Los costes de la dirección desinformada por exceso - Los PC en el entorno industrial

Por Bernardo Ramos, experto en seguridad de las TIC

Hace unas semanas los medios de comunicación de todo el mundo alarmaron a los ciudadanos con un ataque de "Ransomware" al que llamaron "Wannacry" que había bloqueado los ordenadores de algunas empresas importantes en todo el mundo

Poco después esos mismos medios de comunicación volvieron a alarmarnos con una nueva oleada de ataques del mismo tipo, aún más sofisticados, indicando que los rusos habían utilizado un arma cibernética llamada "Petya" para atacar a Ucrania con posibles efectos impredecibles en otros países.

Las direcciones de las empresas no se suelen preocupar cotidianamente de asuntos como la ciberseguridad, pero hay dos circunstancias que hacen que pongan el foco en ella:

• Un ciberataque a su propia empresa que toque de cerca a la dirección o aparezca en los medios de comunicación
• Una noticia destacada en los medios de comunicación generalista alertando sobre una amenaza a la ciberseguridad de las empresas

Cuando se activan estas circunstancias, y la dirección pone el foco en la ciberseguridad, se produce una "Tormenta Perfecta":

• La dirección, pasa a actuar por un impulso espasmódico y provoca una sobreactuación
• Las direcciones informáticas reciben instrucciones que desbordan sus procedimientos habituales de control
• Se solicita a los expertos realizar controles y verificaciones que no han sido previstos y que obligan a un sobreesfuerzo importante.
• Todo este proceso se realiza apresuradamente, en unos plazos incompatibles con un análisis riguroso de la situación
• Como resultado de esas verificaciones aparecen informes que interpretados sin un mínimo de conocimientos técnicos generan una gran alarma entre la dirección, que llega a pensar que su empresa está más expuesta que las demás
• Esto genera una serie de instrucciones para corregir la situación que resultan exageradas y van contra la lógica y el sentido común

Con motivo de los recientes ataques ampliamente publicitados en los medios de comunicación de todo el mundo, muchos responsables informáticos de empresas industriales han podido verse inmersos en una de estas "Tormentas Perfectas" al abordar la ciberseguridad de sus equipos informáticos en los entornos industriales.

Vamos a abordar en este artículo la problemática especial de la ciberseguridad de los equipos informáticos en el entorno industrial.

En las empresas industriales hay tres tipos de PC en función de su utilización y de la organización de su soporte.

El tratamiento en cuanto a la ciberseguridad es diferente para cada uno de estos tres tipos.

Se requieren tres dispositivos específicos diferentes

• Los PC corporativos o dedicados a la ofimática y las aplicaciones de gestión
  • En la mayoría de las grandes empresas estos PC están todos configurados siguiendo un modelo estándar y están integrados en una red que permite gestionarlos de modo centralizado con herramientas que tratan la seguridad, el inventario, la distribución de software a distancia, etc.
  • La organización encargada de su soporte está encuadrada en la Dirección de Informática y está, con frecuencia, externalizada
  • Su Seguridad está bajo la responsabilidad del Director de Seguridad de la Información (CISO = Chief Information Security Officer)
• Los PC utilizados para controlar los autómatas de fabricación (PC industriales)
  • Están en general asociados a unos pocos editores de programas de control de procesos
  • La organización encargada de su soporte suele estar más frecuentemente integrada en la Dirección Técnica / Ingeniería que en la de Informática
  • Su seguridad está bajo la responsabilidad del Director de Seguridad de los Sistemas de Control
  • Su protección frente a ciberataques se apoya, en general en su aislamiento del exterior y depende en gran medida de las consignas de los editores de las aplicaciones de control de procesos que utilizan, ya que éstas pueden dejar de funcionar, con un impacto directo en la producción, si se cambia cualquier parámetro del sistema operativo del servidor u ordenador personal en los que funcionan.
• Otros PC, no estándar, utilizados en los entornos industriales (PC de laboratorio y otros)
  • PC de laboratorio conectados a instrumentos de análisis (cromatógrafos, etc.)
  • PC utilizados en los sistemas de control de acceso físico
  • Pc utilizados en sistemas de control de pesaje de camiones
  • Gestión de centrales telefónicas, etc.

En este artículo, vamos a analizar principalmente este tercer tipo de equipos informáticos, cuyo soporte está mucho menos organizado que el de los dos anteriores y es a menudo inexistente.

Empezaremos por algunas preguntas para caracterizar a estos PC

¿Por qué no pueden ser PC corporativos estándar?

Por los programas que utilizan

• Que sólo son compatibles con determinadas versiones del sistema operativo Windows
• Que no son evolutivos y, por tanto, necesitan mantener la misma configuración inicial durante todo su tiempo de vida útil

Porque se suelen utilizar para gestionar dispositivos específicos que necesitan configuraciones especiales.

• Cromatógrafos y otros dispositivos de laboratorio
• Básculas industriales
• Tornos y puertas
• etc.

¿Qué riesgos afrontan estos PC?

1. Disponibilidad
   • Este es el riesgo más importante porque, con frecuencia, la continuidad de la producción depende de ellos
   • Más de la mitad de estos dispositivos instalados son críticos para la producción
2. Integridad
   • Sabotaje, etc. Este riesgo es relativamente poco probable porque corresponde a ataques específicamente organizados y requieren acceso a los equipos, ya sea físicamente o a través de la red.
   • Al estar instalados en entornos de acceso restringido y en general sin conectividad con el exterior, están relativamente lejos del alcance de los piratas informáticos.
3. Confidencialidad
   • La información manipulada en en cada uno de estos PC individualmente es limitada y su valor aislado muy bajo

Vamos a utilizar unos datos hipotéticos para ilustrar nuestro estudio. Los datos, por supuesto variarán dependiendo del sector específico de cada empresa, Describiremos aquí un caso que podría corresponder a una empresa del sector químico, farmacéutico o de alimentación, es decir a una industria de proceso continuo

Descripción del caso hipotético:

Volumen

El número de PC de este tipo suele ser de entre el 5 y el 15 por ciento del número de PC corporativos, siendo más cercano al 15% cuando mayor sean los recursos dedicados a investigación y desarrollo por parte de la empresa

• La mayor concentración de estos PC se da en los centros de investigación y desarrollo, y eso hace que, en general, haya una organización local más o menos robusta, aunque siempre con muchos menos recursos para su soporte que los disponibles para su equivalente en PC corporativos.
• En los centros de producción el número de estos equipos suele ser mucho más reducido aunque su criticidad sea muy importante.
  • Esta criticidad en general no se ha establecido formalmente, por lo que las medidas de protección suelen ser nulas o muy escasas.
  • La responsabilidad de estos equipos suele estar muy repartida en el centro de fabricación.
  • Como consecuencia de la falta de concentración de la responsabilidad y su relativamente reducido volumen, no suele haber ningún informático a cargo de estos equipos y su soporte, siempre en modo reactivo tras incidente, lo suelen realizar los encargados del soporte de los PC corporativos de la fábrica aunque sin estar formalmente a cargo de los mismos.

La mayoría de estos PC utilizan versiones del sistema operativo obsoletas y fuera del soporte del fabricante.

• Según nuestra experiencia el 75% de estos PC utiliza una versión del sistema operativo que no está soportada y para la que el fabricante ya no publica correcciones de seguridad.
• Sólo un 25% de estos PC funcionan con versiones del sistema operativo en vigor, lo cual no quiere decir que aplicquen de modo sistemático las actualizaciones de seguridad, como veremos más adelante.

Distribución entre Servidores y clientes

• el 99% de estos PC son PC clientes
• Menos del 1% son servidores
• Los servidores los encontramos principalmente en los centros de investigación y desarrollo
• Los servidores suelen tener las actualizaciones de seguridad aplicadas y suelen estar protegidos con antivirus

Conectividad a la red corporativa y al exterior

• La mayor parte de estos PC, principalmente en las fábricas, fuera de los centros de investigación, no están conectados a la red corporativa
  • Muchos de ellos funcionan de modo totalmente aislado
  • Otros están conectados entre sí para compartir determinados recursos (impresoras o algún servidor) pero esas redes locales no están conectadas con el exterior
• En los centros de investigación, la necesidad de compartir información y de trabajar con la información obtenida, hace que la conectividad sea la norma, aunque se suele aplicar alguna medida de segmentación de la red, ya sea mediante VLAN, o utilizando Firewalls.
• Los casos de PC de este tipo conectados directamente a la red corporativa suelen ser escasos, aunque suponen un riesgo importante

Organización

Desde el punto de vista de la responsabilidad

• En los centros de investigación suele haber un responsable de la infraestructura informática a cargo de todos estos equipos y, al menos un informático
• En las fábricas, no suele haber ningún informático a cargo de estos equipos. Por otro lado, como hemos indicado anteriormente, la responsabilidad suele estar repartida entre varias personas localmente.

Organización para el soporte

En los centros de investigación hay, al menos, un informático que se dedica al soporte de estos equipos y de las redes que los agrupan.

• Los informáticos a cargo de la informática corporativa suelen actuar como solución de reserva en caso de ausencia del informático titular.

En las fábricas, en general, no hay informáticos a cargo de estos equipos

• Los informáticos corporativos suelen intervenir bajo demanda sin tener ninguna responsabilidad específica sobre estos equipos
• La mayoría de estos PC en las fábricas no suelen actualizarse nunca porque sus responsables no quieren asumir el riesgo de mal funcionamiento.

Estos PC están casi siempre asociados a una aplicación específica y a un dispositivo de análisis que es el núcleo del sistema completo

• El PC representa la parte menos significativa del sistema
• Todo el conjunto, PC, aplicación y dispositivo de análisis, están bajo soporte del proveedor a través de un contrato de mantenimiento en bastantes casos
• En un número importante de casos, no hay ningún contrato de mantenimiento

¿Cómo suelen estar protegidos estos PC?

1.- Mediante aislamiento con diferentes soluciones

Muchos no están conectados a ninguna red

Otros están conectados a la red corporativa de forma limitada

• Mediante segmentación de la red utilizando VLAN diferentes y restringiendo el tráfico entre ellas
• En otros casos estos PC están separados de la red corporativa mediante un Firewall, que limita y controla el tráfico entre los dos mundos.
  • Estos Firewalls suelen estar administrados por el equipo de seguridad informática operativa, integrado normalmente en la Dirección de Informática.

En algunos casos, se puedan dar excepciones en las que alguno de estos equipos está directamente conectado a la red corporativa sin ningún tipo de restricción

• Estos casos son los que suponen un mayor riesgo

La conectividad con el mundo exterior suele proporcionarla la red corporativa. Es muy raro el caso de equipos de este tipo conectados directamente a Internet.

2.- Mediante antivirus

En muchos casos la utilización de un antivirus está desaconsejada o directamente prohibida por el editor de la aplicación

Una de las dificultades, tanto para el antivirus como para las actualizaciones de seguridad es la necesidad de una conexión con Internet para obtenerlas cada día.

• La solución más correcta consiste en pasar por la red corporativa, apoyándose en la propia infraestructura utilizada para los PC corporativos, aunque requiere de una solución específica a través de un Firewall.

El hecho de que los PC de este tipo existentes en un mismo centro utilicen muchas versiones diferentes del sistema operativo añade una dificultad adicional pues es difícil, y en ocasiones imposible encontrar una versión del cliente antivirus que sea compatible con todos ellos.

3.- Aplicación de las actualizaciones de Seguridad publicadas por los editores

Esto es sistemático, en general, para los servidores

Esto no se hace para la mayoría de los PC

• Es frecuente hablar de malas experiencias tras una de estas actualizaciones
• Como muchos de estos PC son altamente sensibles para el funcionamiento de las unidades de fabricación, cualquier actualización requiere de una fase de pruebas y de la posibilidad de marcha atrás, por lo que resulta un proceso muy costoso
• En ocasiones, debido al modo de funcionamiento de estos PC, es difícil encontrar una ventana de tiempo disponible para realizar la operación.
• Los responsables de estos PC son extremadamente reticentes a "tocar" estos equipos
• La mayoría de las personas implicadas en el funcionamiento y utilización de estos PC piensan que el riesgo asociado a la no disponibilidad tras una actualización es superior al riesgo de ciberataque debido a la limitada conectividad de estos equipos

4.- En los últimos años se han ido asentando actitudes responsables desde el punto de vista de la ciberseguridad en la utilización de estos PC

• Limitación de la conectividad
• Uso muy restringido y siempre con dispositivos controlados de memorias USB
• Restricción de acceso a los equipos

¿Qué mejoras se podrían introducir para proteger a estos equipos?

Mantener un inventario de estos PC y clasificarlos según su nivel de riesgo, centrándose prioritariamente en aquellos que suponen un riesgo mayor

• Servidores
• PC conectados a la red corporativa
• PC conectados a Internet

Asegurarse de aplicar las medidas de protección adecuadas para estos PC y servidores

• Actualizaciones de seguridad aplicadas con regularidad
• Antivirus actualizado
• Utilización de versiones del sistema operativo vigentes soportadas por el editor

Redactar y difundir las buenas prácticas a aplicar para la protección de estos equipos

• Conectividad restringida al mínimo necesario, aislamiento de los equipos
• Reglas estrictas para el uso de dispositivos USB
• Antivirus cuando sea posible
• Actualizaciones de seguridad cuando sea posible
• Uso de versiones vigentes del sistema operativo siempre que sea posible

Y en caso de una amenaza de ciberseguridad inminente, ¿qué hacemos?

• Mantener el inventario actualizado de estos equipos
• Realizar un análisis de riesgos específico
• Establecer un plan de acción consecuente al análisis de riesgos

Conclusión

En toda empresa industrial siempre va a haber una cantidad significativa de PC en situación irregular respecto a la ciberseguridad

Si intentamos abordar estos PC desde la óptica de la informática tradicional, entraremos en un círculo vicioso de frustración y despilfarro

Es importante abordar este fenómeno antes de que la aparición en los medios de comunicación de una amenaza a la ciberseguridad sensibilice a la Dirección y se genere una tormenta perfecta como la descrita al principio

Si tenemos un inventario actualizado de estos equipos, incluyendo explicaciones de por qué no se pueden poner todos ellos en conformidad, podremos:

• Responder rápidamente a la Dirección,
• Demostrar que el asunto está estudiado y controlado y
• Detener la actuación por impulsos espasmódicos típica de estas situaciones alarmistas