Español | English
rss facebook linkedin Twitter

Ideas erróneas en Sistemas SCADA

Según el documento publicado en 2001 “Understanding SCADA SystemSecurity Vulnerabilities” existen los siguientes conceptos erróneos dentro del mundo SCADA:


  • Idea errónea 1: “Los sistemas SCADA se encuentran separados físicamente en una red autónoma”. La mayoría de los sistemas SCADA originalmente fueron construidos para funcionar de manera autónoma. Hoy en día, las redes informáticas de las compañías han crecido mucho, de tal forma que la red corporativa en muchos casos ha llegado a “engullir” a las redes de los sistemas SCADA, además debido a las necesidades de las compañías, muchas redes SCADA se han interconectado, siendo ahora accesibles desde Internet.
  • Idea errónea 2: “Las conexiones entre las redes de sistemas SCADA y las redes corporativas están protegidas por fuertes controles de acceso”. Muchas de las interconexiones entre las redes corporativas y los sistemas SCADA requieren la integración de sistemas con diferentes estándares de comunicaciones. El resultado suele ser una infraestructura diseñada para transmitir datos con éxito entre dos sistemas, dejando de lado las principales consideraciones de seguridad. Debido a esto, los controles de acceso diseñados para proteger a los sistemas SCADA de accesos no autorizados a través de las redes corporativas suelen ser mínimos.
  • Idea errónea 3: “Los sistemas SCADA requieren conocimientos especializados, haciendo difícil el acceso y la toma de control a los intrusos”. Esta afirmación es totalmente equívoca, puesto que nunca se puede subestimar a una persona basándose únicamente en hipótesis.
    Debido al hecho de que las empresas de servicios públicos representan a uno de los componentes claves de las infraestructuras críticas nacionales, estas empresas son objetivos factibles de ataques coordinados por parte de ciber-terroristas, así como de ataques perpetrados por hackers.


Hoy en día, la tecnología ha avanzado mucho y disponemos ya de varios dispositivos y técnicas que nos pueden ayudar a la hora de intentar securizar a nivel lógico una red SCADA , voy a presentar algunos de los más importantes:


  • Firewalls: Protegen a los distintos dispositivos de la red a través de la monitorización y control de paquetes, usando políticas de filtrado. Ya existen extensiones que les permiten inspeccionar paquetes de protocolos de control como Modbus.


  • IED: Sensor/actuador con inteligencia para adquirir datos, comunicarse con otros dispositivos y realizar control local. Estos sistemas representan la evolución de los sensores/actuadores tradicionales, incorporando arquitectura microprocesador que les permite incluir funciones criptográficas en las versiones más modernas.


  • IDS: Sistemas de detección de intrusiones o IDS (Intrusion-Detection Systems) monitorizan el tráfico de red y envían alertas sobre actividades sospechosas siendo capaces de interpretar los distintos protocolos de comunicaciones existentes en la red SCADA.


  • DMZ: Zona desmilitarizada o red perimetral, para separar la red corporativa de la red SCADA. Son numerosas las guías de buenas prácticas que recomiendan la implantación de zonas desmilitarizadas en las que incluir aquellos servidores de la red de control a los que se debe garantizar acceso desde la red corporativa.


  • Servidor de autenticación: Los usuarios y servidores de red se autentican utilizando criptografía. Se empiezan a implantar para garantizar el mantenimiento remoto de los sistemas SCADA.


  • UTM: Gestión unificada de amenazas o UTM (Unified Threat Management) Firewall de red con una serie de mejoras añadidas, incluyendo protección contra amenazas, virus, spam, etc.


Si bien es cierto que el abanico de soluciones de seguridad aptas para entornos SCADA empieza a ser cada vez mayor, no lo es menos que todavía existen múltiples instalaciones en las que no se ha tomado en serio su implantación. Hay que entender que se trata de sistemas donde prima la operatividad y eficacia por encima de todas las cosas, y por tanto resulta complejo implantar medidas de seguridad. ¡Si algo tan crítico funciona, para qué tocarlo!, Resulta vital por tanto concienciar a todos los responsables de las empresas de servicios públicos, donde los sistemas SCADA se encargan de dar funcionamiento a una larga lista de aplicaciones críticas, de la importancia que tiene aplicar este tipo políticas, ya que está en juego nuestra calidad de vida.


Daniel Herreras Rodríguez

S21Sec Labs


1 comentario:

Luis dijo...

Buena entrada para entender el porqué es necesaria la seguridad en entornos SCADA.

Saludos desde La Caja ;)


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login