La quarta revolució industrial ja ha arribat. La Indústria 4.0, com així se la coneix, es caracteritza per una alta digitalització dels sistemes i els processos industrials, així com per la interconnexió dels productes, les cadenes de valor i els models de negoci. Algunes de les principals motivacions que fan que s’estigui produint aquest canvi són una millor integració i gestió de les cadenes de valor, tant verticals com horitzontals, la qual cosa incrementaria la productivitat de les empreses; la interconnexió de productes (Internet of Things, IoT) i serveis, que es preveu que aporti una major competitivitat a les empreses i ingressos addicionals; i la creació de nous models de negoci, sovint disruptius, basats en tecnologies digitals i fets a mida, els quals oferiran un valor afegit al client.

No obstant això, no tot són bones notícies pel que fa a digitalitzar i interconnectar la indústria. El fet de començar a connectar directament a Internet sistemes de control industrial (PLCs, braços robot, comptadors, sensors, etc.), per exemple, ja fa que haguem de canviar la forma com enteníem, fins fa pocs dies, la ciberseguretat en aquests entorns. Hem passat d’un model de seguretat basat en l’aïllament dels sistemes productius i la seva ofuscació, a un model on el perímetre a defensar és cada vegada més difús.

Més dispositius connectats, més superfície d’atac

Segons CISCO, l’any 2020 el nombre de dispositius connectats a Internet superarà els 50 bilions, però així com creix el nombre de dispositius connectats a Internet, també ho fa el nombre d’amenaces. Per tant, no només la indústria es beneficiarà d’aquesta nova revolució, sinó que, lamentablement, també ho faran els cibercriminals amb la perpetració d’atacs, ja sigui mitjançant el cobrament de rescats, les extorsions o la venda d’informació a la Deep Web.

Les mancances en matèria de ciberseguretat d’aquests nous entorns industrials (Industrial IoT, IIoT), i dels propis dispositius que els conformen, fan que aquests últims s’hagin convertit en un clar objectiu per als cibercriminals que volen dur a terme atacs, com, per exemple, el robatori massiu de dades sensibles, tant personals com corporatives; atacs de denegació de servei distribuïts (DDoS, de les sigles en anglès) contra serveis de tercers a Internet; atacs de bloqueig/segrest de dispositius, que poden arribar a bloquejar infraestructures crítiques o de seguretat nacional/internacional, i atacs de manipulació de dispositius que poden tenir un impacte ciberfísic i causar danys materials a la infraestructura i als usuaris o a la població en general.

Això ens fa pensar que els ciberatacs contra infraestructures crítiques, i contra la indústria en general, aniran en augment en els propers anys. Per tant, cal desplegar amb la màxima celeritat mecanismes i contramesures per protegir aquests sistemes.

Què ha succeït en els últims anys?

En els últims anys s’han detectat multitud de ciberatacs a indústries i infraestructures crítiques, i el més significatiu és que darrere de la majoria d’aquests atacs hi havia una amenaça persistent avançada (APT, de les sigles en anglès) cada vegada més sofisticada. Això vol dir que els cibercriminals també evolucionen, han passat d’utilitzar programaris maliciosos (malware) orientats a sistemes TI, a utilitzar malware modular avançat que aprofita vulnerabilitats en protocols industrials.

A mitjan 2010, l’empresa VirusBlokAdase va descobrir el malware Stuxnet, el primer programari conegut que espiava i reprogramava sistemes industrials. Es creu que la seva missió era desactivar centrals nuclears iranianes i la seva infecció es va produir mitjançant memòries USB muntades en sistemes operatius Windows. Un cop el malware estava dins, reprogramava PLCs Siemens per aturar turbines de plantes nuclears. El 2011, McAfee va publicar l’operació Night Dragon, un ciberatac que des de mitjan 2006 va estar espiant i sostraient informació confidencial d’importants companyies petroquímiques, de gas i de petroli. Al setembre de 2011 es va descobrir Duqu, un malware molt semblant a Stuxnet; de fet es pensa que els seus creadors poden ser els mateixos. En aquest cas, la infecció es produïa mitjançant un document ofimàtic enviat en un correu electrònic i obtenia informació dels sistemes SCADA, robava credencials, claus de certificats digitals, etc. El 2012 es va descobrir Flame, un malware molt complex que s’utilitzava amb propòsits d’espionatge (activava la càmera, el micròfon, s’autopropagava, etc.).

La seva infecció podia venir de l’ús de memòries USB o per spear-phising. El 2013 es va descobrir Havex, un malware utilitzat per espiar companyies energètiques, d’aviació, farmacèutiques, petroquímiques o de defensa dels Estats Units i Europa, valent-se del protocol OPC, utilitzat per al control i supervisió de processos industrials. L’any 2015 es van detectar dos atacs molt sofisticats, BlackEnergy i Industroyer. En els dos casos, l’objectiu eren principalment companyies elèctriques. BlackEnergy realitzava un atac de denegació de servei i proporcionava a l’atacant una porta d’entrada al sistema infectat. En el cas d’Industroyer, va ser dissenyat per destruir els sistemes industrials infectats. Ja el 2017, es va detectar el malware Triton, el qual va ser creat per interactuar amb els controladors Triconex Safety Instrumented System (SIS) de Schneider Electric, i poder, així, canviar el seu comportament i provocar l’aturada de la producció o danys majors en la infraestructura.

La baula més feble

Tal com hem vist en alguns dels casos anteriors, independentment de la complexitat i potència del malware, el canal d’infecció ha continuat sent la baula més feble de la cadena, el treballador que interactua amb algun dispositiu de la infraestructura. Ja sigui mitjançant l’execució d’un arxiu ofimàtic infectat que li ha arribat en un correu electrònic o muntant una memòria USB en un sistema operatiu concret, el treballador desencadena el desastre. El mateix passa en la majoria de casos de segrest de dades (ransomware).

Aquesta situació és crítica, ja que no només afecta la ciberseguretat en la indústria, sinó que s’aplica a la ciberseguretat en general i s’ha d’afrontar de manera transversal en tota l’organització. La conscienciació és fonamental i s’han de dedicar temps i recursos en aquesta direcció, s’han de realitzar cursos de formació en ciberseguretat perquè els treballadors cometin el menor nombre d’errors possibles i, per descomptat, se’ls ha de dotar d’eines per aconseguir-ho.

Suport a l’especialista

Com ja s’ha comentat anteriorment, en la indústria 4.0 el concepte de perímetre de defensa és cada dia més difús i, per això, és molt important que els dispositius finals (IoT) comencin a incorporar sistemes de protecció com: l’emmagatzematge segur de claus criptogràfiques, implementar protocols de seguretat com TLS, o disposar de sistemes immunes. Per a això, és molt important que tant els fabricants, aplicant seguretat des del disseny (Security-by-Design), privadesa des del disseny (Privacy-by-Design) o desenvolupament segur, com els instal·ladors i administradors, per mitjà dels protocols i mesures de seguretat implementades o segmentant xarxes, siguin conscients del que es juguen i actuïn en conseqüència, formant-se si és necessari i construint una arquitectura segura.

D’altra banda, també cal destacar que la detecció de certs atacs s’està fent molt complicada per als especialistes en ciberseguretat, ja que en molts casos els atacants utilitzen nous vectors d’entrada i/o mecanismes que els sistemes de defensa no detecten (defensa passiva). Però més enllà de tenir el coneixement necessari per detectar un APT en la seva infraestructura, l’especialista necessita noves eines per combatre aquests atacs, com pot ser la Intel·ligència Artificial.

Avui dia, compartir informació d’amenaces, vulnerabilitats o atacs i interpretar-la adequadament és fonamental per afrontar els reptes de ciberseguretat que tenim plantejats i els que vindran. Aquesta informació permetria fer una bona defensa activa, és a dir, realitzar accions destinades a identificar amenaces i atacs dins de la infraestructura i prendre mesures determinades en aquests casos.

Dr. Juan Caubet
Director de la Unitat Tecnològica IT Security del centre tecnològic Eurecat