INCIBE-CERT pone cifras la Ciberseguridad Industrial de 2019

Durante 2019 INCIBE-CERT  ha estado trabajando en los servicios de alerta temprana y avisos en materia de ciberseguridad,  la sección de avisos SCI se han publicado diferentes avisos relacionados con los Sistemas de Control Industrial y el mundo del Internet de las Cosas en entornos industriales (IIoT)

Wste servicio específico se creó hace cuatro años con el objetivo de proporcionar a todas las empresas del sector industrial un medio donde consultar información sobre las vulnerabilidades que pueden tener sus dispositivos.

Además de la descripción de las diferentes vulnerabilidades, dentro de cada aviso se posee un apartado donde se concreta la solución que aporta el fabricante del dispositivo. Puede darse el caso de que no exista una solución concreta por ello, y como medida de mitigación, se aporta información siguiendo documentos de buenas prácticas tanto en la configuración de dispositivos, segmentación de redes, etc.

Durante el año 2019 se han llegado ha publicar 207 avisos relacionados con el sector industrial, una mínima reducción frente a los 228 de 2018, que abarcan desde dispositivos del mundo IoT a otros más tradicionales del mundo industrial. Es importante comentar que en algunas ocasiones un mismo aviso posee varias vulnerabilidades, pero en esta gráfica solo se contabilizan los avisos. Esta puede ser una de las razones por las que la cantidad de avisos publicados en el año 2019 se ve ligeramente reducido frente a los publicados en 2018. Por otro lado, también se han publicado avisos relacionados con aplicaciones (de escritorio, web, aplicaciones para móviles, etc.), elementos de comunicación de este entorno y otros temas.

Como se puede observar en la gráfica, existe un flujo continuo a la hora de publicar vulnerabilidades. Este hecho puede darse por los continuos reportes que realizan los investigadores en materia de ciberseguridad industrial y al aumento de la sensibilización en este ámbito por parte de las empresas industriales.

Clasificación por sectores

Casi todos los sectores estratégicos definidos en la Ley de Protección de Infraestructuras Críticas (Ley 8/2011) han tenido algún aviso, tal y como refleja el siguiente gráfico. El sector energía, al igual que años anteriores, el más afectado 

Como hemos visto en años anteriores, la mayor parte de los avisos se relacionan con dispositivos multipropósito que son utilizados en diferentes sectores. Esto significa que un único aviso, además de contener diferentes vulnerabilidades, puede afectar a diferentes sectores. Así, los productos (dispositivos y aplicaciones) correspondientes al sector denominado “otra industria” han sido los más afectados por los avisos prácticamente durante todos los meses del año.

Es importante comentar que los sectores que aglutinan más avisos no significa que sean los más inseguros. Este hecho se debe, entre otros factores, a la cantidad de dispositivos, fabricantes y procesos que se utilizan de forma más cotidiana en cada sector. Por ejemplo, el sector energía es el sector más afectado por los avisos, ya que, prácticamente, todos los procesos implicados en este sector son utilizados de forma constante, y en muchas ocasiones, otros sectores se apoyan en el de energía para lograr dar servicio.

Naturaleza de los avisos

La catalogación de las vulnerabilidades analizadas en cada aviso se ciñe a los diferentes tipos de vulnerabilidades descritas en la lista CWE (Common Weakness Enumeration). En dicha lista se reflejan prácticamente todas las vulnerabilidades que pueden afectar a diferentes activos, incluyendo una breve descripción de cada una.

Las vulnerabilidades más destacadas y que afectan a dispositivos relacionados con el mundo industrial en 2019 son:

Entre los tipos de vulnerabilidades más reportadas se encuentran el desbordamiento de búfer, la gestión de parámetros de forma incorrecta, el control de accesos incorrecto o el Cross-Site Scripting (XSS). Estas vulnerabilidades advierten de la necesidad que se tiene en el mercado por seguir las guías de buenas prácticas a la hora de desarrollar software industrial para evitar accesos maliciosos al búfer o una incorrecta validación de los parámetros de entrada. Además, gran parte de estas vulnerabilidades son heredadas del mundo TI, por lo que, en algunas ocasiones, es posible revisar ejemplos de desarrollo para evitar caer en los mismos errores.

Como ya ha sucedido en años anteriores, parece que la información sensible y los accesos remotos vuelven a estar presentes en este top 10. Además de la disponibilidad, como es lógico en el mundo industrial, la información está adquiriendo un peso importante por el creciente uso de algunos dispositivos IIoT que usan tecnología cloud.

Otro de los puntos a tener en cuenta tras revisar la gráfica sobre la naturaleza de las vulnerabilidades en 2019 es la explotación de vulnerabilidades relacionadas con los servicios web. Actualmente, gran parte de los dispositivos a nivel industrial que se encuentran desplegados en redes industriales ya poseen un servidor web. Mediante el uso de una interfaz web más amigable para el operador, estos servidores web permiten ejecutar acciones que pueden ser importantes para el buen desarrollo del proceso en el que el dispositivo esté involucrado.

Fabricantes

El listado de fabricantes más relacionados con los avisos cambia ligeramente con respecto del año anterior. Los grandes líderes en productos de Sistemas de Control Industrial siguen siendo los más expuestos y, por tanto, sobre los que más avisos se publican.

En lo que respecta a los primeros puestos, en segundo lugar, se ha colado Advantech con 13 avisos en comparación con los 5 informados en 2018. Por otra parte, los demás fabricantes que siguen publicando más avisos no han cambiado con respecto a los años anteriores, manteniéndose Siemens y Schneider Electric en el top 3.

Una gran cantidad de avisos por fabricante no significa que dicho fabricante sea el más vulnerable, sino que puede que estos posean un equipo de investigadores contratados por la propia empresa para realizar investigaciones o, como son los más extendidos, muchos investigadores tengan acceso a un dispositivo de las múltiples familias que tienen.

Clasificación por criticidad

La clasificación de los avisos de 2019, según su criticidad, es muy similar a la presentada en el resumen de 2018, siendo gran parte de ellos de una criticidad alta o crítica. Esto nos vuelve a recordar que hay que reforzar la protección de los sistemas de control, pues las vulnerabilidades que se reportan en ellos pueden suponer un gran trastorno para la empresa y graves consecuencias en el proceso productivo.

Conclusión

Este nuevo año 2020 nos augura entre otros retos los siguientes:

>La gestión de dispositivos IIoT con plataformas que utilizan en su gran mayoría tecnología cloud.

>Una mejora de las comunicaciones industriales, ya sea mediante nuevas especificaciones o gracias al uso de dispositivos añadidos a la red, y que se empiece a intercambiar información bajo canales cifrados de forma generalizada.

>as diferentes amenazas emergentes cada vez más complejas de detectar y analizar. La organización de equipos de respuesta en entornos industriales o de analistas que den soporte a estos incidentes empezará a tomar gran importancia.