Fuente: http://web.mit.edu/
Recibe la revista: bit.ly/2PE1IGk
Utilizando un enfoque nuevo y holístico llamado seguridad cibernética, un equipo del MIT ha demostrado que los sistemas de energía actuales están llenos de vulnerabilidades al ataque cibernético, a menudo el resultado de una mayor complejidad debido a la alta interconexión entre los dispositivos y un mayor uso del software para controlar el funcionamiento del sistema. La metodología examina un espectro de factores que influyen en el funcionamiento del sistema, desde el diseño físico hasta el comportamiento del operador hasta las acciones organizativas y de gestión, y luego determina cómo las interacciones entre esos factores pueden afectar la seguridad del sistema. El análisis resultante puede apuntar a pasos específicos que una empresa puede tomar para fortalecer la ciberseguridad de sus instalaciones. En la última década, los ataques cibernéticos en sistemas físicos han demostrado que las medidas de seguridad de TI tradicionales son en gran medida impotentes para proteger la infraestructura crítica de los adversarios cibernéticos avanzados.
Casi todos los días, los titulares de noticias anuncian otra violación de seguridad y el robo de números de tarjetas de crédito y otra información personal. Si bien el robo del número de su tarjeta de crédito puede ser alarmante, una preocupación mucho más significativa pero menos reconocida es la seguridad de la infraestructura física, incluidos los sistemas de energía.
«Con un robo de tarjeta de crédito, es posible que tenga que pagar $ 50 y obtener una nueva tarjeta de crédito», dice Stuart Madnick , profesor de tecnología de la información de John Norris Maguire en la MIT Sloan School of Management, profesor de sistemas de ingeniería en la escuela MIT de Ingeniería, y director fundador de Cybersecurity en el consorcio MIT Sloan . «Pero con los ataques a la infraestructura, se pueden producir daños físicos reales y la recuperación puede demorar semanas o meses». Madnick y sus colegas ahora están lanzando métodos y herramientas analíticas que han desarrollado para que las organizaciones puedan examinar sus instalaciones en busca de vulnerabilidades al ataque cibernético, incluidas aquellas que puedan surgir de acciones organizativas, gerenciales o de empleados.
Algunos ejemplos de ataques desde el advenimiento de las infraestructuras ciberfísicas demuestran la gravedad de la amenaza. En 2008, un presunto ataque cibernético voló un oleoducto en Turquía y lo cerró durante tres semanas; en 2009, el gusano malicioso de la computadora Stuxnet destruyó cientos de centrifugadoras iraníes, interrumpiendo el programa de enriquecimiento de combustible nuclear de ese país; y en 2015, un ataque derribó una sección de la red eléctrica de Ucrania, durante solo seis horas, pero las subestaciones de la red tuvieron que operarse manualmente durante meses.
Según Madnick, para que los adversarios realicen un ataque exitoso, deben tener la capacidad, la oportunidad y la motivación para hacerlo. En los incidentes que se acaban de citar, los tres factores se alinearon y los atacantes paralizaron los principales sistemas físicos.
«La buena noticia es que, al menos en los Estados Unidos, todavía no lo hemos experimentado», dice Madnick. Pero él cree que «solo falta la motivación». Dada la motivación suficiente, los atacantes de cualquier parte del mundo podrían, por ejemplo, derribar parte o la totalidad de la red eléctrica interconectada de la nación o detener el flujo de gas natural a través de las 2.4 millones de millas del país. de tubería. Y si bien las instalaciones de emergencia y los suministros de combustible pueden mantener las cosas funcionando durante unos días, es probable que tome mucho más tiempo para reparar los sistemas que los atacantes dañaron o explotaron.
«Esos son impactos masivos que podrían afectar nuestra vida cotidiana», dice Madnick. «Y no está en el radar de la mayoría de la gente. Pero solo esperar que no suceda no es exactamente una forma segura de ir a la vida «. Él cree firmemente que» lo peor está por venir «.
El reto para la industria.
Asegurar la ciberseguridad de los sistemas energéticos es un desafío creciente. ¿Por qué? Las instalaciones industriales de hoy en día dependen en gran medida del software para el control de la planta en lugar de los dispositivos electromecánicos tradicionales. En algunos casos, incluso las funciones críticas para garantizar la seguridad se implementan casi por completo en el software. En una instalación industrial típica, docenas de sistemas de computación programables distribuidos a lo largo de la planta proporcionan control local de los procesos; por ejemplo, mantener el nivel de agua en una caldera en un determinado punto de ajuste.
Todos estos dispositivos interactúan con un sistema de «supervisión» de alto nivel que permite a los operadores controlar los sistemas locales y la operación general de la planta, ya sea en el sitio o de forma remota. En la mayoría de las instalaciones, tales sistemas de computación programables no requieren ninguna autenticación para que se alteren las configuraciones. Dada esta configuración, un ciberataque que obtenga acceso al software en el sistema local o de supervisión puede causar daños o interrumpir el servicio.
El enfoque tradicional que se utiliza para proteger los sistemas de control crítico es “separarlos”, es decir, separarlos de la Internet pública para que los intrusos no puedan alcanzarlos. Pero en el mundo actual de alta conectividad, una brecha de aire ya no garantiza la seguridad. Por ejemplo, las empresas suelen contratar contratistas o proveedores independientes para mantener y monitorear equipos especializados en sus instalaciones. Para realizar esas tareas, el contratista o proveedor necesita acceso a datos operativos en tiempo real, información que generalmente se transmite a través de Internet. Además, las funciones comerciales legítimas, como la transferencia de archivos y la actualización de software, a menudo requieren el uso de unidades flash USB, que pueden poner en peligro inadvertidamente la integridad del espacio de aire, dejando una planta vulnerable al ataque cibernético.
Buscando vulnerabilidades
Las empresas trabajan activamente para reforzar su seguridad, pero generalmente solo después de que ha ocurrido algún incidente. «Así que tendemos a mirar por el espejo retrovisor», dice Madnick. Subraya la necesidad de identificar y mitigar las vulnerabilidades de un sistema antes de que surja un problema.
El método tradicional de identificar las vulnerabilidades cibernéticas es crear un inventario de todos los componentes de un sistema, examinar cada uno para identificar cualquier vulnerabilidad, mitigar esas vulnerabilidades y luego agregar los resultados para asegurar el sistema en general. Pero ese enfoque se basa en dos supuestos de simplificación clave, dice Shaharyar Khan, miembro del programa de Diseño y Gestión de Sistemas MIT . Se supone que los eventos siempre se ejecutan en una sola dirección lineal, por lo que un evento causa otro evento, lo que causa otro evento, y así sucesivamente, sin ciclos de retroalimentación o interacciones para complicar la secuencia. Y asume que comprender el comportamiento de cada componente de forma aislada es suficiente para predecir el comportamiento del sistema en general.
Esos supuestos no son válidos para sistemas complejos, y los sistemas de control modernos en instalaciones de energía son extremadamente complejos, requieren mucho software y están compuestos de componentes altamente acoplados que interactúan de muchas maneras. Como resultado, dice Khan, «el sistema general exhibe comportamientos que los componentes individuales no», una propiedad conocida en la teoría de sistemas como emergencia. «Consideramos que la seguridad y la protección son propiedades emergentes de los sistemas», dice Khan. Por lo tanto, el desafío es controlar el comportamiento emergente del sistema mediante la definición de nuevas restricciones, una tarea que requiere comprender cómo todos los factores de interacción en el trabajo, desde las personas hasta el equipo hasta las regulaciones externas y más, finalmente afectan la seguridad del sistema.
Para desarrollar una herramienta analítica hasta ese desafío, Madnick, Khan y James L. Kirtley Jr., profesor de ingeniería eléctrica, recurrieron primero a una metodología llamada Sistema y Proceso de Teoría de Sistemas (STAMP), que se desarrolló más de 15 Hace años por la profesora Nancy Leveson del MIT de aeronáutica y astronáutica. Con ese trabajo como base, crearon la «seguridad cibernética», un método analítico específicamente diseñado para analizar la ciberseguridad de los sistemas de control industrial complejos (consulte el diagrama a continuación).
Para aplicar el procedimiento de seguridad cibernética a una instalación, un analista comienza respondiendo las siguientes preguntas para definir la tarea en cuestión.
- ¿Cuál es el propósito principal del sistema que se analiza, es decir, qué necesita proteger? Responder a esa pregunta puede sonar sencillo, pero Madnick dice: «Sorprendentemente, cuando preguntamos a las empresas cuáles son sus» joyas de la corona «, a menudo tienen problemas para identificarlas».
- Dado ese propósito principal, ¿qué es lo peor que le puede pasar al sistema? Definir el propósito principal y las peores pérdidas posibles es clave para comprender el objetivo del análisis y la mejor asignación de recursos para la mitigación.
- ¿Cuáles son los peligros clave que podrían llevar a esa pérdida? Como un simple ejemplo, tener escaleras mojadas en una instalación es un peligro; Tener a alguien caer por las escaleras y romperse un tobillo es una pérdida.
- ¿Quién o qué controla ese peligro? En el ejemplo anterior, el primer paso es determinar quién o qué controla el estado de las escaleras. El siguiente paso es preguntar, ¿quién o qué controla ese controlador? Y luego, ¿quién o qué controla ese controlador? Respondiendo esa pregunta recursivamente y mapeando los bucles de retroalimentación entre los distintos controladores se obtiene una estructura de control jerárquica responsable de mantener el estado de las escaleras en una condición aceptable. El diagrama a continuación muestra una estructura de control jerárquica para las funciones primarias entregadas por una planta industrial a pequeña escala, que ilustra la complejidad de los factores y las opiniones involucradas.
Dada la estructura de control total, el siguiente paso es preguntar: ¿Qué acciones de control podría tomar un controlador que no sería seguro dado el estado del sistema? Por ejemplo, si un atacante corrompe la retroalimentación de un sensor clave, un controlador no conocerá el estado real del sistema y, por lo tanto, puede tomar una acción incorrecta o puede tomar las acciones correctas en el momento incorrecto o en el orden incorrecto, cualquiera de los cuales conduciría al daño.
Sobre la base de una comprensión más profunda del sistema, el analista luego plantea una serie de escenarios de pérdida derivados de acciones de control inseguras y examina cómo los diferentes controladores podrían interactuar para emitir un comando inseguro. «En cada nivel del análisis, tratamos de identificar las restricciones en el proceso que se está controlando y, de ser violado, el sistema pasará a un estado inseguro», dice Khan. Por ejemplo, una restricción podría dictar que la presión de vapor dentro de una caldera no debe superar un cierto límite superior, un límite necesario para evitar que la caldera explote debido a la sobrepresión.
«Al refinar continuamente esas restricciones a medida que avanzamos en el análisis, podemos definir nuevos requisitos que garantizarán la seguridad del sistema en general», dice. «Luego podemos identificar pasos prácticos para imponer el cumplimiento de esas restricciones a través del diseño del sistema, procesos y procedimientos, o controles sociales como la cultura de la empresa, los requisitos reglamentarios o los incentivos de seguros».
Estudios de caso
Para demostrar las capacidades del análisis de seguridad cibernética, Khan seleccionó una planta de energía de turbina de gas de 20 megavatios, una pequeña instalación que tiene todos los elementos de una planta de energía a gran escala en la red. En un análisis, examinó el sistema de control de la turbina de gas, centrándose en particular en cómo podría alterarse el software que controla la válvula de control de combustible para causar pérdidas a nivel del sistema.
Al realizar el análisis de seguridad cibernética, se reveló que los ataques al software de focalización podrían generar varios escenarios de pérdida relacionados con la turbina, incluidos incendios o explosiones, fallas catastróficas de los equipos y, en última instancia, la incapacidad de generar energía.
Por ejemplo, en un escenario, el atacante desactiva el sistema de protección digital de la turbina y altera la lógica en el software que controla la válvula de control de combustible para mantener la válvula abierta cuando debería cerrarse, evitando que el combustible fluya hacia la turbina. Si la turbina se desconecta repentinamente de la red, comenzará a girar más rápido que su límite de diseño y se romperá, dañando el equipo cercano y dañando a los trabajadores en el área.
El análisis de seguridad cibernética descubrió el origen de esa vulnerabilidad: una versión actualizada del sistema de control había eliminado un conjunto de pernos mecánicos de respaldo que aseguraba la protección de la «sobrevelocidad» de la turbina. En su lugar, la protección de exceso de velocidad se implementó completamente en el software.
Ese cambio tenía sentido desde una perspectiva empresarial. Un dispositivo mecánico requiere un mantenimiento y pruebas regulares, y esas pruebas pueden someter a la turbina a esfuerzos tan extremos que a veces falla. Sin embargo, dada la importancia de la ciberseguridad, los investigadores dicen que podría ser prudente recuperar el cerrojo mecánico como un dispositivo de seguridad independiente, o al menos considerar los esquemas de protección de velocidad excesiva electrónicos como una última línea de defensa.
Otro estudio de caso se centró en los sistemas utilizados para suministrar agua fría y aire acondicionado a los edificios que se atienden. Una vez más, el análisis de seguridad cibernética reveló múltiples escenarios de pérdida; y en este caso, la mayoría tenía una causa en común: el uso de unidades de frecuencia variable (VFD) para ajustar la velocidad de los motores que accionan las bombas de agua y los compresores, una práctica que aumenta significativamente la flexibilidad de operación y la eficiencia energética.
Como todos los motores, el motor que opera este compresor enfriador tiene ciertas velocidades críticas a las que se produce la resonancia mecánica, lo que provoca una vibración excesiva. Los VFD normalmente están programados para saltar esas velocidades críticas durante el arranque del motor. Sin embargo, algunos VFD son programables a través de la red, lo que significa que un atacante puede consultar a un VFD la velocidad crítica del motor conectado y luego ordenarle que maneje el motor a esa velocidad peligrosa, dañando permanentemente el motor y el equipo conectado a él.
“Este es un tipo de ataque simple; no requiere mucha sofisticación «, dice Khan. «Pero podría lanzarse y causar daños catastróficos». Cita el trabajo anterior realizado por Matthew Angle ’07, MEng ’11, PhD ’16, en colaboración con Madnick y Kirtley. Como parte de un estudio de 2017 sobre ciberataques en sistemas de control industrial, Angle construyó un kit de prueba de motores a escala de laboratorio equipado con un VFD completo con un código de computadora familiar para los investigadores. Simplemente al modificar algunas líneas clave del código de la computadora, causaron que los capacitores en el VFD explotaran, enviando humo al patio detrás de su laboratorio de MIT (foto de abajo). En un entorno industrial con VFD de tamaño completo, un ataque cibernético similar podría causar un daño estructural significativo y potencialmente dañar al personal.
Dadas estas posibilidades, el equipo de investigación recomienda que las empresas consideren cuidadosamente la «funcionalidad» del equipo en sus sistemas. Muchas veces, el personal de la planta ni siquiera es consciente de las capacidades que ofrece su equipo. Por ejemplo, es posible que no se den cuenta de que un VFD que maneja un motor en su planta puede operar en dirección inversa mediante un pequeño cambio en el código de la computadora que lo controla, una clara vulnerabilidad cibernética. Eliminar esa vulnerabilidad requeriría usar un VFD con menos funcionalidad. «La buena ingeniería para eliminar tales vulnerabilidades a veces se puede caracterizar erróneamente como un movimiento hacia atrás, pero puede ser necesario mejorar la postura de seguridad de una planta», dice Khan.
Abordar el reto
A lo largo de su investigación sobre seguridad cibernética, Khan, Madnick y sus colegas descubrieron que las vulnerabilidades a menudo se pueden atribuir al comportamiento humano así como a las decisiones de gestión. En un caso, una compañía había incluido el código de acceso predeterminado para su equipo en el manual del operador, que estaba disponible públicamente en Internet. Otros casos involucraron a los operadores que conectaban unidades USB y computadoras portátiles personales directamente a la red de la planta, rompiendo así la brecha de aire e incluso introduciendo malware en el sistema de control de la planta. En un caso, un trabajador de la noche a la mañana descargó películas en una computadora de la planta utilizando una memoria USB. Pero más a menudo, tales infracciones fueron parte de intentos desesperados de hacer que una planta actualmente cerrada vuelva a funcionar.
«En el gran esquema de prioridades, entiendo que centrarse en hacer que la planta vuelva a funcionar es parte de la cultura», dice Madnick. «Desafortunadamente, las cosas que las personas hacen para mantener su planta en funcionamiento a veces ponen a la planta en un riesgo aún mayor».
Según los investigadores, fomentar una nueva cultura y mentalidad sobre la ciberseguridad requiere un compromiso serio de todos los niveles de la cadena de gestión. Es probable que las estrategias de mitigación requieran una combinación de reingeniería del sistema de control, compra de nuevos equipos y cambios en los procesos y procedimientos, lo que podría incurrir en costos adicionales. Teniendo en cuenta lo que está en juego, los investigadores argumentan que la administración no solo debe aprobar tales inversiones, sino que también debe inculcar un sentido de urgencia en sus organizaciones para identificar vulnerabilidades y eliminarlas o mitigarlas.
Sobre la base de sus estudios, los investigadores concluyen que es imposible garantizar que un sistema de control industrial nunca tendrá vulneradas las defensas de su red. «Por lo tanto, el sistema debe diseñarse de modo que sea resistente frente a los efectos de un ataque», dice Khan. «El análisis de seguridad cibernética es un método poderoso porque genera un conjunto completo de requisitos, no solo técnicos sino también organizativos, logísticos y de procedimientos, que pueden mejorar la resistencia de cualquier sistema de energía complejo contra un ataque cibernético».
Esta investigación fue apoyada por el Departamento de Energía de los EE. UU., El Programa del Fondo de Semillas de la Iniciativa de Energía del MIT y los miembros del consorcio Sloan de Ciberseguridad en el MIT . Puede encontrar más información y las últimas publicaciones en cams.mit.edu . Vea también los siguientes artículos:
MG Angle, S. Madnick y JL Kirtley Jr., que identifican y anticipan los ataques cibernéticos que podrían causar daños físicos a los sistemas de control industrial . Documento de trabajo CISL # 2017-14, agosto de 2017, revisado el 1 de mayo de 2019. En línea: bit.ly/madnick-cyber-attacks .
S. Khan, S. Madnick y A. Moulton. Análisis de seguridad cibernética del sistema de control industrial para turbinas de gas . Documento de trabajo CISL # 2018-12, octubre de 2018, revisado el 28 de abril de 2019. En línea: bit.ly/madnick-turbine-analysis .
A. Nourian y S. Madnick. “Un enfoque teórico de los sistemas a las amenazas de seguridad en los sistemas cibernéticos aplicados a Stuxnet”. Transacciones IEEE sobre computación confiable y segura , vol. 15, número 1, 2018. En línea: doi.org/10.1109/TDSC.2015.2509994 .
Los comentarios están cerrados.