Los sistemas SCADA HMI pueden poner en peligro la seguridad industrial

  • Seguridad

Según un informe, la media de tiempo que transcurre desde que se revela un error a un fabricante de SCADA hasta que se libera un parche llega hasta los 150 días.

Con el nombre “Hacker Machine Interface: el estado de las vulnerabilidades de los sistemas SCADA HMI”, Trend Micro ha presentado un informe en el que analiza este tipo de equipos que se utilizan para ejecutar muchas de las infraestructuras críticas de los sectores industriales. En concreto, el documento estudia la Interfaz de Máquina Humana (HMI, por sus siglas en inglés), a través de la cual un operador monitoriza y responde a la información mostrada en este tipo de sistemas.

Quizá te interese...

El entorno de la pyme en 2017

Cómo ser flexible y apto para la transformación digital

Cómo lograr el éxito en la gestión del rendimiento empresarial y la Inteligencia de negocio

Impacto económico del desarrollo de aplicaciones de negocio con ServiceNow

Rendimiento digital: la importancia para el retailer

Informe e-Pyme 2016

 

En este sentido, el equipo Trend Micro Zero Day Initiative (ZDI) ha examinado el estado actual de la seguridad de SCADA HMI revisando todas las vulnerabilidades publicadas en el software SCADA que se han reparado desde 2015 y 2016, incluyendo 250 vulnerabilidades adquiridas a través del programa ZDI. A partir de ahí, han encontrado que la mayoría de estas vulnerabilidades se encuentran en las áreas de corrupción de memoria (20,4%), que suponen problemas clásicos de seguridad a nivel de código, desbordamiento de búfer basado en “stack and heap” y vulnerabilidades de lectura/escritura fuera de los límites administración de credenciales deficiente.

A continuación, le sigue falta de autenticación/autorización (19%), con casos como casos como el uso de contraseñas codificadas, el almacenamiento de contraseñas en un formato recuperable e insuficiente protección de las credenciales. Seguidamente, se encuentran los valores predeterminados inseguros (23,4%), con transmisión de información confidencial sin cifrar, cifrado perdido y controles ActiveX inseguros marcados como seguros para la creación de secuencias de comandos. Por último, están los errores de inyección de código (8,8%). Eso sí, tal y como explican los investigadores de Trend Micros, todos se pueden prevenir a través de prácticas seguras de desarrollo.

Por otro lado, el informe confirma que la media de tiempo que transcurre desde que se revela un error a un fabricante de SCADA hasta que se libera un parche llega hasta los 150 días, 30 días más de lo que requeriría un software ampliamente desplegado, como los de Microsoft o Adobe. Esto significa que transcurre una media de cinco meses antes de que las vulnerabilidades de SCADA sean reparadas, aunque difiere entre los fabricantes. Para algunos proveedores puede pasar tan solo una semana, mientras que los más grandes pueden tardar hasta 200 días para hacerlo.