Supervisory control and data acquisition (SCADA) son sistemas controlados por computadoras que monitorean y controlan procesos industriales en el mundo físico. Estas computadoras corren aplicaciones que llevan a cabo funciones claves que proveen servicios esenciales tal como electricidad, gas natural, gasolina, agua, tratamiento de aguas negras y transporte, lo que las hace una parte critica de la infraestructura de un país.
Estos sistemas fueron diseñados pensando en funcionalidad, enfocándose en rendimiento, confiabilidad, flexibilidad y seguridad para el operador, mas no siendo la seguridad informática una prioridad. Siendo común que estos sistemas tengan una vida útil de hasta 20 años, tardaran muchos años para que sistemas inherentemente seguros sean la norma en la industria.
Esto hace que los sistemas SCADA sean potencialmente vulnerables a interrupción de servicio, redirección de procesos o manipulación de información que pueda resultar en una alteración seria tanto para instituciónes como países.
Para poder solucionar este problema, es necesario tomar acciones para resguardar la integridad de estos sistemas y establecer mecanismos de control y gerencia de procesos.
Seguidamente veamos 10 pasos a seguir para mantener estos sistemas seguros.
- Minimización de Riesgos
Conducir una minuciosa evaluación de riesgo para identificar y estimar las propiedades y características, encontrar amenazas y vulnerabilidades que sean un riesgo para estos sistemas y finalmente mitigarlos mediante la transferencia, eliminación o la aceptación de estos.
- Utilizar la seguridad existente en los sistemas SCADA
La mayoría de los sistemas SCADA viejos no tienen módulos de seguridad, y son estos los que justamente predominan en la industria. Algunos de los nuevos sistemas SCADA tienen la capacidad de configurar seguridad básica, pero generalmente se inhabilita para lograr una instalación mas rápida. Estos módulos de seguridad, aunque básicos deben estar configurados a su máximo nivel y solo disminuir su nivel luego de un análisis riguroso y entendiendo las consecuencias de hacerlo.
- No depender en protocolos de propiedad exclusiva del sistema
Algunos sistemas SCADA utilizan protocolos de comunicación exclusivos al fabricante y frecuentemente es la única forma de seguridad utilizada para proteger la red. Esta no es una estrategia sabia de mitigar los riesgos.
- Evaluar y fortalecer la seguridad de los sistemas
Pruebas de penetración deben llevarse acabo con regularidad para encontrar vulnerabilidades y arreglarlas antes que un agresor lo haga. Es importante que esta evaluación sea llevada a cabo por un equipo externo. Pruebas de penetración no solo sirve para identificar vulnerabilidades en los sistemas, sino que también sirve para verificar las configuraciones de estos cuando estén siendo instalados.
- Instalar sistemas internos y externos de detección de intrusos y establecer monitoreo 24 horas al día.
Para poder responder efectivamente a un ataque cibernético, es necesario establecer una estrategia de detección de intrusos que incluya alertar a los administradores de la red de la actividad maliciosa. Procedimientos para la respuesta a incidentes deben existir, lo que permitirá una respuesta eficiente al ataque. Adicionalmente al monitoreo de la red, todos los sistemas deben llevar un registro o logging centralizado.
- Efectuar inspecciones físicas.
Cualquier sistema SCADA que este conectado a la red es un potencial blanco de un agresor, especialmente si este se encuentra en algún lugar remoto. Es importante conducir inspecciones físicas y mantener un inventario de cada instalación que tenga una conexión a un sistema SCADA. Identificar y evaluar cableado de telefonía, red y fibra óptica que pueda ser interceptado; enlaces de radio y microonda que pueda ser capturada; terminales de computadora que puedan ser accesados; y redes inalámbricas.
- Definir el papel, responsabilidad y autoridad que cada gerente, administrador y usuario tendrán en cuanto a seguridad electrónica
Es muy importante para la institución entender que se espera de cada persona, en cuanto a seguridad informática a traves de una clara definición de responsabilidades. Individuos responsables requieren de suficiente autoridad para llevar a cabo sus funciones, como también es necesaria una estructura organizacional que defina como manejar asuntos de seguridad informática y quien debe ser notificado en la eventualidad de una emergencia.
- Documentar la arquitectura de la red
Es sumamente importante que la institución diseñe sus redes pensando en la seguridad de esta y continúe teniendo un buen entendimiento de su arquitectura. Un conocimiento profundo en cuanto a las funciones de estos sistemas y la sensibilidad de la información que manejan es critico. Sin este conocimiento, resulta imposible poder minimizar el riesgo. Adicionalmente es de gran importancia documentar la arquitectura de la red y sus componentes, y establecer procesos que permitan mantener esta documentación actualizada.
- Establecer un continuo y riguroso proceso de minimización de riesgos.
Un riguroso proceso de minimización de riesgos es necesario para proveer a la institución información en cuanto a la eficacia de las políticas de seguridad informática y su cumplimiento. Una institución madura es capaz de determinar problemas por si sola, llevar a cabo análisis de origen, y poner en practica acciones correctivas que solventen los problemas identificados. Procesos de auto-asesoramiento son una parte integral de un programa de seguridad informática e incluyen escaneo rutinario de vulnerabilidades, auditorias automatizadas de redes y auto-asesoramiento en cuanto al desempeño; también conocido como Key Performance Indicators. (KPI)
- Establecer procesos para administrar configuraciones
Es fundamental mantener un control estricto sobre las configuraciones de los sistemas mediante procesos que mantengan una red segura. Estos procesos deben incluir tanto la configuración de hardware como la de software. Cambios en las configuraciones pueden muy fácilmente introducir vulnerabilidades en la seguridad de la red, por lo que procesos que evalúan y controlan los cambios ayudan a mantener una red segura.
