Amenazas sobre ICS (Parte II)

Hace unos días hablaba de las amenazas que afectan a los Sistemas de Automatización y Control Industrial, tratando en concreto las de carácter no intencionado. En la entrada de hoy abordaremos las restantes, esto es, las que van dirigidas expresamente hacia ellos, las intencionadas.

A diferencia de las anteriores éstas tienen un origen humano, bien directa o indirectamente por medio de la creación de código o software.

Para ellas podemos definir 6 grandes grupos, como son:

  1. Empleados descontentos
  2. Individuos / Pequeños grupos / Hacktivistas
  3. Competencia
  4. Grupos Criminales
  5. Terroristas
  6. Servicios de Inteligencia / Gobiernos

EMPLEADOS DESCONTENTOS

Los empleados descontentos, o también llamados en la lengua de Shakespeare “Insiders”, son la fuente de amenazas más importante, y común, para los sistemas de control y automatización. El personal interno dispone de toda la información sobre ellos y en consecuencia el conocimiento sobre su operación, configuración, funcionamiento, criticidad, componentes, debilidades, etc.

No obstante, también se debe tener presente a los antiguos empleados que, aunque ya no disponen de acceso a las instalaciones y dispositivos, sí pueden tener conocimiento de la operativa, infraestructuras, accesibilidad remota si la hubiera, etc. Debido a este hecho, podrían en un momento dado, llevar a cabo acciones desde fuera de la organización que sean ejecutadas de forma exitosa como por ejemplo un DoS. Enlace.

INDIVIDUOS / PEQUEÑOS GRUPOS / HACKTIVISMO 

Dentro de este grupo incluímos a personas que actúan de forma individual o conjunto reducido de ellas movidos principalmente por un afán de notoriedad o protagonismo. Su fin último no es poner en peligro al proceso industrial y la organización que está detrás, sino su propia publicidad y reconocimiento. También podremos encontrarnos a los denominados “Script Kiddies” que iniciándose en el manejo de herramientas de libre distribución pueden producir algunos daños.

Por otro lado tendríamos grupos tales como Anonymous, LulzSec, GhostSecurity que llevan a cabo ataques o acciones contra objetivos concretos. Generalmente se trata de ataques del tipo DoS o DDoS, sin embargo también podremos encontrarnos con la publicación de información, previa intrusión en sistemas.

COMPETENCIA 

Las compañías rivales si algo desean saber son los movimientos de la competencia para poder tomar las medidas necesarias y alcanzar una ventaja frente a otras empresas del sector. Toda información sobre funcionamiento, políticas, estrategias, inversiones, es bien recibida. Incluso pueden llegar a recurrir a grupos criminales que lleven a cabo sabotajes contra intereses o infraestructuras con tal de perjudicar su imagen. No podemos eludir el denominado espionaje industrial que nada tiene que ver con este punto pero que puede ayudar en lo que a la recolección de información se refiere. Enlace. Enlace.

GRUPOS CRIMINALES 

Los grupos criminales atacan los sistemas de control para chantajear a la industria y pedir dinero a cambio de no revelar información sensible. Otra de los movimientos consiste amenazar con dejar sin control a los operarios legítimos o exigir un monto económico a cambio de devolver el control sobre los sistemas. Hay que tener en cuenta que dependiendo de las instalaciones las consecuencias pueden llegar a ser bastante graves, no sólo a la población civil sino a la ecología.

TERRORISTAS 

Hasta hace no hace mucho se consideraba a los grupos terroristas no suponían una amenaza a nivel lógico, pero sí a nivel físico. Las amenazas de esta índole se basan en la destrucción de las infraestructuras, principalmente las críticas, con el objetivo de desestabilizar el funcionamiento de un país por motivos políticos, religiosos, o sociales. Sin embargo grupos como Estado Islámico ya disponen de fieles dedicados a llevar su guerra por medio de acciones a través de Internet (Link) (Link). Tal es el caso del denominado Cybercalifato.

SERVICIOS DE INTELIGENCIA EXTRANJEROS / GOBIERNOS 

No es ninguna novedad, ni ningún secreto que los servicios de inteligencia de distintos países realizan actividades de espionaje y captura de información dentro y fuera de sus fronteras.  ¿Qué se puede decir a estas alturas de la NSA, verdad?. No sólo poseen recursos tecnológicos, económicos y legislativos, sino también la inmunidad y protección de otros estados aliados que persigan el mismo objetivo. Link.

En fin, como podemos comprobar son varios los principales focos de amenazas a las que todo Sistema de Control y Automatización puede llegar a enfrentarse, lo cual no quiere decir que vayan a darse necesariamente. Pero haberlas, las hay. Todos somos conscientes que la seguridad al 100 % no existe y de lo que se trata es reducir los riesgos, minimizando nuestra exposición y debilidades.

Podemos representar que:

Riesgo = Amenaza x Vulnerabilidad x Impacto

Con la entrada XXXXXXXXX y la de hoy hemos abordado la primera de las variables, tanto en su origen no intencionado como intencionado.

El impacto dependerá en gran medida de la actividad a la que se dedique la instalación ya que, no será lo mismo si hablamos de una estación eléctrica que deje sin luz “sólo” a una población de 250.000 personas; una refinería que provoque un desastre ecológico por derrame de combustible o una fábrica que deba de para su producción por ejemplo por 24 horas.

Sin embargo en lo referente a las vulnerabilidades ya hay que considerar algún punto más que lo dejaremos para futuras entradas así como los distintos vectores de ataque.

Espero que haya sido de vuestro agrado, nos vemos en la siguiente.

Un saludo!