Início / Actualidad industrial / Estado de la Ciberseguridad Industrial 2018 en España

Estado de la Ciberseguridad Industrial 2018 en España

INCIBE-CERT pone datos al estado de la Ciberseguridad en la industria de España dando 228 avisos de vulnerabilidades y estando Schendier Electric, Siemens, ABB, Philips y Delta Electronics en el Top 5 

Estado de la Ciberseguridad Industrial 2018 en España

INCIBE-CERT continua trabajando en los servicios de alerta temprana en materia de ciberseguridad, en la sección de avisos SCI, se van publicado diariamente todos los avisos relacionados con los sistemas de control industrial, de esta manera los usuarios se pueden informar de todas las vulnerabilidades que afectan a dispositivos, software y otros elementos de fabricantes industriales.

El servicio de avisos prestado durante 2018 refleja las principales vulnerabilidades que han afectado al sector industrial.

A lo largo de 2018 se han publicado 228 avisos de vulnerabilidades relacionadas con el sector industrial, un crecimiento notable frente a los 199 de 2017, que abarcan desde dispositivos del mundo IIoT a otros más tradicionales del mundo industrial. Por otro lado, también se han publicado avisos relacionados con aplicaciones (de escritorio, web, app para móviles, etc.), elementos de comunicación de este entorno y otros temas.

Curiosamente, aunque se pueda pensar que en el periodo vacacional de verano puede existir una menor actividad en la gestión de vulnerabilidades en productos industriales, sin embargo, agosto ha sido el mes con mayor movimiento llegando a 28 avisos, seguido de cerca por abril con 26 avisos. 

Clasificación por sectores

Casi todos los sectores estratégicos definidos en la Ley de Protección de Infraestructuras Críticas (Ley 8/2011) se han visto implicados en la alertas

La mayor parte de los avisos publicados afectan a dispositivos multipropósito y se utilizan en varios sectores, lo que significa que un único aviso puede afectar a diferentes sectores. Así, los productos (dispositivos y aplicaciones) correspondientes al sector denominado “Otra industria” han sido los más afectados por los avisos prácticamente durante todos los meses del año.

Estos datos no quieren decir que el nivel de seguridad en dicho sector, o en otro de los más afectados como es el de la Energía, sea menor, simplemente es consecuencia de ser sectores muy amplios, que incluyen muchos procesos diferentes y en los que hay millones de dispositivos distintos y de muchos fabricantes desplegados. Además, suelen ser los sectores en los que más se invierte en materia de ciberseguridad y, por lo tanto, donde más investigaciones se realizan a la hora de detectar vulnerabilidades.

Naturaleza de los avisos

A primeros de año se modificó la forma de catalogar las vulnerabilidades, pasando de un listado genérico a otro más estándar, adoptando los diferentes tipos de vulnerabilidades descritas en la lista CWE (Common Weakness Enumeration). En dicha lista se reflejan prácticamente todas las vulnerabilidades que pueden afectar a diferentes activos, incluyendo una breve descripción de cada una.

Los avisos del año 2018 han destacado las vulnerabilidades que se muestran en el gráfico siguiente como las más representativas y frecuentes.

Las vulnerabilidades relacionadas con la obtención de información sensible se mantienen en la primera posición como las más numerosas, pero es necesario destacar también los avisos producidos por vulnerabilidades relacionadas con el uso de hash de contraseña generado con esfuerzo computacional insuficiente y las peticiones directas a recursos web. Este incremento advierte de las vulnerabilidades heredadas del mundo IT a nivel web y de la necesidad de cambiar a algoritmos más robustos para almacenar hashes pertenecientes a contraseñas. También se pueden observar los diferentes problemas a nivel de seguridad relacionados con comunicaciones poco seguras y de revelación de información que permitirá a posibles atacantes elaborar ataques más avanzados.

Vistos los tipos de vulnerabilidades con mayor porcentaje, está claro que la información juega un papel importante a la hora de detectar ciertas vulnerabilidades en los sistemas industriales.

Al igual que ya sucedía en años anteriores, muchos de los avisos publicados hacen referencia a vulnerabilidades que son explotables de forma remota. Por lo que, una vez más, es necesario mentalizar a todas las empresas del concepto seguridad en profundidad para proteger su perímetro de red y situar sus dispositivos de las redes de control detrás de cortafuegos y/o en redes aisladas, siempre que sea posible, y sin acceso directo a Internet.

Fabricantes

El listado de fabricantes más relacionados con los avisos cambia ligeramente con respecto del año anterior. Los grandes líderes en productos de Sistemas de Control Industrial siguen siendo los más expuestos y, por tanto, sobre los que más avisos se publican.

En lo que respecta a los dos primeros puestos, Schneider Electric y Siemens, siguen manteniendo el mismo puesto con respecto a 2017. Entran a formar parte del top 5: ABB, Philips y Delta Electronics. También cabe destacar el caso de Rockwell Automation que este año no llega a estar entre los 5 primeros puestos, mientras que el año pasado se encontraba en la tercera posición.

Sin embargo, cuando se publican más avisos de un fabricante concreto no es sinónimo de que ese fabricante tenga graves problemas de seguridad o que no se tome la misma como algo importante para su negocio. Este dato puede basarse en los esfuerzos realizados en validar la seguridad de sus equipos, en disponer de muchos diferentes o en la venta de muchos de ellos.

Clasificación por criticidad

La clasificación de los avisos de 2018, según su criticidad, es muy similar a la presentada en el resumen de 2017, siendo gran parte de ellos de una criticidad alta o crítica. Esto nos vuelve a recordar que hay que reforzar la protección de los sistemas de control, pues las vulnerabilidades que se reportan en ellos pueden suponer un gran trastorno para la

Evolución en 2019

Para 2019 se prevé un gran incremento de avisos, al igual que en 2018, donde la cifra ya crecía de forma significativa. Más fabricantes empezarán a disponer de recursos web para la consulta de sus vulnerabilidades, como ya ocurre con fabricantes relevantes del mercado.

Respecto a los sectores, y dado que el sector Energía es uno de los sectores donde más dinero se invierte en materia de ciberseguridad, seguirán predominando vulnerabilidades relacionadas con productos de dicho sector. Por otro lado, el sector Salud empezará cada vez más a impulsarse, dado que estas vulnerabilidades podrían afectar directamente a la salud de las personas, pudiendo generar graves problemas, como ya se ha visto en pruebas de concepto mostradas por analistas de seguridad en año anteriores.

Para este 2019, la experiencia e intuición dice que todo debería seguir en una tónica similar. La publicación de avisos seguirá creciendo, la criticidad irá repartiéndose entre todos los valores, y los grandes vendedores de productos seguirán siendo los que más avisos publiquen.

Más información