Durante 2015, y dentro de los servicios de alerta temprana que se publican con el objetivo de facilitar a los lectores las últimas novedades relativas a vulnerabilidades y avisos en materia de Ciberseguridad, se ha dado mayor grado de visibilidad a la seguridad en los sistemas de control industrial.
El objetivo de este nuevo servicio específico del ámbito de los sistemas de control industrial es seguir concienciando a los actores involucrados en mejorar sus cualidades de seguridad y divulgar las vulnerabilidades para que los clientes se mentalicen en la actualización y aplicación de medidas de seguridad a sus sistemas.
En este aspecto, el INCIBE, a través del CERTSI, ha prestado durante 2015 especial atención a la seguridad industrial, publicando junto con otros artículos contenidos específicos para seguridad industrial en el blog, pero especialmente en el día a día con el sistema de alerta temprana y los avisos para sistemas de control industrial.
El servicio de avisos ha continuado en 2015 reflejando las principales vulnerabilidades que afectan al sector industrial. Un vistazo al trabajo realizado en 2015 arroja el siguiente resultado:
Se han publicado 134 avisos de vulnerabilidades relacionados con el sector industrial, incluyendo avisos para dispositivos, aplicaciones o elementos de comunicación de este entorno.
-Número de avisos publicados por mes-
Los avisos se han distribuido a lo largo de todo el año siguiendo una secuencia con distintas oscilaciones, pero observándose un menor número de vulnerabilidades publicadas en los meses estivales, para elevarse de nuevo en los meses finales del año.
Clasificación por sectores
Respecto a los sectores implicados se puede observar que se han producido avisos que han afectado a casi todos los sectores definidos en la ley 8/2011 
como sectores estratégicos tal y como refleja el siguiente gráfico:
-Evolución de avisos por sector. El sector energía, el más afectado (en porcentaje)-
Ha de tenerse en cuenta que algunos de los avisos publicados afectan a dispositivos multipropósito y que pueden estar desplegados en numerosos sectores, lo que significa que un mismo aviso puede afectar a varios sectores. Así, los productos (dispositivos y aplicaciones) correspondientes al sector energía han sido los más afectados por los avisos prácticamente todos los meses.
¿Quiere esto decir que el nivel de seguridad en el sector energía es menor? No, simplemente es consecuencia de ser el sector más amplio, que incluye muchos procesos diferentes, en el que hay millones de dispositivos desplegados. Por otra parte es el área donde se focalizan mayores esfuerzos en mejorar la seguridad, lo que incluye numerosos análisis de seguridad en los dispositivos, lo que deriva en el descubrimiento de nuevas vulnerabilidades y los correspondientes avisos.
Naturaleza de los avisos
Cada aviso puede estar relacionado con más de un tipo de vulnerabilidad que afecta a un mismo dispositivo o familia de dispositivos. En el gráfico siguiente se muestra la distribución de avisos según su naturaleza donde destaca la inseguridad de información almacenada o tratada, que se refleja en avisos relacionados con falta de cifrado, credenciales embebidas en los dispositivos, falta de autenticación, etc.
-Naturaleza de vulnerabilidades. Téngase en cuenta que un aviso puede estar relacionado con varias vulnerabilidades-
Tras los problemas de inseguridad en el tratamiento de la información, la ejecución de código y denegación de servicio se muestran como los tipos más frecuentes en las vulnerabilidades descubiertas.
Aunque sin entrar en el top 3, los avisos por denegaciones de servicio están presentes en uno de cada 5 avisos, pero este tipo de avisos tienen una especial importancia ya que una denegación de servicio en los sistemas de control industrial puede resultar fatal en determinados procesos, y la ejecución de código arbitrario es igualmente crítica por su potencial para modificar la programación de los dispositivos así como su comportamiento y operación.
Es importante señalar también que muchos de los avisos generados este año hacen referencia a vulnerabilidades que son explotables de forma remota. Esta característica hace que sea necesaria la mentalización de todas las empresas en proteger su perímetro de red, controlando los servicios que mantienen publicados en Internet para que no puedan ser aprovechados por potenciales atacantes.
Fabricantes
Siguiendo la tendencia habitual, las grandes empresas relacionadas con los sistemas de control son las que más se han visto afectadas por los avisos publicados. Esto no obedece a que sean las empresas más inseguras o que no le prestan atención a la protección de sus dispositivos y aplicaciones, sino a que debido al gran volumen, tanto de equipamientos diferentes como de equipos desplegados, por lo que por probabilidad y grado de exposición, resulta más fácil encontrar vulnerabilidades en esos productos. Y a su vez la divulgación de estas vulnerabilidades y el desarrollo de los parches correspondientes también demuestran el grado de compromiso de estas empresas con la seguridad de sus productos.
-Número de avisos publicados por fabricante-
En el gráfico superior se ve como Siemens , Schneider Electric , Rockwell Automation y Moxa son los fabricantes a los que afectan la mayoría de los avisos, tantos que la suma todos los demás avisos del resto fabricantes los supera por poco.
Clasificación por criticidad
La criticidad se determina en función de diversos parámetros como el impacto, la probabilidad/facilidad de explotación, etc. Durante 2015, dos tercios de los avisos publicados se engloban dentro de las categorías “crítica” y “alta”, lo que significa que sus repercusiones son elevadas en los sistemas de control industrial. El gráfico a continuación refleja el porcentaje de avisos según la criticidad.
-Clasificación de avisos-
Estos porcentajes en la clasificación de los avisos hace ver que muchas de las vulnerabilidades publicadas son fácilmente aprovechables, permiten conocer información relevante para el sistema o permiten llevar al sistema a un estado que podría suponer un riesgo, bien para el sistema o bien para los empleados o vidas humanas en general.
Evolución en 2016
El año 2016 y debido a la mayor concienciación de investigadores y fabricantes relacionado con los sistemas de control industrial, así como a la madurez y evolución de estos sistemas continuara con el paso marcado en 2015 y con el volumen de avisos registrados.
Así mismo la evaluación de los sectores debería poco a poco igualarse al aumentar la madurez y el desarrollo en todos ellos, aunque con la lógica salvedad de que no todos son igual de amplios, por lo que los mas grande seguirán resultando más expuestos.
Y en cuanto a los fabricantes y el volumen de avisos la tendencia también se mantendrá entre los grandes fabricantes de los sistemas de control industrial, con amplios catálogos de productos y los más pequeños y menos expuestos.
Fuente: http://www.incibe.es
techtrolve.wordpress.com 