El papel del factor humano en la Ciberseguridad. Parte 1

Publicado: 21/06/2017

Se habla mucho de la importancia de la Ciberseguridad. Los expertos aseguran que sin Ciberseguridad no hay Industria 4.0.

De hecho, en cursos y seminarios que hemos realizado (y realizaremos en breve. Apúntate a la Newsletter para estar informado), lo que despierta mayor interés es la Ciberseguridad, ya que es donde más lagunas de conocimiento existen. Es lógico, el personal de OT estamos empezando a necesitar conocimientos de IT para asegurar la disponibilidad de nuestros Sistemas de Control Industrial. Y a IT están viendo como los dispositivos de control industrial, exóticos para ellos, empiezan a conectarse a las redes corporativas.

Como ya sabrás, eWON dispone de una estrategia de Ciberseguridad por capas. Pero en esta ocasión no vamos a hablar de dispositivos físicos, vamos a hablar del papel del factor humano en la Ciberseguridad.

 

Imagina la situación: miles de euros gastados en seguridad física para que nadie foráneo entre en una empresa, inversión en un departamento de informática (IT), en firewalls, en segmentar redes, en antivirus auto-actualizables, … y resulta que alguien conecta un pendrive para enseñar las fotos del verano a sus compañeros, infecta el PC de producción, lo tumba y además encripta los datos del servidor. (¡!)

Un dato demoledor: resulta que todos los estudios apuntan a que un descuido o un ataque intencionado de un empleado de la propia empresa son los responsables de las mayores pérdidas de datos de las organizaciones. Aunque menores en número, estos ataques son mucho más dañinos para la organización que los ataques maliciosos externos.

El famoso hacker Kevin Mitnick dice que las personas somos el “eslabón más débil” en la Ciberseguridad:

Puedes tener la mejor tecnología, firewalls, sistemas de detección de intrusos, dispositivos biométricos, etc, pero para acceder a un sistema solo necesitas una llamada a un empleado desprevenido, ya que lo tienen todo en sus manos. 

 

Factor humano Ciberseguridad Ataque Malicioso

Y los ataques maliciosos externos cada vez van a más.

Así que la afirmación “estoy seguro porque tengo un antivirus o firewall instalado” no es del todo cierta, ya que así solo se cubre la parte técnica de las amenazas.

Al fin y al cabo las personas formamos parte de la seguridad de los sistemas: las personas los diseñamos, desarrollamos, desplegamos, configuramos y finalmente quienes los utilizamos. Somos parte ineludible de la seguridad, pero no somos máquinas, de ahí que el factor humano en la seguridad sea más difícil de controlar, predecir y mitigar.

 

Pero vayamos por el principio, ¿QUÉ ES LA CIBERSEGURIDAD?

Según el Centro de Ciberseguridad Industrial, la Ciberseguridad es

el conjunto de prácticas, procesos y tecnologías, diseñadas para gestionar el riesgo del ciberespacio derivado del uso, procesamiento, almacenamiento y transmisión de información utilizada en las organizaciones e infraestructuras industriales, utilizando las perspectivas de personas, procesos y tecnologías.

 

¿Y qué riesgos existen?

En el ámbito de la Ciberseguridad, se define como riesgo la probabilidad de que ocurra un incidente de seguridad o situación no controlable y que se llegue a una zona de peligro. Como el riesgo no es más que una probabilidad, se puede medir y se suele cuantificar con un número entre 0 y 1 o con un porcentaje. Es el resultado de:

Riesgo = Amenaza x Vulnerabilidad x Impacto

Una amenaza es una acción o evento que podría tener un potencial efecto negativo, tanto material o inmaterial. O sea, daños a equipamiento a nivel físico como a nivel de su funcionalidad e información.

Dicho de otro modo, una amenaza es cualquier cosa que pueda salir mal. Hay que tener en cuenta que una amenaza por sí misma no provoca un daño, pero podría provocarlo. Las amenazas se comprenden mejor si se clasifican atendiendo a cómo pueden dañar a un activo: esencialmente, pueden afectar a su disponibilidad, a su confidencialidad o su integridad.

Para que se produzca un daño es necesario que exista una debilidad o fallo en el sistema que permita que se materialice una amenaza. Estas debilidades, fallos o “agujeros de seguridad” son las vulnerabilidades, que pueden ser de diferente naturaleza: de diseño, de arquitectura y configuración, de estándares de uso y procedimientos, etc.

Así, cuando se dice que un activo es vulnerable, significa que tiene un agujero que puede ser aprovechado para provocar un incidente de seguridad. Cuanto mayor sea el número de vulnerabilidades de un activo, mayor riego se corre de que se materialice una amenaza. Pero no sólo es importante el número de vulnerabilidades, sino también su criticidad.

Factor humano Ciberseguridad Fallo Sistema

 

¿QUÉ TIPOS DE AMENAZAS EXISTEN?

Las amenazas de los sistemas de control y automatización pueden ser de tipo intencionado o no intencionado.

 

a) Amenazas no intencionadas.

Las amenazas no intencionadas, que según estadísticas son aproximadamente un 80% de las amenazas, incluyen todas aquellas que no afectan específicamente a los sistemas de control y automatización, pero que por diversos motivos, pueden suponer un peligro para estos sistemas. Habitualmente, las amenazas no intencionadas están relacionadas con fenómenos que no podemos controlar.

Aproximadamente el 48% de las amenazas no intencionadas son de origen desconocido, mientras que el 52% son de origen humano, ya sea de origen interno o externo.

Las amenazas no intencionadas se clasifican en cuatro grandes grupos:

· Fallos de “safety”: incluyen los problemas que pueden tener los sistemas de protección tanto del equipamiento físico controlado (por ejemplo: sensores, actuadores, tuberías, líneas eléctricas) como del personal que lo manipula.

· Fallos de equipamiento: los dispositivos de automatización y control son elementos hardware mecánicos o electromecánicos con muchos componentes electrónicos. Los fallos en los equipamientos (por ejemplo: avería de la fuente de alimentación de un plc programable, agotamiento de recursos de memoria de una pantalla táctil, etc.) pueden hacer que las lecturas de las variables de campo sean incorrectas, o que las acciones a realizar sobre el proceso no se lleven a cabo, o que fallen las comunicaciones entre diferentes dispositivos y no llegue la información desde su origen hasta su destino.

· Desastres naturales: incluyen todo tipo de sucesos ambientales de consecuencias fatales y que no se pueden controlar. Entre ellos se encuentran los terremotos, las inundaciones, las condiciones climatológicas extrema, etc. También se incluyen los incendios y las posibles consecuencias de la extinción, como pueden ser los daños producidos por el agua en el equipamiento electrónico.

· Error humano: aquí hay que considerar los fallos producidos por descuidos o por dejadez de los empleados. Un ejemplo puede ser la utilización de medios personales de intercambio de ficheros (llaves USB o similares) dentro de los equipos del sistema de control y automatización para compartir información entre compañeros. Estos dispositivos, en la mayor parte de los casos, no son debidamente analizados por motores antivirus y pueden contener malware que afecte a los sistemas a los que son conectados, aun cuando este malware no está diseñado para sabotear o robar información de los sistemas de control afectado.

Así mismo, dentro de este grupo de amenazas también se pueden incluir los ataques a gran escala contra direcciones IP públicamente accesibles que se lanzan de forma automatizada y de manera indiscriminada contra cualquier equipo conectado a Internet. Estos ataques pueden afectar a los sistemas de control y automatización, aunque no vayan dirigidos contra ellos, si resulta que estos tienen direcciones IP públicamente accesibles.

 

b) Amenazas intencionadas

Las amenazas intencionadas, que según estadísticas son aproximadamente un 20% de las amenazas, incluyen todas aquellas fuentes de problemas que van dirigidos expresamente contra los sistemas de control. Las amenazas intencionadas tienen un origen humano.

Aproximadamente, el 50% de las amenazas intencionadas se originan desde dentro de las organizaciones y el 50% restante son de origen externo.

Algunos de los orígenes de amenazas intencionadas más importantes son:

 

· Empleados descontentos

Los empleados descontentos suponen la fuente de amenazas más importante para los sistemas de control y automatización. El personal interno tiene toda la información del sistema y por tanto, el conocimiento sobre su operación o configuración particular. Además los fallos que pueden provocar son más críticos por el simple hecho de contar con acceso a todos los dispositivos de la infraestructura y conocer de primera mano los puntos débiles de la misma.

Seguramente, aunque no estén vinculados al mundo industrial, te sonarán nombres como:

i) Edward Snowden: Consultor tecnológico estadounidense, antiguo empleado de la CIA y de la NSA. En 2013 hizo públicos documentos clasificados como alto secreto sobre varios programas de la NSA.

Factor humano Ciberseguridad Edward Snowden

ii) Bradley Manning: Ex-soldado y analista de inteligencia del ejército de Estados Unidos. En 2010 filtró a Wikileaks miles de documentos clasificados de las guerras de Afganistán e Irak, incluyendo cables diplomáticos de varias embajadas estadounidenses y el vídeo del ejército conocido como “Collateral murder”, en el que se ve cómo un helicóptero estadounidense mata a un grupo de civiles en Irak, del que formaban parte dos periodistas de la agencia Reuters.

iii) Hervé Falciani: Ingeniero de sistemas italo-francés que trabajó en reforzar la seguridad de la filial suiza del banco HSBC entre 2001 y 2008. En ese periodo logró sustraer información de hasta 130.000 evasores fiscales (la conocida “lista Falciani”) que desde 2009 es utilizada por la justicia de varios países para luchar contra el fraude fiscal.

En este punto, también se debe tener presente a los antiguos empleados que, aunque ya no disponen de acceso ni a las instalaciones ni a los dispositivos, sí tienen conocimiento del funcionamiento, de las configuraciones, de la ubicación de dispositivos accesibles, etc. Debido a este hecho, podrían intentar llevar a cabo ciberataques desde fuera de las fronteras de la organización que sean ejecutados de forma exitosa.

 

· Individuos / Pequeños grupos / hacktivismo

Dentro de este grupo están esas personas que trabajan, en la mayoría de ocasiones, de forma individual y por un afán de notoriedad. Su fin último no es poner en peligro real al proceso industrial y la organización que está detrás, sino su propia publicidad y reconocimiento.

Un ejemplo de estos grupos lo forma “Anonymous”, donde diferentes personas realizan ataques a sistemas, bien de forma individual, bien de forma conjunta, de manera que sean noticia en todo el mundo al estar relacionados con otros eventos de gran repercusión. Casi todos sus ataques son de tipo DDoS.

Factor humano Ciberseguridad Sistema Hackeado

· Compañías rivales

Las compañías rivales son las más interesadas en conocer el funcionamiento de la competencia para poder obtener una ventaja competitiva. Para una compañía rival, lo importante será la información que pueda obtener, conocer qué están haciendo y cómo, o desprestigiar la imagen de su competencia, por lo que puede contratar a grupos criminales con el objetivo de sabotear sus instalaciones.

 

· Grupos criminales

Los grupos criminales atacan los sistemas de control para chantajear a la industria y pedir dinero a cambio de no revelar información sensible, o amenazando con dejar sin control a los operarios legítimos y exigir un rescate económico a cambio de devolver el control sobre sus sistemas.

Factor humano Ciberseguridad Grupo Criminal

· Terroristas

Los grupos terroristas no suponen una amenaza a nivel lógico aún, pero sí a nivel físico. Las amenazas terroristas se basan en la destrucción de las infraestructuras de la industria, principalmente infraestructuras críticas, con el objetivo de desestabilizar el funcionamiento de un país por motivos políticos, etc.

 

· Servicios de inteligencia extranjeros / Estados

Los servicios de inteligencia de determinados países realizan actividades de espionaje y captura de información, muchas veces sin un objetivo concreto, tanto dentro de su propio país como fuera. Los estados son los únicos que poseen el tiempo, recursos y dinero suficiente como para poder llevar a cabo un ataque a gran escala contra los sistemas de control y automatización.

 

En este gráfico, se ve muy claramente el resumen de tipos de amenazas y su origen:

Factor humano Ciberseguridad Gráficas Amenazas y Origen

 

En la siguiente parte se verán los métodos más comunes para amenazar un sistema (malware, ingeniería social, spam entre otros), otros factores de riesgo (distintas culturas del personal de IT y OT), de quien se encarga de gestionar la Ciberseguridad en una empresa y las políticas y procedimientos para gestionarla.