El NIST (National Institute of Standards and Technology) acaba de publicar la segunda revisión de su "Guía para la Seguridad de los Sistemas de Control Industrial (ICS)". El NIST es una agencia del Departamento de Comercio de los Estados Unidos que cuenta con una división denominada "Computer Security Resource Center" (http://csrc.nist.gov) quien se encarga de proveer recursos sobre seguridad de la información y elaborar guías y estándares tanto para el gobierno como para la industria.
Según nota de prensa del NIST de la semana pasada, esta revisión «incluye una nueva visión sobre como ajustar los controles de seguridad IT tradicionales para adaptarlos a los requisitos de rendimiento, fiabilidad y seguridad de los sistemas industriales (ICS), así como algunas actualizaciones en los capítulos de amenazas y vulnerabilidades, gestión del riesgo, prácticas recomendadas, arquitecturas y herramientas de seguridad».
Los Sistemas de Control Industrial (ICS, por sus siglas en inglés) engloban tanto el hardware como el software de los equipos de control de procesos, incluyendo sensores, actuadores, sistemas de control distribuido (DCS), autómatas programables (PLC) o sistemas de control y adquisición de datos (SCADA).
Tradicionalmente, los sistemas ICS se basaban en plataformas propietarias, aisladas y con limitadas posibilidades de actualización. Hoy en día estos sistemas están intercomunicados con finalidades de monitorización o de operación remota desde los grandes centros de control, por lo que están dotados de conectividad a Internet. Esta conectividad ha puesto de manifiesto las vulnerabilidades y amenazas que se ciernen sobre ellos, viéndose agravadas en los casos de que tales ICS formen partes de sistemas considerados Infraestructuras Críticas (suministro de energía, telecomunicaciones, sistema público de salud, etc.)
Las medidas -y herramientas- de protección que utilizamos en las áreas de IT (antivirus, Firewall, IDS, ... incluso políticas y procedimientos) están diseñadas para una infraestructura de IT "de negocio" o "de soporte al negocio" pero no son útiles para un entorno de operaciones industriales (OT, por las siglas en inglés de Operational Technology). Esta actualización de la guía del NIST pretende adaptar los controles de seguridad IT para establecer una convergencia entre ambos entornos: IT/OT.
La guía "NIST SP 800-82, Revision 2, guide to industrial Control System (ICS) Security" puede descargarse desde aquí [PDF, 3,78 MB, 247 pág, EN]: