Sistemas industriales, el nuevo escenario de la lucha contra el cibercrimen

  • Content Marketing

Los ataques a sistemas industriales van en aumento. Y no se trata de una intuición, sino de una realidad respaldada por los datos. Además de los riesgos asociados a los ataques a cualquier organización, los ataques a sistemas industriales pueden tener unas consecuencias más desoladoras. Descubre cómo estar protegido y cómo enfrentarse a esta nueva corriente.

Los ciberataques a sistemas de control industriales están aumentando de forma importante, como puede verse en las diferentes figuras incluidas en este texto, obtenidas todas ellas del Informe de Amenazas de Kaspersky Lab ICS CERT.

Quizá te interese...

PDF: Descarga este texto y llévatelo donde quieras

Este contenido forma parte de IT Digital Security 2. Puedes descargar la revista aquí.

Whitepaper 7 razones para elegir Kaspersky Industrial

Whitepaper Ciberseguridad para infraestructuras eléctricas    

Whitepaper Kaspersky Lab ICS CERT Reporte Amenazas

Whitepaper Programas de concienciación y formación de

Whitepaper  Kaspersky Industrial CyberSecurity

De hecho, el 67 % de los administradores de seguridad de IT/ OT percibe el nivel actual de ciberamenazas sobre los sistemas de control industrial (ICS) como crítico o alto, lo que representa un aumento de más del 43 % con respecto a las conclusiones del último año. La interrupción de la cadena de suministro y del negocio se sitúa como la principal preocupación mundial en los últimos cinco años; los ciber-riesgos son la principal inquietud emergente. En lo que respecta a las empresas con sistemas de infraestructuras industriales o críticas, los riesgos nunca han sido mayores, porque la seguridad industrial tiene consecuencias que van mucho más allá de la protección de las empresas y la reputación. Cuando se trata de proteger los sistemas industriales contra ciberamenazas, surgen consideraciones sociales, ecológicas y macroeconómicas.

Modelos obsoletos para enfrentarse al problema

Pese a que la concienciación es mayor, muchos modelos de seguridad están basados todavía en el aislamiento físico de los sistemas, pensando que esto es suficiente. Pero la realidad demuestra que no lo es. En la era de la Industria 4.0, la mayoría de las redes industriales están disponibles a través de Internet, sea o no por propia elección. Una investigación de Kaspersky Lab ICS CERT, que utiliza datos de Kaspersky Security Network, indica que los PC industriales reciben ataques con regularidad del mismo malware genérico que afectan a los sistemas empresariales (TI), incluso conocidos troyanos, virus y gusanos. Durante la segunda mitad de 2016, se bloquearon en el mundo intentos de ataques en el 39,2 % de los ordenadores protegidos por Kaspersky Lab clasificados como componentes de infraestructura industrial.

Un ejemplo de esta idea es Conficker, que, aunque no es específicamente industrial, obligó a cortar el suministro de una central eléctrica nuclear alemana durante varios días en abril de 2016. El problema no se produjo por penetración directa al sistema de control de la central, sino mediante la infección de la red de la oficina adyacente.

Otra creciente amenaza para los ICS es el ransomware. La gama y diversidad del ransomware ha crecido masivamente estos años. La aparición del ransomware es muy significativa para el sector industrial; estas infecciones pueden causar daños de gran impacto y alcance en los sistemas críticos, lo que hace que los ICS sean un objetivo potencial particularmente atractivo, tal y como demuestran varios incidentes de ataques del ransomware contra los sistemas SCADA durante 2016. El ransomware diseñado para atacar sistemas industriales puede tener su propio plan: en lugar de cifrar datos, el malware puede empezar a interrumpir las operaciones o a bloquear el acceso a un activo clave.

Amenazas específicas

Al igual que las amenazas genéricas, la seguridad industrial debe luchar contra el malware específico de ICS y ataques dirigidos: Stuxnet, Havex, BlackE nergy, PLC Blaster, Ladder Logic Bomb, Pin Control Attack… la lista crece rápidamente. Como los ataques Stuxnet y BlackEnergy han demostrado, una unidad USB infectada o un único correo electrónico de spear-phishing es todo lo que se necesita para que atacantes bien preparados crucen el aislamiento físico air-gap y penetren en una red aislada.

Muchos ataques dirigidos a complejos industriales utilizan la red corporativa y los ICS para lanzarse y propagarse. Por ejemplo, durante el ataque BlackEnergy contra la red eléctrica de Ucrania en diciembre de 2015, que provocó un grave corte de suministro, los hackers utilizaron varios vectores de ataque. Primero robaron las credenciales de acceso al sistema SCADA del entorno corporativo mediante un ataque de spear-phishing. Después, los hackers comenzaron a apagar la red eléctrica manualmente y, a continuación, sembraron un programa KillDisk malicioso en la red industrial que borró o sobrescribió datos de los archivos esenciales del sistema, provocando el bloqueo de la máquina del operador.

En paralelo, el centro de llamadas de la empresa fue objeto de un ataque DDoS para impedir que los clientes informaran del apagón.

Un enfoque diferente de la ciberseguridad

La estrategia diseñada por Kaspersky Lab se apoya en una serie de amenazas que no pueden ser obviadas. Nadie está a salvo porque la seguridad al cien por cien no es posible. Por tanto, la pregunta ya no es si seremos atacados, sino cuándo y cómo de rápido serás capaz de recuperarte, porque no hay una única tecnología de protección que nos garantice la seguridad cien por cien.

La apuesta de Kaspersky Labs se basa en un enfoque efectivo que trata la amenaza de forma holística (integral) con un conjunto de soluciones com pleto y tecnologías de protección multicapa, porque no podemos olvidar que no se trata solo de prevenir incidentes, sino también de predecir, detectar y responder a los incidentes. Y todo ello de forma eficaz, fiable y flexible, porque la seguridad no es un estado, es un proceso que evoluciona y del que hay que estar siempre pendiente.

¿Qué aporta la visión de Kaspersky Lab que sea diferenciador? La respuesta es True Cybersecurity. Se trata de un elemento que previene incidentes; los predice y detecta, y responde a ellos de forma eficaz, flexible y fiable. Todo esto, apoyado en el catálogo de soluciones de Kaspersky Lab, en la combinación de la inteligencia humana y el aprendizaje automático, y en un concepto adaptativo, protegen la empresa de la nueva generación de amenazas, minimizando los riesgos.

Además del malware y los ataques dirigidos, las organizaciones industriales hacen frente a otras amenazas y riesgos para las personas, los procesos y la tecnología. Y subestimarlos puede tener graves consecuencias. Entre estos factores de riesgo se incluyen los errores de terceros (operadores o contratistas), acciones fraudulentas, cibersabotaje, problemas de cumplimiento o falta de concienciación y de datos relevantes para la investigación forense.

Por este motivo, es necesaria una ciberseguridad industrial especializada. Solo los proveedores de ciberseguridad que comprendan las diferencias entre las empresas industriales y las empresas estándar orientadas a los datos pueden ofrecer soluciones para satisfacer las singulares necesidades de seguridad de los sistemas de control industrial y su infraestructura. Forrester Research aconseja a las organizaciones industriales que están seleccionando proveedores de seguridad que “busquen experiencia especializada en el sector”. Forrester identifica a Kaspersky Lab como uno de los pocos proveedores con experiencia especializada en este sector.

De hecho, Kaspersky Lab colabora con los principales proveedores y organizaciones de automatización industrial, como Emerson, SAP, Siemens, Schneider Electric, Industrial Internet Consortium y muchos otros, para establecer compatibilidad, procedimientos especializados y marcos de cooperación que protejan los entornos industriales no solo frente a las amenazas existentes y emergentes, sino también contra los ataques dirigidos. Asimismo, ha desarrollado una oferta de soluciones especializadas para responder a determinadas necesidades del mercado de ciberseguridad industrial: Kaspersky Industrial CyberSecurity (Kaspersky Industrial CyberSecurity).

Kaspersky Industrial Cybersecurity

Estas instalaciones, que ya no pueden protegerse permaneciendo aisladas, pueden verse amenazadas por malware y ataques dirigidos, así como por riesgos tales como los cibersabotajes, la falta de informes de incidentes, la normativa y regulaciones, las acciones fraudulentas, los errores de terceros, la falta de conocimiento, o la falta de datos contrastados para el análisis forense.

La seguridad en estos entornos, donde la disponibilidad es fundamental, debe apuntar en tres líneas diferentes: procesos, empleados y tecnologías. Así, la seguridad no debe ser solo un producto, sino un proceso continuo; la concienciación y el conocimiento de las personas es fundamental, porque cualquiera puede acabar siendo una amenaza por desconocimiento o mala fe; y las tecnologías deben ser específicas para este tipo de problemática.

En el caso de Kaspersky Lab, la respuesta es Kaspersky Industrial Cybersecurity, un conjunto de tecnologías y servicios pensados para hacer frente a este tipo de amenazas.

Kaspersky Industrial CyberSecurity es un conjunto de tecnologías y soluciones que proporcionan una seguridad operativa eficaz contra las ciberamenazas en todas las capas de ICS, incluidos servidores SCADA, HMI, estaciones de trabajo de ingeniería, PLC y conexiones de red industriales, todo ello sin afectar a la continuidad operativa ni a la coherencia de los procesos tecnológicos.

Como decíamos, Kaspersky Industrial CyberSecurity se compone de soluciones y servicios, un elemento muy importante porque la compañía ofrece el ciclo completo de servicios de seguridad, desde la evaluación de la ciberseguridad industrial hasta la respuesta a incidentes.

Antes de adentrarnos en la formación, recordemos que Kaspersky Industrial CyberSecurity dispone de una única consola de administración, Kaspersky Security Center, que permite la gestión centralizada de políticas de seguridad; posibilidad de establecer diferentes configuraciones de protección para los distintos nodos y grupos; prueba simplificada de actualizaciones antes de su despliegue en la red, lo que garantiza la plena integridad del proceso; y acceso basado en funciones en línea con las políticas de seguridad y acciones urgentes.

Asimismo, destacan dos elementos de la solución: KICS for Nodes y KICS for Networks.

Formación: un elemento básico

Otro elemento importante es la formación, y es que Kaspersky Lab ofrece cursos diseñados tanto para expertos en seguridad de IT/OT como para operadores e ingenieros de ICS. Durante la formación, los participantes adquieren un mayor conocimiento de las ciberamenazas pertinentes, sus tendencias de desarrollo y los métodos más eficaces para protegerse contra ellas. Los cursos también permiten a los profesionales de seguridad seguir desarrollando sus habilidades en áreas específicas, incluidos los Pen

Testing de ICS y la ciencia forense digital.

Pero, para aumentar la concienciación sobre las cuestiones de ciberseguridad industrial, además de promover las competencias necesarias para abordarlas y resolverlas, Kaspersky Lab ofrece formación basada en gamificación, para gestores de seguridad e ingenieros.

Además, el equipo de expertos de respuesta a ciberemergencias de ICS prepara informes de inteligencia de seguridad actualizados.

Los programas de formación permiten aprovechar los conocimientos, la experiencia y la inteligencia frente a amenazas en ciberseguridad industrial de Kaspersky Lab.

En torno al 80 % de los incidentes de ciberseguridad son provocados por errores humanos. Estos errores humanos pueden salir muy caros e incluso ser letales cuando los incidentes pueden dañar sistemas importantes o paralizar completamente procesos industriales. En un entorno donde el panorama de amenazas está en constante evolución y los ataques dirigidos que dependen de errores humanos están en alza, la mejor defensa son trabajadores formados, para los que las prácticas de trabajo ciberseguras sean automáticas e instintivas.

Por eso, todos los empleados pueden ser formados y concienciados acerca de la seguridad, si bien, para los responsables del IT/OT, existe un segundo nivel de formación en ciberseguridad.

Empezando por los primeros, los cursos de concienciación y formación de Kaspersky Industrial CyberSecurity se han desarrollado para permitir a los principales operadores de infraestructura, proveedores de utilities y fabricantes proteger mejor sus entornos industriales frente a interrupciones y daños causados por incidentes y ataques cibernéticos.

La concienciación sobre la ciberseguridad industrial consta de módulos de formación interactivos, presenciales y online, y para todos los empleados que interactúen con sistemas informatizados industriales y para sus superiores.

El segundo nivel de cursos, la formación y desarrollo de habilidades de ciberseguridad, combina teoría y práctica y permite a los formados trabajar con expertos para desarrollar sus capacidades en predicción, prevención, detección y respuesta al cibercrimen.

Se desarrolan en tres áreas, principalmente: conocimiento básico de ciberseguridad de sistemas de control industrial, Pen Testing de ICS y Ciencia forense digital de ICS. El primero ofrece formación sobre el panorama de amenazas y los vectores de ataque que ponen en riesgo el entorno industrial. El segundo permite a los profesionales de seguridad de IT/OT llevar a cabo Pen Testing integrales y exhaustivos en entornos industriales y recomendar las acciones de corrección apropiadas desde un punto de vista experto, mientras que el tercero capacita a estos profesionales para llevar a cabo investigaciones forenses correctas en entornos industriales.