Descripción del proyecto
El software que gestiona sistemas de control industrial, el control de la producción, etc. generalmente no se ha desarrollado aplicando medidas de seguridad desde su diseño, por lo que es muy frecuente que presente una serie importante de carencias que lo hacen muy vulnerable frente a un tercero atacante.
En ocasiones por la antigüedad del software existente, o simplemente por una falta de adecuación a sistemas de desarrollo seguro por parte de las empresas proveedoras, lo cierto es que no es habitual el empleo de frameworks de desarrollo seguros que implementen de forma nativa medidas frente a vulnerabilidades clásicas como SQL Injection, Cross Site Scripting, etc. así como la implementación de medidas frente a ataques basados en fuzzing, DoS, etc.
Las actividades que se pueden llevar a cabo en el ámbito de este tipo de proyectos serían las siguientes:
- Realización de un análisis de vulnerabilidades contra el software/sistemas del ámbito industrial.
- Realización de pruebas de evaluación de la disponibilidad e integridad de los sistemas en el ámbito de la propia red.
- Revisión y auditoría del código fuente de los programas, identificando las carencias existentes de base en el propio software.
No cabe duda que el compromiso por parte de un tercero no autorizado de los sistemas que gobiernan y operan los procesos industriales, puede suponer un impacto muy elevado en la empresa, por lo que asegurar la ciberseguridad del software, aunque en ocasiones pueda resultar complejo, es una medida de mejora importante en materia de ciberseguridad.
Es importante señalar que la mejora de la ciberseguridad del software estará muy probablemente ligada intrínsecamente a las capacidades del propio proveedor del software. En este sentido, y ante la imposibilidad de desarrollar y/o aplicar parches o actualizaciones, será necesario plantearse otro tipo de medidas compensatorias (o virtual-patching).
Objetivos
Los objetivos que persigue este proyecto son los siguientes:
- Analizar la seguridad de las aplicaciones de carácter industrial y determinar el nivel de riesgo que presentan frente a accesos no autorizados.
- Evaluar y establecer el conjunto de medidas que es necesario desplegar para disponer de un nivel de protección adecuado a la criticidad del proceso industrial que se encuentra ligado al software.
Beneficios
Los beneficios que se alcanzarían con la puesta en marcha de este proyecto serían los siguientes:
- Contribuir a asegurar la continuidad de los procesos industriales mediante la securización del software que los opera.
- Mejorar el nivel de resiliencia frente a las ciberamenazas.
- Identificar el nivel de exposición y vulnerabilidades del software existente en el entorno industrial.
- Determinar las medidas que sería necesario desplegar en el ámbito del software para asegurar la continuidad de los procesos industriales.
Dimensiones de la ciberseguridad que mejora la ejecución del proyecto
Tiempos estimados de ejecución
Los tiempos estimados de ejecución de este tipo de proyectos se indican únicamente a modo orientativo.
Requerimientos de dedicación de recursos de las empresas solicitantes
Buenas prácticas durante su ejecución
Para llevar a cabo de forma correcta este tipo de proyectos, hay que considerar las siguientes cuestiones:
- Establecer ventanas horarias para la realización de los tests: si se considera oportuno por parte de la organización, se deben definir las ventanas horarias para la ejecución de los tests, aunque en este sentido hay que considerar que un atacante real no tiene limitaciones horarias para perpetrar un ataque.
- Accesibilidad a código fuente: en ocasiones no será posible acceder al código fuente de las aplicaciones, por lo que no será posible la realización de este tipo de auditorías.
- Notificar fallos de seguridad a los proveedores del software: en la medida que se identifiquen brechas de seguridad deberían ser comunicadas al proveedor para que proceda a su subsanación urgente, tanto para la remediación del entorno de nuestra empresa, así como para el resto de instalaciones en terceros. En este sentido, es importante evaluar la respuesta del proveedor ante este tipo de hechos considerando la criticidad de las medidas a desplegar.
Servicios relacionados
- Servicios de consultoría por parte de un equipo especializado en Hacking Ético con conocimiento en entornos y tecnología industrial.
- Servicios de consultoría por parte de personal especializado con conocimientos avanzados de ciberseguridad aplicada al desarrollo del software.
Otros proyectos relacionados
- Diseño e implantación de arquitecturas seguras en redes industriales.
- Adopción de buenas prácticas de estándares.
Área de proyecto subvencionable en el programa de ayudas de ciberseguridad industrial
- Evaluación de la ciberseguridad del software industrial en las plantas productivas y mejora del mismo.
Perfil de empresa suministradora de servicios o productos
Las empresas que cuentan con la capacidad de prestación de los servicios incluidos en este tipo de proyectos, y que se encuentran registradas en el “Libro blanco de la Ciberseguridad en Euskadi” son aquellas que se encuentran encuadradas en la siguiente categorización:
CAPACIDAD | CATEGORÍA DE LA SOLUCIÓN | GRUPO DE PRODUCTO/SERVICIO |
---|---|---|
PROTEGER | Mantenimiento | Test de penetración / Red Teaming |
Procesos y procedimientos de protección de la información | Static Application Security Testing (SAST)
Seguridad de las aplicaciones |