Lo que he aprendido de la evaluación de redes OT

1.Identificación de los riesgos de seguridad 

Al observar su red OT, los clientes siempre nos preguntan: "Ahora, ¿cuáles cree que son nuestros riesgos de seguridad?"  

Con muchos años de conocimientos sobre la ciberseguridad de redes eléctricas en nuestro haber y 20 años de experiencia en la automatización de compañías eléctricas y redes SCADA, seguíamos teniendo dificultades para responder a esta pregunta. 

Para encontrar respuestas satisfactorias, dedicamos tres años (2017-2020) a evaluar centrales eléctricas y subestaciones en todos los continentes, desde Suiza hasta la India y desde Estados Unidos hasta Namibia. Nuestra experiencia en ciberseguridad y monitoreo funcional nos ayudó a desarrollar una nueva metodología para la seguridad a efectos de OT, porque la protección de las redes de automatización de las compañías eléctricas no consiste sólo en ciberseguridad

La seguridad funcional y una operatividad continua también desempeñan un papel vital en el concepto global de seguridad. Sólo atendiendo la combinación de todos los factores que intervienen en el funcionamiento correcto de un sistema de automatización de subestaciones (SAS) y SCADA, puede crearse y, lo que es más importante, mantenerse, un concepto general de la seguridad.  

Hoy, llamamos con orgullo StationGuard a nuestro producto. Se trata de un sistema de detección de intrusión (IDS) que no sólo nos permite mantener la ciberseguridad de los SAS y centros de control, sino también evaluar la seguridad de la red OT con un nivel de exactitud y facilidad de uso sin precedentes. 

A continuación, explicaré  

  • por qué ofrecemos evaluaciones de seguridad para centros de control, centrales eléctricas y redes de subestación,  
  • por qué lo ofrecemos de forma gratuita, y  
  • algunas de mis conclusiones más interesantes.
  •  

2. Evaluación de la seguridad de la red OT 

Antes de añadir StationGuard a nuestra gama de producto, los ingenieros de OMICRON han probado y evaluado muchas redes de subestaciones, centrales eléctricas y centros de control: realizamos pruebas de penetración, ayudamos a desarrollar arquitecturas de red seguras, apoyamos la redacción de procedimientos de ingeniería de OT seguros para subestaciones y realizamos evaluaciones de los riesgos de las centrales eléctricas, entre muchas otras iniciativas. Los conocimientos que reunimos durante este tiempo, los utilizamos para desarrollar nuestro IDS StationGuard.  

Con su ayuda, las evaluaciones de seguridad son sencillas, fácilmente comprensibles y resolutivas: los problemas más importantes de la ciberseguridad de un entorno OT, que converge habitualmente con la red informática de la compañía eléctrica, pueden identificarse exhaustivamente. 

A finales de 2020, un colega se puso en contacto conmigo para pedirme que creara un informe de evaluación de la seguridad para uno de nuestros clientes que utiliza StationGuard. Recibí los archivos de ingeniería del cliente y me familiaricé con la arquitectura de la red de la compañía eléctrica. Estos documentos constituyen siempre la base habitual de una evaluación de seguridad, antes de continuar nuestra evaluación en campo.  

Al final de nuestro período de evaluación, presentamos nuestras conclusiones a nuestros clientes. En nuestras evaluaciones de seguridad, solemos entregar lo siguiente: 

  • un inventario exhaustivo de activos con todos los dispositivos que se comunican en las redes,  
  • una lista de servicios "inusuales" observados en la red, y  
  • una lista de los problemas funcionales que hemos encontrado en el sistema de automatización o SCADA. 
  •  

Los datos de mi primera evaluación de seguridad dejaron muy sorprendidos tanto a los ingenieros de las subestaciones como a los especialistas en informática. Entre los riesgos que nuestra evaluación sacó a la luz estaban las múltiples conexiones externas inadvertidas, dispositivos imprevistos en la red, firmware obsoleto, operaciones de RTU fallidas, errores de configuración y problemas con la red y su protocolo de redundancia (RSTP). 

En los años transcurridos desde entonces, mis colegas y yo realizamos (y mejoramos) muchas evaluaciones de seguridad en todo el mundo, no sólo para subestaciones sino también para centrales eléctricas y centros de control, incluyendo compañías eléctricas con IEC 61850, IEC 60870-5-104, DNP3, Modbus TCP/IP y muchos otros protocolos informáticos.  

Los resultados de nuestras evaluaciones de seguridad fueron siempre muy interesantes y, en ocasiones, alarmantes

3. Resultados de nuestras evaluaciones de seguridad 

Los IED (dispositivos electrónicos inteligentes), a los que mis colegas y yo llamamos en broma "activos emocionales", pueden reaccionar erróneamente ante consultas inesperadas de las RTU, errores de configuración y problemas de comunicaciones. 

En nuestras evaluaciones de seguridad, solemos encontrar varios riesgos de seguridad en la red de la planta. He aquí algunos de los más frecuentes: 

  • conexiones externas no documentadas que acceden directamente a los IED y a los switches, 
  • firmware anticuado con vulnerabilidades conocidas, 
  • servicios no utilizados, y 
  • accesos no autorizados. 
  •  

Por lo general, estos problemas de seguridad son fomentados por problemas funcionales como, por ejemplo: 

  • problemas de configuración de IED, RTU y conmutadores de red, 
  • fallos de sincronización horaria y 
  • problemas de redundancia de la red. 
  •  

Según mi experiencia, la mayoría de los centros de control y las redes de las plantas funcionan sin problemas inmediatamente después de la puesta en marcha, pero se enfrentan a problemas al cabo de unos años o incluso de unos meses. Puede haber problemas subyacentes, incluso en un sistema de automatización o SCADA que funcione aparentemente bien.  

Por ejemplo, hemos visto redes que se reconfiguran cada 10 segundos debido a problemas en la configuración de la redundancia del Protocolo Rapid Spanning Tree. Esto puede causar grandes problemas durante una falla en la red eléctrica, cuando se necesita más ancho de banda. Más adelante, estos problemas pueden provocar errores y un riesgo de fallas y ciberataques. 

A continuación, mencionaré algunos riesgos que se producen con frecuencia y que he encontrado en los últimos años. 

 

3.1. Servicios no utilizados 

Con tan sólo mirar la interfaz de usuario de un PC, IED o RTU no se puede saber qué comunicaciones se están produciendo realmente en la red, hasta que se monitorean. Los servicios abiertos o no utilizados ofrecen un aumento desproporcionado de oportunidades para que los hackers ataquen el sistema de automatización o SCADA. Afortunadamente, podemos detectar fácilmente estos servicios no utilizados que se comunican en la red: 

He aquí algunos servicios comunes no utilizados que encontramos: 

  • IPv6: Principalmente activado en los PC, pero a veces también en los IED. El IPv6 nunca se ha utilizado realmente, pero posibilita varios vectores de ataque en la red. 
  • Uso compartido de archivos de Windows: El servicio de compartición de archivos siempre estuvo activado en los PC y en las RTU y puertas de enlace basadas en Windows, pero no se utilizó. 
  • Servicios de licencias de software: Se ejecutan con permisos de administrador en los PC y en las puertas de enlace basadas en Windows, pero no tienen sentido en una red de planta aislada. Sin embargo, están preinstalados con herramientas de ingeniería y algunos programas de HMI. Se han conocido varias vulnerabilidades críticas de este servicio. 
  • Servidor de puertas de enlace CoDeSys, un servicio para el entorno de desarrollo de programas PLC, activo las 24 horas del día en los IED críticos de las centrales eléctricas y subestaciones. También se han conocido varias vulnerabilidades críticas de este servicio. 
  • PTPv2: Está activado por defecto en algunos switches industriales, aunque nunca se utilice.  
  •  

Simplemente desactivación de estos servicios disminuirá el número de riesgos cibernéticos de sus activos.


3.2. Conexiones externas 

Las centrales eléctricas y los centros de control con conexiones remotas desde la red informática corporativa tienen siempre el mayor riesgo de sufrir un ciberataque. Consideremos el ejemplo de una red de subestación en Sudamérica que evalué en 2021. 

En esta evaluación de seguridad, captamos la actividad de múltiples clientes con direcciones IP externas que utilizaban los servicios web de los IED y los conmutadores de la subestación. Esta compañía eléctrica permitía a sus ingenieros conectarse y configurar los IED desde casa utilizando una conexión remota (túneles VPN).  

Un hallazgo que preocupó a los responsables de seguridad informática fue una IP y una dirección MAC que no fueron reconocidas ni documentadas por nadie de su equipo. Finalmente, pudimos rastrear la dirección IP y encontrar el origen de esta conexión, bloqueando su acceso al sistema. 

Incluso con todas las medidas de seguridad modernas que ofrecía la subestación, como túneles VPN, cortafuegos, RBAC, etc., seguía existiendo un considerable riesgo de seguridad: Además de los problemas de arquitectura de la red, había simplemente demasiadas conexiones, algunas incluso. Las hicimos visibles a través de nuestra evaluación de seguridad y la compañía eléctrica revisó sus conexiones. 


3.3. Firmware anticuado con vulnerabilidades conocidas 

En TODA evaluación de seguridad, me encuentro con versiones de firmware desfasadas en las compañías eléctricas.  

Como parte de nuestra evaluación, proporcionamos un inventario de activos descubiertos pasivamente a los ingenieros de las compañías eléctricas y a los expertos en informática. Al importar archivos de ingeniería, como archivos de proyectos IEC 61850 SCL y listas de inventario CSV, aumentamos la información sobre los activos con más detalles, como la versión del software, la configuración del HW y los números de serie. Este inventario de activos constituye entonces una buena base para realizar análisis de vulnerabilidad y riesgo. 


3.4. Errores de configuración de las comunicaciones SCADA

La configuración incorrecta de los dispositivos RTU y SCADA puede dar lugar a eventos críticos en campo que no se transmiten al centro de control y ralentizan las comunicaciones. 

En una subestación europea que visitamos, por ejemplo, había errores de configuración en el informe MMS. Los informes estaban configurados para enviarse a la dirección IP equivocada.  

Después de resolver estos errores de configuración, la velocidad de las comunicaciones de los IED mejoró de forma comprobable. El problema no era una amenaza para la seguridad en sí mismo, pero la velocidad retardada de comunicaciones suponía un riesgo operativo y habría obstruido los procesos de respuesta. 


3.5. Detección de cambios de configuración 

Hay más de una forma de detectar cambios de configuración en activos importantes en el entorno OT. 

En una subestación estadounidense, detectamos un error de configuración de los mensajes GOOSE. Este problema se produjo porque los dispositivos fueron configurados por dos personas diferentes. A su vez, esta falta de comunicación entre ingenieros provocó problemas de comunicación entre estos dispositivos OT.  

Descubrimos que algunas actividades de comando remoto en la subestación no funcionaban correctamente debido a que los enclavamientos no eran válidos. Esto significa que no habrían podido operar su aparamenta a distancia en casos urgentes. Lo que les asustó fue el hecho de que ni siquiera sabían que el problema existía, hasta que lo encontramos durante una evaluación de seguridad. 

Este ejemplo fue realmente revelador para mí también. Me demostró que problemas así de pequeños en las comunicaciones GOOSE podían causar problemas mayores a la planta.  

Por eso, para ampliar nuestros conocimientos y entrar en contacto con otros empleados de centrales eléctricas, subestaciones y centros de control, seguimos ofreciendo estas evaluaciones básicas de seguridad de forma gratuita.   

4. Ventajas de nuestra evaluación de seguridad gratuita 

Tanto si es usted un responsable de ciberseguridad, un ingeniero de control y protección, un ingeniero de redes, un gestor, un integrador de sistemas o cualquier otra persona que trabaje en un centro de control, una central eléctrica o una subestación, me gustaría presentarle otras razones por las que una evaluación de seguridad de este tipo realmente merece la pena.  

 

4.1. Usuarios de terceros en su red OT 

No es ningún secreto que muchas empresas de terceros están muy implicadas en la puesta en servicio (y el mantenimiento) de los SAS y otras redes OT. Como ya se ha mencionado, el hecho de tener diferentes grupos de ingeniería en campo puede crear retos a la hora de mantener el sistema OT sostenible.  

He oído muchas quejas sobre terceros que configuran incorrectamente los sistemas y dejan las conexiones abiertas. Una compañía eléctrica que funcione bien depende de la gestión de este caos y, al mismo tiempo, se preocupa por una operatividad continua del sistema. A menudo, la gestión de estos factores de riesgo es laboriosa, costosa y supone una pérdida de recursos

Nuestra evaluación de la seguridad identifica eficazmente los activos y los riesgos, y ayuda a las operaciones de las compañías eléctricas que tratan con terceros, para evitar costes a largo plazo. 


4.2. Una manera sencilla de que los responsables de informática comprendan el mundo de la OT 

Las soluciones clásicas de IDS informáticos no pueden, por desgracia, evaluar los protocolos y eventos de OT. Las metodologías de IDS basadas en el aprendizaje requieren muchos conocimientos de OT para evaluar inicialmente qué actividad está permitida y cuál debe ser prohibida.  

Además, los responsables de seguridad informática no suelen conocer el entorno de OT y sus principios de funcionamiento para tomar estas decisiones. Esto supone un reto cuando se trata de gestionar los incidentes de OT y de introducir procesos de seguridad en OT. 

Nuestro producto StationGuard ofrece la solución: facilita datos comprensibles para los ingenieros de informática y OT. Nuestra evaluación de la seguridad con StationGuard puede fusionar estos dos mundos diferentes y crea una base para el entendimiento común. 


4.3. Eche un vistazo a las pautas de su red

Como ya se ha mencionado, las redes OT están llenas de sorpresas y complejidades. 

Siempre es mejor tomar medidas hoy para prevenir los posibles problemas que puedan surgir mañana: ¿quizás encontremos el motivo de un problema crónico en su red? ¿Quizás haya un problema no descubierto esperando a ser encontrado? 

Quedan muchas cosas por descubrir, pero una cosa es segura: Cualquier riesgo que pueda vulnerar su instalación en un entorno de tiempo crítico será costoso. 

5. Solicite una evaluación de seguridad para su subestación 

Ofrecemos una evaluación de seguridad gratuita en todo el mundo para nuestros clientes potenciales. 

¿Es usted un responsable de informática que quiere saber más sobre la parte de OT de su organización? ¿Desea conocer los riesgos de seguridad de su red OT?  

¿Es usted un ingeniero/director de SAS y quiere encontrar (o resolver) sus problemas funcionales, o verificar las comunicaciones de su red?  

En cualquier caso, ¡solicite una evaluación de seguridad con nosotros! 

Para solicitar una evaluación de seguridad, envíeme un mensaje con el asunto "SG Free Assessment" a la siguiente dirección de correo electrónico info@omicronenergy.com. (Debido a nuestras políticas de privacidad, no puedo escribir aquí mi dirección de correo electrónico personal. Sin embargo, tenga la seguridad de que todos los correos electrónicos me serán remitidos directamente). 

Gracias por leer mi informe.

Mis mejores deseos, 
Ozan Dayanc (OT Security Engineer)

Descubra más historias de portada de OMICRON

Escucha nuestros podcasts

22 de septiembre de 2022

CIGRE 2022 Impressions ǀ Part 2

with Aby-Gael Meyet, Iris Fischer and lots of experts in the industry

Episode 40 - Energy Talks

13 de septiembre de 2022

CIGRE 2022 Impressions ǀ Part 1 with Philippe Adam

with Philippe Adam, Secretary General CIGRE

Episode 39 - Energy Talks

23 de agosto de 2022

Monitoring Partial Discharge – On a Temporary Basis

with Bogdan Gorgan & Patrick Zander

Episode 38 - Energy Talks

Está utilizando una versión de navegador desactualizada.
Por favor, actualice su navegador o utilice otro para ver correctamente esta página.
×