos sistemas SCADA, como puede ser
el relativo a una planta de tratamiento de aguas residuales o incluso el encargado
de monitorizar y controlar el sistema de riego en una explotacin agrcola.
El grado de dependencia de estos sistemas en empresas de este sector es muy
variado, abarcando desde las muy dependientes (distribucin de agua potable a
una regin) hasta las poco dependientes (sistema de riego). El grado de madurez
tambin vara, aunque como en casi todos los sistemas SCADA, en general, el
grado de madurez relativo a la funcionalidad es elevado.
Pgina 35 de 105
de dependencia de las empresas que los utilizan respecto a los mismos es, en general,
bajo debido a que las tareas que gestionan no son vitales para su negocio.
4.3
USOS FUTUROS
Pgina 36 de 105
REGULACIN:
LEGISLACIN
APLICABLE
ESTNDARES INTERNACIONALES
2
De entre las diferentes regulaciones especficas, cabe destacar la existencia de normas y estndares establecidos segn
distintas organizaciones. Estos pueden consultarse en el documento publicado por ENISA Protecting Industrial Control
Systems. Recommendations for Europe and Member States, especialmente en su exhaustivo Anexo III ICS Security
Related
Standards,
Guidelines
and
Policy
Documents.
Dicho
anexo
est
disponible
en
http://www.enisa.europa.eu/act/res/other-areas/ics-scada/annex-iii.
Pgina 37 de 105
5.1
NORMATIVA EUROPEA
Pgina 38 de 105
Agua. Incluyendo desde las redes de distribucin hasta los embalses y los
sistemas de almacenamiento y tratamiento.
Adems de sealar la tipologa de IC, esta comunicacin tambin pone de manifiesto que
sern los propios Estados miembros los que debern determinar sus respectivas IC. Para
ello debern atender a la frmula armonizada establecida a nivel europeo, conjuntamente
con los organismos o personas responsables de su proteccin o seguridad.
Igualmente, se prev la creacin de un Programa a nivel europeo con el fin de definir las
infraestructuras que pudiesen tener una dimensin transnacional y que debieran ser
protegidas. Dicho Programa se constituir como una herramienta de ayuda a las
empresas y Administraciones Pblicas para integrar las variables de la amenaza y sus
consecuencias en sus evaluaciones de riesgo para las IC.
Por ltimo, sealar que al amparo de esta norma se ha creado una red de informacin
sobre alertas en materia de IC denominada CIWIN (Critical Infrastructure Warning
Information Network) cuyo fin es agrupar a los especialistas en la materia de los Estados
miembros de la Unin Europea.
Comunicacin de la Comisin, de 12 de diciembre de 2006, sobre un Programa
Europeo para la Proteccin de Infraestructuras Crticas 4 (PEPIC)
El objetivo general del PEPIC, segn se indica en su apartado 2.1., es el de mejorar la
proteccin de las IC de la Unin Europea mediante la creacin de un marco comn en el
seno de la misma relativo a su proteccin.
A tal efecto, se definen las Infraestructuras Crticas Europeas (en adelante, ICE) como
aquellas infraestructuras crticas designadas que son de mayor importancia
para la Comunidad y cuya interrupcin o destruccin afecte a dos o ms
Estados miembros, o a un solo Estado miembro si la infraestructura crtica
est situada en otro Estado miembro. Esto incluye los efectos transfronterizos
Pgina 39 de 105
Pgina 40 de 105
5.2
NORMATIVA ESPAOLA
Pgina 41 de 105
Tambin establece una serie de obligaciones especficas que debern asumir tanto el
Estado como los operadores de las IC.
A continuacin se detallan otros documentos espaoles de especial inters:
Plan Nacional de Proteccin de las Infraestructuras Crticas (PNPIC) 8
El PNPIC es el instrumento de programacin del Estado elaborado por la Secretara de
Estado de Seguridad y dirigido a mantener seguras las infraestructuras espaolas que
proporcionan los servicios esenciales a la sociedad.
Por ello, el PNPIC contempla la puesta en marcha de medidas concretas para hacer
frente a las amenazas existentes sobre determinados sectores estratgicos,
contemplndose la inclusin de las IC en los siguientes doce sectores consideramos
como estratgicos: 1) administracin; 2) alimentacin; 3) energa; 4) espacio; 5) sistema
financiero y tributario; 6) agua; 7) industria nuclear; 8) industria qumica; 9) instalaciones
de investigacin; 10) salud; 11) tecnologas de la informacin y las comunicaciones y 12)
transporte.
Adicionalmente, est previsto que se establezcan determinados Planes Estratgicos
Sectoriales que debern incluir las medidas a adaptar dentro de cada uno de los sectores
anteriormente citados para hacer frente a su situacin de riesgo, estando articulados
mediante el Plan de Seguridad del Operador en el que cada operador (pblico o privado)
deber definir la poltica general de seguridad del conjunto de instalaciones o sistemas de
su propiedad o gestin considerados crticos, as como un Plan de Proteccin Especfico
para cada instalacin de las IC.
Acuerdo para la Proteccin de Infraestructuras Crticas 9
En virtud de este Acuerdo se establece el marco estructural que permitir dirigir y
coordinar las actuaciones precisas para proteger las IC en la lucha de Espaa contra el
terrorismo. En concreto, este Acuerdo trata los siguientes aspectos:
Pgina 42 de 105
Pgina 43 de 105
ORGANIZACIONES INTERNACIONALES
Estados Unidos
Pgina 44 de 105
Pgina 45 de 105
6.1
Desde sus orgenes, los sistemas SCADA han sido un objetivo de potenciales ataques
con motivaciones variadas. Este foco de atencin se ha debido principalmente a la
funcionalidad de estos sistemas: la posibilidad de controlar algn tipo de proceso, o al
menos recabar informacin de los mismos en tiempo real. Sin embargo, estos riesgos y
amenazas, debido al aislamiento caracterstico de estos sistemas en sus orgenes, se
limitaban principalmente a ataques fsicos y/o internos.
Con el paso de los aos, el riesgo de sufrir algn tipo de ataque se ha incrementado
notablemente y, aunque no existe consenso entre los expertos sobre el nivel de
amenaza, s que se valora en todo momento entre medio y alto.
Los sistemas de telecontrol siempre han estado histricamente en riesgo. El
riesgo principal era una intrusin fsica, y a medida que han ido
evolucionando los sistemas y encontrndose ms expuestos, el nmero de
amenazas aplicables ha aumentado
Las causas que han ayudado al actual dficit de seguridad son mltiples y variadas,
aunque se pueden destacar las siguientes:
Exceso de confianza en la seguridad por oscuridad
Una idea manifestada mayoritariamente por los expertos consultados es que entre
algunos profesionales del sector TIC est extendida la concepcin de que la ausencia de
informacin pblica sobre una tecnologa o producto ofrece altos niveles de seguridad al
mismo. Este hecho es directamente aplicable a los sistemas SCADA, ya que por un lado,
las tecnologas empleadas histricamente han sido propietarias y cerradas, y por otro
lado muy pocos profesionales conocan cmo funcionaba un sistema SCADA, cul era su
topologa, sus componentes, etc.
Esta falsa creencia se da por todo el sector de control, por lo que he ido
encontrado es una consideracin entre los tcnicos, operadores, los
ingenieros, los fabricantes, los proveedores, los proveedores de los
fabricantes, etc.
Sin embargo, el desconocimiento general de la tecnologa empleada no puede
considerarse un mecanismo de seguridad aceptable ni ser el nico utilizado, ya que una
persona interesada en atacar un sistema SCADA siempre podra estudiar y analizar una
Estudio la seguridad de los sistemas de monitorizacin y control de procesos (SCADA)
Observatorio de la Seguridad de la Informacin
Pgina 46 de 105
Pgina 47 de 105
Pgina 48 de 105
Pgina 49 de 105
6.2
Pgina 50 de 105
6.3
Los posibles riesgos para la seguridad, tanto tcnicos como referentes a la gestin, a los
que estn expuestos los sistemas de monitorizacin y control en tiempo real son
diversos. A continuacin se expondrn los principales riesgos tratados a lo largo de la
investigacin.
Incremento de las posibilidades de ataques
Debido a la escasa evolucin que han sufrido estos sistemas, ya sea en el hardware, el
software, o en las arquitecturas de red utilizadas, unido al desarrollo del entorno en el
cual se encuentran desplegados, la seguridad ha decrecido notablemente. Este problema
se debe esencialmente a que los sistemas SCADA no fueron diseados para el entorno
en el que se encuentran a da de hoy.
En un principio, este tipo de sistemas eran diseados para permanecer aislados, y cubrir
exhaustivamente los requisitos funcionales de disponibilidad y garantizar la integridad de
la informacin, siendo la seguridad un aspecto al que se prestaba poca atencin y desde
perspectivas actualmente obsoletas. Con el paso del tiempo, estos sistemas comenzaron
Estudio la seguridad de los sistemas de monitorizacin y control de procesos (SCADA)
Observatorio de la Seguridad de la Informacin
Pgina 51 de 105
Pgina 52 de 105
dispositivos finales y por tanto el envo de las posibles rdenes de correccin en caso de
encontrarse fuera de los lmites programados.
Intercepcin: En este caso, el principal riesgo se refiere a la privacidad. La informacin
enviada o recibida de este modo sera conocida por un intruso.
Falsificacin: La falsificacin de las comunicaciones supone la sustitucin de rdenes o
informaciones legtimas por otras definidas por el atacante. En caso de falsificar las
rdenes procedentes del centro de control se manipularan los dispositivos finales,
mientras que en caso de reemplazar las comunicaciones enviadas hacia dicho centro se
podra efectuar un ataque para generar errores inducidos.
Los errores inducidos son consecuencia del refinamiento de un ataque, en el cual el
objetivo es provocar un malfuncionamiento en el sistema a travs de forzar errores en la
toma de decisiones. Esta toma de decisiones puede ser llevada a cabo personalmente
por operadores o automticamente por el sistema. Para consumar estos ataques es
necesario tener un conocimiento relativamente elevado de la naturaleza y objetivo del
sistema, ya que es necesario hacer creer a un operador que el estado de la misma es
diferente al real.
Un ejemplo de este tipo de ataque consistira en una situacin en que un atacante que,
una vez hubiese logrado un acceso no autorizado al sistema SCADA, en lugar de realizar
ataques directos fcilmente detectables y rastreables, enviase a los operadores de dicho
sistema informacin errnea sobre el estado de los dispositivos. As, podra hacer creer al
operador que se est produciendo un cambio frente al que hay que actuar, inducindole a
realizar acciones concretas que tuviesen un impacto negativo sobre el sistema. De esta
forma, el atacante habra logrado su objetivo de una forma ms sutil, ya que el incidente
parecera haber sido producido por un error humano.
La falsificacin de comunicaciones tambin puede utilizarse para encubrir la manipulacin
de los dispositivos finales, enviando informacin que indique que no se est produciendo
ningn cambio de relevancia. De este modo se ocultara la situacin real a los operadores
y por tanto se impedira su reaccin y la puesta en marcha de acciones correctoras.
Virus informticos o malware
Estos sistemas, al igual que los dems sistemas informticos, son susceptibles de verse
afectados por cdigo malicioso, pudiendo ser ste especfico o general.
El cdigo malicioso especfico estara diseado expresamente para atacar este tipo de
sistemas. Para ello sera necesario un gran conocimiento de los mismos por parte de sus
desarrolladores. Hasta ahora el caso ms conocido de este tipo de malware es Stuxnet,
un gusano informtico capaz de reprogramar PLCs que se dio a conocer tras su
utilizacin para atacar instalaciones nucleares en Irn.
Estudio la seguridad de los sistemas de monitorizacin y control de procesos (SCADA)
Observatorio de la Seguridad de la Informacin
Pgina 53 de 105
Sin embargo, la infeccin ms probable podra ser la que implicase cdigo malicioso
general, es decir, aquel que se ha diseado para el ataque a equipos informticos de uso
comn. El que este riesgo sea ms probable se debe principalmente al dficit que suelen
presentar estos sistemas en cuanto a las actualizaciones de sus programas y sistemas
operativos.
La ausencia de polticas y procedimientos de actualizacin de software provoca que
sistemas y aplicaciones no se actualicen de manera peridica. Esta situacin da lugar a
que un sistema, que monitoriza y/o controla uno o ms dispositivos remotos, contenga
vulnerabilidades conocidas, en muchos casos explotables remotamente. Debido al amplio
abanico de herramientas disponibles, casi cualquier usuario con un mnimo de
conocimientos tcnicos puede, mediante un proceso de escaneo, detectar la existencia
de dichas vulnerabilidades conocidas, e incluso llegar a explotarlas satisfactoriamente,
con herramientas o frameworks que realizan explotaciones inteligentes. Por lo tanto,
ataques aparentemente simples podran afectarles de un modo importante.
Estas infecciones pueden tener distintas consecuencias, desde la prdida del control del
proceso gestionado hasta la filtracin de informacin sobre el mismo.
Ataque interno: Sabotaje y espionaje
El origen de la mayora de los ataques notorios que afectan a las TIC es interno. Muchas
organizaciones consideran que adoptar unas medidas perimetrales robustas es suficiente
para mantener un nivel de seguridad adecuado, protegindose as de ataques externos
pero manteniendo las vulnerabilidades internas.
Igualmente, en muchas ocasiones se considera que sus empleados, o bien no tienen los
suficientes conocimientos tcnicos para perpetrar un ataque, o no tienen motivos para
consumarlos. Esta creencia da lugar a que no se tomen medidas en cuanto a seguridad
que contemplen este escenario.
Sin embargo, este riesgo es real y ocurre en mltiples empresas y situaciones. Puede
deberse a motivos variopintos como enfado con la compaa, espionaje industrial,
motivaciones personales o econmicas, etc. Este riesgo se considera especialmente
peligroso debido al conocimiento que el empleado tiene de los sistemas y red interna y,
en muchos casos, incluso de las medidas de seguridad implantadas y en consecuencia
de las opciones que tiene para evitarlas.
Un ejemplo de este riesgo es un suceso ocurrido en el ao 2000, en el que un antiguo
empleado de la empresa que instal el sistema SCADA a la compaa Maroochy Water
Services, dedicada al tratamiento de aguas, provoc la expulsin de grandes cantidades
de aguas residuales en parques y dems sitios pblicos.
Pgina 54 de 105
Se denomina un flood de red a un envo masivo de trfico de red con el objetivo de saturar un sistema.
12
La tcnica de Man In The Middle consiste en interceptar las comunicaciones entre dos extremos, sin que ninguno de
ellos sea consciente, pudiendo as observar su contenido y/o modificarlo.
13
Los backdoors y rootkits son, esencialmente, cdigo malicioso orientado a permitir posteriores accesos a un sistema
comprometido, pudiendo ejecutar sin el conocimiento del usuario acciones y programas dainos.
Pgina 55 de 105
Pero entonces les pregunto: ests seguro? Los clientes piensan que no tienen
conexiones a Internet, pero vengo encontrando entre 5 y 10 normalmente
Arquitectura de red insegura
Este riesgo es posiblemente uno de los ms extendidos. El diseo e implementacin de
una arquitectura de red segura es muy importante, no solo para prevenir ataques
externos, sino tambin para limitar ataques internos. No solo previene ataques dirigidos,
sino tambin ataques no dirigidos, como puede ser la propagacin de un virus que afecta
a un sistema operativo en concreto.
Una arquitectura de red insegura abarca diversos aspectos, como pueden ser
segmentacin lgica y/o fsica, instalacin y configuracin de elementos de seguridad
(firewalls, ACLs en los routers, IDS, IPS, correladores de eventos, etc.), creacin de
DMZs y ubicacin de servidores y servicios en el segmento de red adecuado.
Accesos no autorizados
Un error habitual, que tiene asociado un riesgo intrnseco muy grande, es la existencia de
configuraciones por defecto. Estas configuraciones por defecto suelen contener
parmetros con valores inseguros y credenciales dbiles, para facilitar un primer inicio de
sesin y de esta forma configurar la funcionalidad de forma adecuada. De este modo,
mantener las configuraciones por defecto tras la puesta en funcionamiento de los
sistemas puede permitir que usuarios no autorizados acceder a los mismos.
Estos accesos pueden comprometer la privacidad de la informacin acerca del sistema,
pero de manera muy especial pueden suponer un riesgo de importancia en caso de lograr
controlar el sistema, pudiendo modificar en el acto el proceso controlado o cambiar las
rdenes y protocolos establecidos para su funcionamiento automtico, de modo que las
consecuencias de estas modificaciones podran darse tiempo despus de la intrusin.
Todo ello da lugar a un riesgo muy importante, ya que cualquier persona con un nivel de
conocimiento tcnico medio podra al menos detectar los dispositivos y equipos de ese
tipo de sistemas. Por ello es necesario disear una arquitectura de red segura y modificar
las configuraciones establecidas por defecto, especialmente las contraseas.
Un ejemplo reciente de este riesgo fue el descubrimiento de que en Oslo, Noruega, el
sistema de control y suministro de agua potable era accesible va Bluetooth con la
contrasea por defecto.
Pgina 56 de 105
GESTIN DE RIESGOS
MEDIDAS PREVENTIVAS
7.1.1
Restringir el acceso lgico entre el sistema de monitorizacin y control y
otras redes
Como se ha visto, uno de los principales focos de riesgo considerados por los expertos
consultados es la actual tendencia de interconexin de los sistemas de monitorizacin y
control con otras redes. Por ello es aconsejable limitar o controlar estas conexiones para
que nicamente las realmente necesarias se lleven a cabo.
Para aplicar esta restriccin se deber implementar una arquitectura de red segura, que
incluya, al menos, los siguientes aspectos:
Pgina 57 de 105
Pgina 58 de 105
Servicios crticos. En esta categora se pueden incluir los servidores SCADA, los
HMI y los histricos, principalmente. Tradicionalmente la redundancia de estos
servicios se ha realizado fsicamente, aunque en los ltimos aos est
empezando a utilizarse la redundancia tambin respecto a los elementos lgicos
mediante tcnicas de virtualizacin.
7.1.4
Se recomienda que los equipos encargados de operar y mantener los sistemas y redes
SCADA sean multidisciplinares, esto es, que los miembros de dicho equipo abarquen los
campos de conocimiento de seguridad (fsica y lgica), de informtica y
telecomunicaciones y de industria. De este modo, se evitar la toma de decisiones en
base a premisas incompletas por falta de conocimiento.
Pgina 59 de 105
7.1.5
Pgina 60 de 105
Pgina 61 de 105
7.1.7
Segregacin de entornos
Pgina 62 de 105
Tunelizar todo el trfico relativo al acceso remoto entre la DMZ ubicada entre la
red corporativa e Internet, y la DMZ ubicada entre la red corporativa y la red
SCADA.
7.1.10
Una de las primeras medidas en el mbito de la seguridad que todas las empresas,
especialmente aquellas que emplean algn tipo de red de monitorizacin y/o control en
tiempo real, es la planificacin de cursos o sesiones de concienciacin sobre seguridad.
Esta concienciacin es clave para fomentar una cultura de seguridad entre los
empleados.
Paralelamente, y de forma complementaria a la concienciacin, es recomendable ofrecer
una serie sesiones peridicas de formacin, en la que se muestren con ejemplos
prcticos qu medidas pueden y deben tomarse para obtener un nivel de seguridad
razonable, y evitar posibles errores que impacten en el funcionamiento diario de la
empresa.
Pgina 63 de 105
Con estas medidas se evitaran, en gran medida, errores humanos, al contar el personal
con los suficientes conocimientos tcnicos para afrontar situaciones inusuales.
Los primeros que usan estos sistemas son [ingenieros] industriales, que no
saben [] de seguridad informtica. Adems [] los que saben de seguridad
informtica no saben de sistemas de control, por lo que al final se produce un
vaco importante de conocimiento
7.1.12
Una medida que se debera aplicar antes de realizar el despliegue de una aplicacin,
sistema operativo o equipo en el entorno productivo, es la realizacin de un bastionado
de dicho elemento.
El bastionado es la tarea de configuracin y securizacin, en la medida de lo posible, del
nuevo elemento. El objetivo es que ese elemento cuente con un nivel de seguridad
razonable, sin que por ello su funcionalidad se vea afectada. Este proceso de bastionado
suele contar con, al menos, las siguientes fases:
Aunque el escenario ideal es que cada empresa desarrolle una gua de bastionado propia
para cada producto, que se encuentre alineada con sus necesidades operativas, en el
caso de no contar con esa opcin se pueden utilizar como base y referencia las guas de
buenas prcticas y de seguridad que ofrecen organizaciones como el NIST (National
Estudio la seguridad de los sistemas de monitorizacin y control de procesos (SCADA)
Observatorio de la Seguridad de la Informacin
Pgina 64 de 105
Institute of Standards and Technology), el CIS (Center for Internet Security) o el CCN
(Centro Criptolgico Nacional).
7.1.14
Mantener las firmas de los antivirus actualizadas siempre que sea posible
MEDIDAS DE DETECCIN
7.2.1
Con el objetivo de analizar y evaluar el nivel de seguridad real de los sistemas y de la red
SCADA, se recomienda realizar de forma peridica auditoras de seguridad. stas deben
ser:
7.2.2
Siempre que sea posible, se recomienda activar el uso de registros de auditora. Con ello,
ser posible registrar los accesos fallidos, ya sea de los propios usuarios, de sistema o de
aplicacin.
Estudio la seguridad de los sistemas de monitorizacin y control de procesos (SCADA)
Observatorio de la Seguridad de la Informacin
Pgina 65 de 105
MEDIDAS CORRECTIVAS
7.3.1
Desarrollar un Plan de Continuidad de Negocio y un Plan de Recuperacin
ante Desastres para la red SCADA
Para garantizar la operatividad y disponibilidad de los sistemas, se recomienda definir y
aprobar un Plan de Continuidad de Negocio (PCN) y un Plan de Recuperacin ante
Desastres (PRD) propios de los sistemas SCADA.
Como base se pueden emplear los PCN y PRD definidos en la empresa, siempre y
cuando se recojan las necesidades especficas de este tipo de redes.
En caso de incidente, estos planes contienen las pautas a seguir para, en primer lugar,
mantener en funcionamiento el sistema, ms concretamente en este caso, el del sistema
SCADA, y en segundo lugar, aplicar las medidas necesarias para volver a la normalidad.
7.3.2
Pgina 66 de 105
7.3.4
Seguridad integral
Pgina 67 de 105
LNEAS
DE
DESARROLLO
SEGURIDAD SCADA
FUTURO
EN
Pgina 68 de 105
Con el auge del uso de tecnologas y productos de propsito general en los sistemas
SCADA, as como del uso de protocolos estndares, o al menos conocidos, el uso de
soluciones SIEM 14 (Security Information and Event Management) se ha ido extendiendo
de manera notable.
Estos productos son ampliamente implantados en entornos TIC, habiendo alcanzado un
nivel de madurez y evolucin notable, en particular las firmas empleadas para la
deteccin de eventos. Sin embargo, debido a la naturaleza de este tipo de sistemas, el
uso de sistemas SIEM no es directamente aplicable, ya que no existen firmas diseadas
para la mayora de los protocolos utilizados, ni para los eventos necesarios detectar en la
operativa habitual.
A da de hoy se est trabajando en este campo, ya que muchos usuarios finales y
desarrolladores estn diseando y creando firmas especficas para este tipo de sistemas,
por lo que, aunque ya se han producido avances importantes, el margen de mejora es
considerable.
Algunos expertos consultados nos han confirmado que existe una tendencia al alza en el
desarrollo de plugins relacionados con SCADA y con procesos de monitorizacin
industrial.
14
Se denominan soluciones SIEM a un conjunto de herramientas y productos que permiten un anlisis en tiempo real de
alertas de seguridad generadas por dispositivos de red o software (aplicaciones, sistemas operativos, etc.).
Pgina 69 de 105
Pgina 70 de 105
RECOMENDACIONES
PARA
EL
LEGISLADOR
LOS
AGENTES
DE
Los riesgos derivados de los ataques deliberados son el principal foco de atencin
de esta ley, lo que produce que no contemple en profundidad otras motivaciones y
riesgos. Algunos expertos han sealado que deberan tenerse en cuenta tambin
los ataques cibernticos, la infeccin indirecta o los ataques internos, entre otros.
No, el real decreto no est abordando lo suficiente. Se echa en falta una
mencin especfica de la problemtica existente en los sistemas de control.
[] son igual de importantes los fallos de personal o los fallos de
procedimiento
Asimismo hay otros aspectos que, aunque son referentes al marco legal y jurdico, sern
tratados en los posteriores apartados debido a que requieren un anlisis ms
pormenorizado.
9.1.2
Regulacin sectorial
Pgina 71 de 105
Esta regulacin se encuentra justificada por el hecho de que no todas las infraestructuras
crticas, ni todos los sistemas SCADA, son iguales, ya que su tipologa, naturaleza y
alcance varan, especialmente encontrndose en diferentes sectores. Por tanto, esta
regulacin se adaptara de una forma ms eficaz a las necesidades especficas de cada
sector, pudiendo profundizar y llegar a una concrecin mayor.
A este respecto podra tomarse como referencia el caso de Estados Unidos, donde
existen un conjunto de organismos y asociaciones sectoriales (NERC en electricidad,
AGA en gas, etc.). Estos organismos desarrollan y publican guas y conjuntos de buenas
prcticas aplicables a las empresas e infraestructuras de sus sectores.
Los responsables de empresas y reguladores miran fuera de Espaa a la
hora de decidir aspectos de estandarizacin. Por ejemplo, un referente en el
sector elctrico sera el NERC (North American Electric Reliability
Corporation) de Estados Unidos
9.1.3
Pgina 72 de 105
Por otro lado, los principales inconvenientes que conllevara su creacin son:
Pgina 73 de 105
En particular, una de las ideas expresadas por los expertos es que organismos
gubernamentales de seguridad desarrollasen y publicasen guas de seguridad y buenas
prcticas en sistemas SCADA con un mayor nivel de detalle, ofrecindose informacin
tcnica de configuracin de sistemas operativos, aplicaciones o protocolos seguros
aplicables a este tipo de sistemas.
Asimismo, consideran que tambin sera positiva una mayor colaboracin con diversas
instituciones pblicas para profundizar en ciertas reas, como por ejemplo: los ministerios
del Interior y de Defensa para cuestiones relativas a la seguridad, el Ministerio de
Asuntos Exteriores y Cooperacin para aspectos relacionados con la interlocucin con
otros pases, y el Ministerio de Industria, Energa y Turismo dado que en la industria es el
sector en el que ms se emplean sistemas SCADA.
Cuanto ms actores haya implicados en la definicin de la regularizacin y
estandarizacin de la infraestructura critica, mejor sera la definicin de sta
[] deberan de estar en la definicin por ejemplo: el CCN, Industria,
Ministerio de Economa, Relaciones exteriores para una cooperacin
nacional, Defensa y dependiendo de la criticidad hasta Fuerzas Armadas
Asimismo, otro punto de involucracin podra ser la constitucin de equipos de trabajo
conjuntos para la realizacin de auditoras de seguridad o anlisis de riesgos, de modo
que el organismo pblico en cuestin pudiese aportar un punto de vista diferente.
9.2
9.2.1
Pgina 74 de 105
9.3
9.3.1
Dado que los usuarios finales de sistemas SCADA son conscientes de las carencias a en
cuanto a la seguridad de los productos ofertados por los principales proveedores, una
recomendacin destinada a los dichos usuarios es la de solicitar productos que cumplan
estos requisitos.
Debido a su posicin en el mbito de los sistemas SCADA, se recomienda que los
usuarios finales establezcan requisitos de seguridad a la hora de solicitar informacin
sobre estos productos, de tal forma que los fabricantes tomen conciencia de esta
demanda y adapten sus productos a las exigencias del mercado.
9.3.2
Pgina 75 de 105
10
CONCLUSIONES
Oportunidades
Pgina 76 de 105
Entorno cambiante. Este aspecto, aunque podra llegar a considerarse como una
amenaza, es considerado en mayor medida como una oportunidad para solventar
y corregir deficiencias que han afectado a este tipo de sistemas a lo largo del
tiempo.
Debilidades
Dependencia de los fabricantes. Una vez que se cuenta con un sistema SCADA,
la dependencia respecto al fabricante de los productos especializados es alta,
debido a que resulta casi imposible usar para un mismo componente productos de
diferentes fabricantes.
Pgina 77 de 105
Amenazas
Pgina 78 de 105
Fortalezas
Anlisis Interno
- Monitorizacin y gestin
centralizada
- Automatizacin de procesos
- Reduccin de costes a largo
plazo
- Aplicabilidad de soluciones
TIC
- Alta disponibilidad
Debilidades
-Vulnerabilidades heredadas
del TIC
-Vulnerabilidades de tecnologa
propietaria
- Dependencia de los
fabricantes
- Falta de concienciacin
- Magnitud del sistema
- Organigrama inadecuado
- Ausencia de soluciones de
seguridad especializadas
- Limitaciones impuestas por
disponibilidad
Oportunidades
Anlisis Externo
- Migracin a tecnologa de
propsito general
- Eficacia en la operativa de
negocio
- Regulacin y Legislacin
- Entorno cambiante
Amenazas
- Usuarios maliciosos
- Alta exposicin (Internet)
- Publicacin de
vulnerabilidades
- Interrupcin de servicios
bsicos
Fuente: INTECO
Tomando como base esta matriz, el resultado de la combinacin de los cuatro mbitos
considerados es:
Potencialidades. Surgen de la combinacin de las fortalezas y oportunidades. Definen
las principales ventajas resultantes del uso de sistemas SCADA. Las principales
potencialidades que se pueden extraer de este anlisis son:
Pgina 79 de 105
Reducir costes a largo plazo aprovechando la mayor eficacia que ofrecen este tipo
de sistemas, as como migrando a tecnologas de propsito general.
Pgina 80 de 105
El uso de este tipo de sistemas supone a largo plazo una reduccin de costes,
debido a su capacidad de monitorizacin y gestin centralizada y remota. Sin
embargo, la interrupcin de este servicio, ya sea por error humano o por ataque,
puede suponer un alto impacto econmico.
Pgina 81 de 105
Los sistemas SCADA ya no son sistemas aislados, por lo que resulta mucho ms
fcil acceder a ellas.
Pgina 82 de 105
Pgina 83 de 105
Pgina 84 de 105
Pgina 85 de 105
OBJETIVOS Y ALCANCE
El principal objetivo del presente anexo es definir un caso terico de uso y explotacin de
un sistema SCADA y una propuesta concreta de aseguramiento del mismo.
Concretamente, se presenta a modo de ejemplo una empresa energtica que opere en el
territorio nacional, y cuyo sistema SCADA tenga una gran dispersin geogrfica con un
amplio conjunto de posiciones de campo.
Por tanto, en este caso terico se expone un sistema SCADA tradicional, que monitoriza
y controla un proceso e Infraestructura Crtica en tiempo real.
II.
INTRODUCCIN
Un Centro de Control, ubicado en Madrid. Dicho centro de control, cuenta con los
siguientes elementos:
o
Diez switches para las conexiones de los equipos y sistemas del centro de
control.
Pgina 86 de 105
Uno o dos routers para las comunicaciones con el centro de control (en
funcin de la criticidad y tamao de la posicin).
SITUACIN ACTUAL
Pgina 87 de 105
Fuente: INTECO
Pgina 88 de 105
No existen elementos de filtrado lgico entre la red del Centro de Control y la Red
de Campo, por lo que en caso de incidente de seguridad en alguna de las dos
redes, se propagara a la otra de forma directa.
PROPUESTAS DE MEJORA
Pgina 89 de 105
V.
SOLUCIONES PROPUESTAS
Pgina 90 de 105
Subred SCADA: conecta a todos los equipos propios del sistema SCADA,
extendindose desde el Centro de Control hasta las posiciones de campo.
Se encarga de transmitir el trfico propio de SCADA, por lo que tiene
prioridad mxima respecto al resto de subredes, y cuenta con un
dimensionamiento adecuado.
Pgina 91 de 105
Sustitucin de los routers para las comunicaciones entre los Centros de Control y
la Red de Campo por firewalls. El objetivo de estos firewalls es evitar la
propagacin de ataques, desde o hacia los Centros de Control y la Red de
Campo.
Por ltimo, se adjunta una versin simplificada del diagrama de red que recoge todas las
recomendaciones realizadas. Los aspectos que no aparecen debido a la simplificacin
son:
El diagrama es el siguiente:
Pgina 92 de 105
Fuente: INTECO
Estudio la seguridad de los sistemas de monitorizacin y control de procesos (SCADA)
Observatorio de la Seguridad de la Informacin
Pgina 93 de 105
OBJETIVOS Y ALCANCE
El principal objetivo del presente anexo es proponer y definir un segundo caso terico de
uso y explotacin de un sistema SCADA. A diferencia de en el caso anterior, la empresa
ser una PYME, aunque debido a sus recursos limitados la mejor opcin para la gestin y
mantenimiento del SCADA es externalizar dicho servicio.
II.
INTRODUCCIN
Un servidor SCADA.
Un servidor histrico.
Pgina 94 de 105
Otros elementos:
o
Todas las comunicaciones entre los equipos informticos, y entre estos equipos y los
PLCs, se realizan a travs de una nica red Ethernet, la cual tiene conectividad hacia
Internet a travs del firewall ya mencionado. Para evitar la exposicin directa de los
equipos de la red Ethernet, se emplean direcciones IPv4 privadas.
El principal aspecto a cubrir en este proyecto es la realizacin de un anlisis de riesgo
que permita identificar y evaluar el nivel de seguridad actual, as como la conveniencia de
externalizar el servicio de mantenimiento y de seguridad.
III.
SITUACIN ACTUAL
Fuente: INTECO
Estudio la seguridad de los sistemas de monitorizacin y control de procesos (SCADA)
Observatorio de la Seguridad de la Informacin
Pgina 95 de 105
Existe una nica red, tanto para el uso corporativo de los empleados, como para
la monitorizacin y control del proceso. Esto puede suponer un gran riesgo, tanto
funcionalmente como en lo relativo a seguridad.
IV.
SOLUCIN PROPUESTA
Pgina 96 de 105
Instalacin de un servidor web para la consulta remota del estado del SCADA y
del proceso industrial. Asimismo, para garantizar la confidencialidad e integridad
de las conexiones, se adquirir un certificado de una entidad reconocida.
Para la conexin al servidor web, se configurar un proxy web en una nueva DMZ.
Esta situacin final descrita se refleja en el siguiente diagrama. Para que resulte ms
visual, se ha empleado el color verde para representar la red lgica propia de la
compaa, mientras que el color rojo representa la red de administracin que utilizar el
proveedor contratado.
Grfico 11: Solucin SCADA II
Fuente: INTECO
Pgina 97 de 105
Protocolo
Protocolo
de
Transporte
Uso
Industria
Ventajas
Debilidades
Principalmente
elctrico y agua
- Ausencia de medidas
de seguridad
- Originariamente,
DNP3
TCP/UDP
comunicaciones
serie.
- Maestro/esclavo.
- Autenticacin de datos.
- Autenticacin de origen.
Secure
DNP3
TCP/UDP
- Seguridad en la
capa de aplicacin
de DNP3.
Principalmente
elctrico y agua
- Bidireccional.
- Autenticacin mediante HMAC con challenge/response
- PSK (Pre-Shared
Key).
- Modo Agresivo en la
autenticacin.
UDP
encapsulan sobre
UDP.
- Maestro/esclavo.
Fabricacin
- Broadcast y Multicast.
industrial
(mquinas
industriales)
- Requisitos de
rendimiento
estrictos.
Pgina 98 de 105
- Envo de datos
directamente sobre el
bus de datos, que
llega a todos los
elementos conectados
al bus.
- Equivalente de
Token Ring sobre
FL-net
UDP
Ethernet
Fabricacin
(determinista).
- Para LANs
industrial
- Diseado como
protocolo any-to-any.
(TCP/)UDP
HSE
- Principalmente
Asia y Norte
Amrica.
Sector
petroqumico.
FF.
- Diversas versiones.
- PROFIBUS-FMS (Fieldbus Message Specification),
PROFIBUS
Serie
- Fomentar uso y
bajo coste.
Fabricacin
industrial
genrico.
- PROFIBUS-DP (Decentralized Periphery), para
fabricacin industrial.
- PROFIBUS-PA (Process Automation), para aplicaciones
de automatizacin de procesos.
- PROFIBUS sobre
Ethernet.
PROFINET
(TCP/)UDP
- Comunicaciones
crticas de tiempo
Fabricacin
industrial
- Complejo.
- No hay seguridad en
- Comunicaciones
deterministas.
- No hay seguridad.
- Ausencia de
autenticacin, cifrado,
etc.
real.
- Uno de los
MODBUS
Serie
protocolos ms
utilizados.
Diversos
sectores
- Simple.
- 127 funciones.
- Integracin con redes EtherNet/IP y DeviceNet. Cliente
Modbus -> EtherNet/IP o DeviceNet s, al contrario no es
- No hay elementos de
seguridad.
posible.
MODBUS
TCP
TCP
- Protocolo de nivel
de aplicacin.
Diversos
sectores
Pgina 99 de 105
- No hay elementos de
seguridad.
- Aplicaciones de
tiempo real.
NetDDE
TCP
- Creado por
Diversos
Wonderware.
- A veces sustituido
sectores
por OPC.
ICCP
TCP
- Protocolo para el
intercambio de
informacin entre
compaas
Sector elctrico
(Office y similares).
- Definicin con detalle del nivel de permisos y
autorizaciones a objetos.
- Jerarqua de 3 niveles (App, Topic e Item).
- IEC 62351
TCP o
especfico
- Control y
monitorizacin de
del fabricante
sistemas.
Diversos
sectores
- Confidencialidad.
- Logs de Auditora de Seguridad.
- Proteccin de Replay (nmeros de secuencia).
- Proteccin de Mensajes Malformados.
- Proteccin DoS.
- Web Services (UA Binary XML para tiempo real, UA XML
normal para otros usos no crticos).
- Microsoft.
- Extiende DDE de
Microsoft.
- Sobre NetBIOS.
- No implementa
medidas de seguridad
- No hay controles de
seguridad efectivos.
- Servicios DCOM y
RPC.
- Descubrimiento de
servicios y Niveles de
Seguridad de los
servidores.
- Permiso de uso de
protocolos no seguros
(sin cifrado, vulnerable
si se usa sobre HTTP).
ANEXO V: BIBLIOGRAFA
Igor Nai Fovino, Alessio Coletta & Marcelo Masera; ESCoRTS (2010). Taxonomy
of security solutions for the SCADA sector.
http://www.cen.eu/cen/Sectors/Sectors/ISSS/Focus/Documents/D22.pdf
Keith Stouffer, Joe Falco & Karen Scarfone; NIST (2011). Guide to Industrial
Control Systems (ICS) Security.
http://csrc.nist.gov/publications/nistpubs/800-82/SP800-82-final.pdf
Paul Cornish, David Livingstone, Dave Clemente & Claire Yorke; Chatman House
(2011). Cyber Security and the UKs Critical National Infrastructure.
http://www.chathamhouse.org/sites/default/files/public/Research/International%20
Security/r0911cyber.pdf
NDICE DE TABLAS
Tabla 1: Componentes de propsito general empleados en sistemas SCADA ................25
Tabla 2: Matriz DAFO ......................................................................................................79
Tabla 3: Protocolos de SCADA ........................................................................................98
Web
http://observatorio.inteco.es
Perfil Facebook ObservaINTECO
http://www.facebook.com/ObservaINTECO
Perfil Twitter @ObservaINTECO
http://www.twitter.com/ObservaINTECO
Perfil Scribd ObservaINTECO
http://www.scribd.com/ObservaINTECO
Canal Youtube ObservaINTECO
http://www.youtube.com/ObservaINTECO
Blog del Observatorio de la Seguridad de la Informacin:
http://www.inteco.es/blogs/BlogSeguridad
Instituto Nacional
de Tecnologas
de la Comunicacin
www.inteco.es