Durante el año 2022, España fue el cuarto país europeo con más ciberataques a sistemas de control industrial y más del 40% de los sistemas OT (Tecnología Operativa) se vieron afectados por software malicioso durante ese mismo año.
Esta tendencia se suma al incremento exponencial de adopción de nuevas tecnologías, orientadas a mejorar productividad o gestión de los entornos industriales. Sin embargo, con ello surgen riesgos inherentes que reducen la seguridad de nuestros entornos si no se implementan correctamente. Para aportar ayuda en este aspecto, este artículo indagará sobre los riesgos asociados con los PLC, uno de los dispositivos más críticos del entorno industrial, y la importancia de abordar dichos riesgos.
¿Cuáles son las fases de un ciberataque a un PLC?
Aunque las fases de un ataque pueden variar de un caso a otro, en general se pueden identificar unos pasos básicos por los que los atacantes suelen avanzar:
Acceso: La primera fase es conseguir acceder a la red de PLC de una planta industrial de forma remota. Es importante establecer arquitecturas que implementen la seguridad en profundidad, de forma que para ganar el acceso remoto a los PLC sea necesario atravesar varios puntos de seguridad, reduciendo el riesgo de que un ataque pueda llegar a las siguientes fases.
Descubrimiento: Esta etapa consiste en recopilar información sobre los PLC que utiliza el objetivo, su configuración, sus medidas de seguridad y las comunicaciones que utilizan para realizar sus funciones. Para dificultar esta fase, es importante bastionar correctamente nuestros PLC, restringir acceso a configuraciones, cifrar comunicaciones, cambiar accesos por defecto, y mantener la red de producción monitorizada.
Control: Esta fase consiste en ganar acceso a la configuración de los PLC. Esto puede requerir algo tan sencillo como usar credenciales por defecto, hasta técnicas más complejas como explotar vulnerabilidades de seguridad de equipos no actualizados.
Daño o Impacto: En esta fase, una vez adquirido el control, el atacante pasa al ataque propiamente dicho. Un PLC es un objetivo crítico para un atacante que puede desde exfiltrar información confidencial hasta alterar o detener la producción.
Ofuscación: La prioridad en este caso es ocultar las técnicas utilizadas y la extensión del ataque para, idealmente, poder volver a infectar los equipos una vez se han recuperado.
¿Cuáles son los efectos de un ciberataque en un PLC?
Hoy en día, las plantas industriales modernas se enfrentan a múltiples desafíos y condiciones cambiantes. En entornos industriales, la prioridad suele estar en comprometer la disponibilidad del sistema de control, parando la producción en planta. Algunos efectos que un ataque puede tener en nuestros SCI son:
Daño a equipos: Este tipo de ciberincidente tiene como objetivo causar al sistema, a los equipos o a la planta industrial:
– Estrés del equipo.
– Manipulación de los límites de seguridad de los equipos.
Daño al proceso productivo: Alterando la calidad de productos y tasa de producción.
Costes operativos: Modificando la integridad de la configuración del PLC para incurrir en gastos adicionales.
Consecuencias legales: Pueden afectar la capacidad de la empresa a cumplir la regulación estipulada, incluyendo la seguridad del personal, impacto ambiental, y contratos.
¿Cómo se realiza el peritaje de un PLC tras un ciberincidente?
El objetivo del peritaje de PLC consiste en evaluar y estudiar, en caso de un ciberincidente, cuáles serían las causas y su origen. Este proceso debe ser realizado por personal especializado y se utilizan herramientas especializadas, por ejemplo, Microsoft ICS Forensics Framework, una herramienta extendida para el análisis forense de metadatos de los PLC.
¿Qué normativa de ciberseguridad se puede utilizar para proteger un PLC?
La norma más extendida y aceptada para la protección de SCI es el marco normativo IEC-62443. Este se divide en cuatro dominios de ciberseguridad orientados a la seguridad global, desde el nivel de gestión de gestión de la empresa hasta la operación de cada dispositivo. Las normas 62443-4-1 y 62443-4-2 son particularmente relevantes para la ciberseguridad en los PLC.
Conclusiones
Las empresas industriales dependen de sus SCI para su operativa diaria y los PLC siempre han sido la herramienta básica que los componen. Estos equipos son uno de los elementos diferenciadores de los entornos OT y siempre han utilizado tecnologías y técnicas específicas. Sin embargo, recientemente, la evolución de las amenazas y la combinación de entornos IT y OT han cambiado este paradigma, haciendo a los PLC más accesibles y vulnerables a los ciberataques. Es esencial proteger, bastionar y gestionar correctamente nuestros PLC y sistemas de control industrial para asegurar una operación segura y cumplir con los objetivos empresariales.
Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).
Etiquetas: Amenaza, Análisis forense, PLC, Protocolo industrial, Sistemas de control industrial
vía: INCIBE
