Gestión remota de SCADAS
Rubén Palomino
En un mundo cada vez más conectado y globalizado el poder administrar y gestionar de forma remota nuestras instalaciones ya no es un extra.
ES UNA NECESIDAD
Tanto desde el punto de vista de la instalación inicial como de las posibles modificaciones y mejoras, el poder realizar tareas de gestión y programación sin desplazarse permite a las empresas el poder acometer trabajos que antes no podían.
No podían debido a los costes y al personal que tenía desplazarse hasta la instalación para poder realizar los trabajos, desatendiendo el resto de tareas hasta la vuelta a la oficina.
Pero esta conectividad lleva asociado un riesgo.
RIESGO EN EL USO DE HERRAMIENTAS DE ESCRITORIO REMOTO
Las herramientas de acceso remoto del tipo AnyDesk, TeamViewer, TakeControl o Supremo etc. En un principio se pensaron para el soporte remoto de aplicaciones informáticas.
Lo que ocurre es que en algunas de sus configuraciones se les da permiso a un gran número de opciones que permiten incluso navegar por las redes a las que se conectan
Algunos expertos en seguridad afirman que aunque el usuario se desconecte, la sesión permanece abierta.
Al ser herramientas de terceros escapan al control del personal de seguridad de la empresa, es decir no dejan registro de quien ni cuando se han conectado.
Por poner un ejemplo:
En marzo de 2021 según se puede leer en el portal de weLiveSecurity una persona intento modificar los componentes de un sistema de tratamiento de agua al aprovechar una vulnerabilidad del programa TeamViewer.
Por lo que parece se conectó a través de una sesión de TeamViewer y pudo actuar sobre el SCADA de la Planta.
EVITAR RIESGOS EN EL USO DE HERRAMIENTAS DE ESCRITORIO REMOTO
Si es necesario el uso de estas herramientas se aconseja informar al departamento de informática de cuando estás conectado y cuando no.
También es aconsejable que no se inicien con la máquina, hay que quitarlas de las tareas que se inician cuando arranca el PC.
Como empresa instaladora de SCADAS siempre aconsejamos a nuestros clientes no utilizar este tipo de herramientas de forma habitual.
Si hace falta conectarse, se llama y se da acceso. Así de simple.
RIESGO EN EL USO DE VPNs
Para poder gestionar cualquier sistema remoto, hay que estar en la misma red de los equipos.
Eso se hace normalmente a través de una VPN. Las VPN te dan acceso a la red, pero te la dan a toda. Es decir cuando accedes a través de una VPN entras en toda la red.
Muchos usuarios utilizan claves y contraseñas sencilas de recordar y descuidan la ocultación de las mismas.
Por lo que aunque la mayoría de las VPN son de comunicaciones cifradas, el uso de contraseñas cortas y de fácil escritura crea una brecha innecesaria en la seguridad de las mismas.
Se puede leer un articulo muy interesante de CiberSafety sobre este asunto.
EVITAR RIESGOS EN EL USO DE LAS VPNs
Para evitar riesgos en el uso de las VPNs se aconseja utilizar contraseñas muy seguras, y mas si son de uso intensivo.
Actualizar el software.
Sobre todo evitar que la VPN de acceso a toda la red de la empresa, si hay que gestionar un equipo, que solo tenga acceso a ese equipo.
Si no necesita acceso a toda la red NO HAY QUE DARSELA.
COMUNICACIONES NO CIFRADAS
Aunque estemos utilizando VPN cifradas, la información entre los diferentes dispositivos puede ser no cifrada.
Para gestionar un SCADA es necesario que el software de programación y el SCADA se comuniquen. Y esta información dentro de la misma red no es cifrada.
Por poner un ejemplo, la carga de programas, la creación de tags, las alarmas, etc. En muchos fabricantes estas tareas no son cifradas, exponiendo el tráfico de información a cualquier intruso no autorizado.
Alguien podría robar el usuario y la contraseña para poder conectarse al SCADA, o realizar cambios no autorizados en el sistema.
EVITAR LOS RIESGOS EN COMUNICACIONES NO CIFRADAS.
Se debe de evitar en la medida de lo posible el uso de comunicaciones no cifradas.
Hay que matizar esta información, en comunicaciones en las que prima la velocidad el uso de cifrado ralentiza dicha velocidad. No incluimos en estos apartados las comunicaciones con los dispositivos de campo tipo modbus y similares.
Solo incluimos las de gestión del SCADA.
USO DE ENTORNOS NO PROTEGIDOS POR CONTRASEÑA
Hay SCADAS que no utilizan contraseñas para conectarse con ellos.
Esto implica que cualquier persona puede conectarse al SCADA simplemente con tener el programa y la dirección IP del equipo. No hace falta nada mas.
Cambios no autorizados en el equipo pueden derivar en el mal funcionamiento de las instalaciones o directamente el bloqueo de las mismas.
EVITAR LOS RIESGOS CON PROGRAMAS SIN CONTRASEÑAS
Para evitar dichos riesgos es mejor utilizar un SCADA que utilice usuario y contraseña para conectarse y administrar el mismo.
Y si además tiene conexiones cifradas mejor que mejor.
COMO MINIMIZAR LOS RIESGOS
Como empresa instaladora de sistemas SCADAS siempre tratamos de minimizar los riesgos al mínimo.
Aplicando las técnicas descritas anteriormente a rajatabla.
En cuanto a las VPN existen numerosas marcas en el mercado que cumplen dicha funcionalidad. Aunque si hay que elegir preferimos las que tienen router integrado.
En el SCADA lo tenemos claro. El SCADA SPGN cumple con dichas especificaciones al realizar todas las comunicaciones de gestión y administración de forma cifrada y además protegidas por usuario y contraseña.
Es importante el poder trabajar en remoto, pero también es importante trabajar de forma segura.
Cuando proyectas una instalación que implique comunicaciones remotas no hay que jugársela.
El cero riesgos nunca existe, pero se le acerca mucho.
Si en tu empresa hay cero riesgos con tu sistema de automatización o al menos eso crees.
¡¡ PERFECTO !!
Pero si eres una persona que vive en el mundo real y eres consciente de que siempre hay riesgos.
Harías bien poniendo en nuestras manos la gestión del SCADA de tu empresa.
* Tus datos se usarán únicamente para responder a tu consulta. No se comparten con terceros.