La protección de esta clase de tecnologías son una necesidad que crece cada vez más. A continuación un análisis y serie de recomendaciones.
por Levi Tully*
¿Cuál es la relación entre los sistemas de automatización de edificios y la ciberseguridad?
Los sistemas de automatización de edificios (BAS: Building Automation Systems) juegan un rol integral en la salud y bienestar de los activos más valiosos de cualquier organización: su gente y su propiedad. Estos sistemas proveen control automático e interacción humana con sistemas mecánicos que con frecuencia son complejos, costosos y críticos en la operación de un edificio, además de consumir una cantidad significativa de energía. El diseño, instalación y operación apropiada de los sistemas de automatización de edificios es fundamental para la sostenibilidad del entorno construido moderno.
Mayormente a través de la gestión de información, estos sistemas le dan la posibilidad a ingenieros y gerentes de facilidades para manejar su entorno y cultivar su portafolio construido.
Existe una sinergia natural y creciente entre la automatización de edificios y la tecnología de la información (TI). Ya que estos sistemas transaccionan de forma primaria información de las instalaciones, los sistemas de automatización de edificios dependen de la infraestructura y sistemas de TI de las instalaciones y organizaciones que sirven. (Granzer, Praus, & Kastner, 2010).
Esta tecnología colaborativa se ha vuelto conocida como sistemas ciber-físicos (CPS: Cyber Physical Systems). En estos sistemas se mezcla cibernética, mecatrónica y ciencias de diseño y proceso. Los CPS representan la sinergia encontrada entre componentes físicos y de software, particularmente entre los sistemas físicos y la tecnología de la información.
Al fenómeno crecientemente se le llama TI/TO para destacar las semejanzas y convergencia de los sistemas de Tecnologías de la Información (TI) y Tecnologías Operacionales (TO). Este último es un término relativamente reciente, usado para abarcar el monitoreo directo y/o control de dispositivos, procesos y eventos físicos.
La mayoría de los estándares y protocolos de uso actual en la automatización industrial y de edificios fueron definidos en el siglo pasado, cuando el conjunto de protocolos TCP/IP era costoso y no estaba disponible para los dispositivos más pequeños que son comunes en la automatización de edificios. Sin embargo, con la extendida disponibilidad de infraestructuras de red IP hoy en día, los sistemas de automatización de edificios son con frecuencia un componente de las redes de un edificio que puede ser compartido con otras aplicaciones y puede ser gestionado profesionalmente por un departamento de TI. “Existe una urgente necesidad por soluciones más amigables con TI que sean más consistentes con las infraestructuras estándar de TI” (ASHRAE SSPC 135, 2018).
La información y tecnología implícita dentro de estos sistemas compartidos de TI son activos valiosos que deben ser protegidos contra vulnerabilidades y amenazas. Debido a la estandarización de su integración, las interredes de automatización de edificios deberían proveer “esquemas de protección en consonancia y adherencia a los controles de seguridad ya establecidos en el dominio de TI” (Granzer, Praus, & Kastner, 2010). Sin embargo, este, tradicionalmente, no ha sido el caso.
El Washington Post condujo una entrevista acerca de ciberseguridad con ejecutivos de un innovador fabricante que revolucionaron la industria al incorporar los sistemas de automatización de edificios al internet. En la entrevista, los ejecutivos comentaron que por más de una década “pocas personas pensaron en la seguridad de los sistemas de control comerciales en el internet”. Ellos señalaron que “los ataques parecían poco probables” debido a que los hackers no habían tenido tradicionalmente como blanco a estos sistemas; concluyeron que ellos y sus clientes “generalmente asumían que los sistemas de control estaban contenidos de alguna forma por su oscuridad” (O’ Harow, 2012).
En una encuesta del 2015, investigadores de IBM encontraron que un 84% de los gerentes de edificios consultados reportaron que sus sistemas de automatización estaban conectados al internet, mientras que solo el 29% había tomado acciones o estaba en el proceso de tomar acciones para mejorar la ciberseguridad de sus sistemas (Snyder, 2014). ¿Hay alguna razón para preocuparse?
¿Por qué es una preocupación la ciberseguridad de los sistemas de automatización de edificios?: La principal amenaza de seguridad en los sistemas BACnet son personas quienes, intencionalmente o por accidente, modifican la configuración o parámetros de control de un dispositivo (ASHRAE SSPC 135, 2018).
El acceso no autorizado a un sistema de automatización de edificios y a sus datos podría ser usado para lo siguiente:
- Hacer uso indebido de información operativa tal como horarios de ocupación.
- Causar malestar en los ocupantes.
- Interrumpir la operación de sistemas.
- Contribuir al daño de equipos o sistemas.
- En noviembre de 2011, el sistema de control industrial de una planta de tratamiento de agua en el sur de Houston fue penetrado cuando “una contraseña de solo tres caracteres había sido usada para proteger el sistema” (BBC, 2011).
Un ataque distribuido de denegación de servicio (DDoS) dio como resultado la pérdida de calefacción en dos edificios de la ciudad de Lappeenranta en el este de Finlandia, según reportaron los medios locales, el último de los ejemplos de los efectos derivados de los ataques cibernéticos en infraestructura interconectada.
Según una declaración publicada por la firma local Valtia especializada en gestión de TI, y un reporte de la Autoridad Reguladora de las Comunicaciones Finlandesas, el ataque fue detectado después de que un sistema de automatización de edificios usado en dos propiedades comenzó a emitir alarmas extrañas y no podía ser accedido remotamente. La causa fue un sostenido ataque de denegación de servicio que estaba inundando el sistema con falso tráfico de internet, lo cual causaba su reinicio cada pocos minutos y les denegaba a los administradores remotos de Valtia el acceso al dispositivo. El ataque se prolongó desde el 3 al 4 de noviembre, según Simo Rounela, CEO de Valtia según reporta el sitio web Metropolitan.fi.
¿El resultado? “La mayoría de los sistemas controlados, tales como distribución de calor, ventilación y agua caliente estuvieron temporalmente fuera de servicio”, dijo la compañía en un comunicado. Para arreglarlo, un técnico visitó los edificios y removió el hardware afectado del internet hasta que el tráfico malicioso pudiera ser filtrado (Paul, 2016).
En 2013 fue anunciado que investigadores de Cylance, una firma consultora de ciberseguridad, fueron capaces de penetrar el sistema de automatización de edificios que pertenece a las instalaciones de Google Wharf 7 en Sídney, Australia.
Una vulnerabilidad les permitía el acceso remoto a los archivos de configuración del sistema donde se encuentran datos como nombres de usuario y contraseñas que permiten el acceso con las cuentas de operador y el control de los sistemas gestionados. También les permitió sobre escribir archivos en el dispositivo y ganar acceso raíz en lo que equivale a un sistema Windows con una maquina virtual Java corriendo un software cliente. Fueron identificados al menos 20.000 casos del mismo sistema alrededor del mundo (Zetter, K., 2013).
Shodan, una maquina de búsquedas de dispositivos conectados a la internet diseñada para crear conciencia, ha identificado cerca de 30,000 sistemas de automatización de edificios de tan solo una plataforma común que están expuestos al internet usando configuraciones estándar por omisión de TI. Una búsqueda revela que casi 20.000 casos se presentan tan solo en los Estados Unidos con cerca de 2.000 más en Canadá y números crecientes que actualmente exceden las 800 instalaciones en Australia.
Shodan también ha identificado cerca de 15.000 sistemas BACnet a lo largo del mundo que de forma similar han sido expuestos al internet usando configuraciones estándar por omisión de TI, incluyendo el puerto publicado que se reserva para interoperabilidad BACnet. Esto incluye sistemas disponibles con más de 9.000 en Estados Unidos, 2.000 en Canadá y casi 200 en Australia.
En 2012, el Departamento de Seguridad Interna de los Estados Unidos estableció el Equipo de Respuesta ante Emergencias Cibernéticas de Sistemas de Control Industrial (ICS-CERT) para combatir esta creciente amenaza.
De acuerdo con la Oficina de Contabilidad del Gobierno de los Estados Unidos, el número de incidentes cibernéticos que involucran sistemas de control que fue reportado al Departamento de Seguridad Interna se incrementó un 74% del 2011 al 2014, con 245 incidentes reportados en 2014. Tan solo en 2017, el ICS-CERT recibió más de 1.000 reportes.
¿Quién debería preocuparse por la ciberseguridad de los sistemas de automatización de edificios? Todas las personas envueltas o influenciadas por la automatización del ambiente construido deberían tomar la seguridad de estos sistemas seriamente.
Los operadores de edificios, ejecutivos de facilidades y gestores de portafolio tienen la obligación de proteger sus instalaciones. Ingenieros, diseñadores, fabricantes, proveedores, contratistas y técnicos tienen la obligación de proteger a sus clientes.
ASHRAE es una sociedad global que fomenta el bienestar humano a través de tecnología sostenible para el ambiente construido. Su misión es incentivar las artes y ciencias de la calefacción, ventilación, aire acondicionado y refrigeración para servir a la humanidad y promover un mundo sostenible.
¿Cómo pueden los profesionales del ambiente construido fomentar el bienestar humano a través de tecnología sostenible en lo que respecta a la ciberseguridad de los sistemas de automatización de edificios?
El siguiente paso no es un obstáculo insuperable. Los sistemas de automatización de edificios ya han sido ampliamente aceptados en el dominio de TI. Incrementar su estandarización y seguridad solo debería mejorar su integración a la infraestructura y equipos de TI.
En definitiva, cada organización debe conducir una evaluación objetiva del impacto potencial a los activos de la organización y a la habilidad de desempeñar sus operaciones normales en el caso de una brecha de seguridad. La evaluación de impacto de una brecha de seguridad es un recurso valioso que permite a una organización tomar decisiones informadas de los controles de seguridad apropiados. Un resultado importante de esta evaluación es la definición de un balance aceptable que proporcione la usabilidad y desempeño requerido del sistema de control mientras mantiene un nivel de seguridad apropiado. El desarrollo de una política que articule este balance es responsabilidad de cada organización.
La publicación especial (SP) serie 800 acerca de seguridad informática del Instituto Nacional de Estándares y Tecnología (NIST) establece los principios para las mejores prácticas de Seguridad de Tecnología de la Información (ITS: Information Technology Security). En particular, NIST SP 800-27 Engineering Principles for Information Technology Security (A Baseline for Achieving Security) revisión A, presenta “una lista de principios de seguridad a nivel de sistema que deben ser considerados en el diseño, implementación y operación de un sistema de información” (Stoneburner, Hayden, & Feringa, 2004). Estos principios de ingeniería proveen una referencia fundamental en el diseño, implementación y operación de un sistema de automatización de edificios debidamente protegido.
Estas publicaciones nos proporcionan pasos muy simples a seguir.
La securización es el proceso de mejora de seguridad de un sistema computacional o de información mediante la reducción de su superficie de vulnerabilidad. Se logra al confiar solamente en un número mínimo de elementos del sistema, por lo tanto, reduciendo la exposición de vulnerabilidades que pueden ser usadas para acceso y manipulación no autorizada de la información. La creación de un ambiente seguro depende de los requisitos y expectativas funcionales del propietario y usuario final del sistema. La meta de la securización debe ser el “mejorar las capacidades de negocio mediante la mitigación del riesgo a un nivel aceptable” (Stoneburner, Hayden, & Feringa, 2004).
Existe una importante sutileza en una actitud efectiva hacia los riesgos de seguridad que frecuentemente es pasada por alto. Esta estrategia realista está expresada en la Línea Base para Alcanzar la Seguridad del NIST:
“Previamente, la evasión del riesgo era una meta de seguridad común en TI. Esto cambio conforme la naturaleza del riesgo fue mejor entendida. Hoy en día, es reconocido que la eliminación de todo riesgo no es efectiva en costo. La meta de la securización debe ser el “mejorar las capacidades de negocio mediante la mitigación del riesgo a un nivel aceptable” (Stoneburner, Hayden, & Feringa, 2004).
Para ponerlo en perspectiva, en los Estados Unidos en el año 2016 hubo más de 37.000 muertes por accidentes de tránsito, aproximadamente 100 personas al día. Sin embargo, para la mayoría de los estadounidenses manejar es un riesgo aceptable. Inclusive en condiciones menores a las ideales, manejar es necesario para la ejecución de su misión.
Cuando se define un nivel de riesgo aceptable, los costos y beneficios de las medidas de protección (o controles de seguridad) deben ser evaluados objetivamente. Necesidades operacionales concurrentes deben ser valoradas. La usabilidad y el desempeño del sistema de control de edificios y las medidas de protección son consideraciones importantes cuando se diseñan y aplican controles de seguridad. Los beneficios de cada control deben proveer un valor adecuado con los costos directos e indirectos asociados a su implementación y mantenimiento (Stoneburner, Hayden, & Feringa, 2004).
Como cualquier sistema de información, el propósito de asegurar un sistema de control de edificios es preservar la confidencialidad, integridad y disponibilidad de los datos que son procesados, transmitidos y almacenados (Stoneburner, Hayden, & Feringa, 2004).
La confidencialidad se refiere a la protección del acceso no autorizado a la información personal y propietaria.
La integridad se refiere a la preservación de la autenticidad de la información mediante la prevención de la modificación o destrucción no autorizada de los datos.
La disponibilidad se refiere al acceso oportuno y confiable a la información y a su uso por usuarios autorizados.
Nota: Próximamente presentaremos la segunda parte de este artículo, la cual describirá una serie de recomendaciones para facilitar la protección de los sistemas de automatización de edificios.
* Levi Tully quien es nuestro Gerente de Ingeniería de Aplicaciones de Reliable Controls Corporation.
* Traducción y adaptación: Rodolfo Zuñiga, Application Engineer - Latin America de Reliable Controls Corporation ([email protected]).
Referencias
- BBC. Hackers ‘hit’ US water treatment systems. (2011, November 21). Retrieved January 28, 201 8, from http://www.bbc.com/news/technology-15817335
- Granzer, W., Praus, F., & Kastner, W. (2010, November). Security in Building Automation Systems. IEEE Transactions on Industrial Electronics, 57(11), 3622-3630. doi:10.1109/TIE.2009.2036033
- O’Harrow Jr., R. (2012, July 11). Tridium’s Niagara Framework: Marvel of connectivity illustrates new cyber risks. Retrieved January 28, 2018, from https://www.washingtonpost.com/investigations/tridiums-niagara-framework-marvel-of-connectivity-illustrates-new-cyber-risks/2012/07/11/gJQARJL6dW_story.html?utm_term=.e743b8a75b7c
- Paul. IBM Research Calls Out Smart Building Risks. (2016, February 05). Retrieved January 28, 2018, from https://securityledger.com/2016/02/ibm-research-calls-out-smart-buildingrisks/
- Paul. (2016, November 08). Update: Let’s Get Cyberphysical: Internet Attack shuts off the Heat in Finland. Retrieved January 28, 2018, from https://securityledger.com/2016/11/lets-get-cyberphysical-ddos-attack-halts-heating-in-finland/
- Snyder, L. (2014, December 17). Hackers Pose Threat To Building Automation Systems - Facilities Management Building Automation Feature. Retrieved January 28, 2018, from http://www.facilitiesnet.com/buildingautomation/article/Hackers-Pose-Threat-To-Building-Automation-Systems--15557?source=part
- Stoneburner, G., Hayden, C., & Feringa, A. (2004). SP 800-27 Rev A: Engineering Principles for Information Technology Security (A Baseline for Achieving Security), Revision A. National Institute of Standards and Technology, Information Technology Laboratory: Computer Security Division. Gaithersburg: NIST. Retrieved November 17, 2015, from http://csrc.nist.gov/publications/PubsSPs.html#SP800
- Zetter, K. (2013, June 03). Researchers Hack Building Control System at Google Australia Office. Retrieved January 27, 2018, from https://www.wired.com/2013/05/googles-controlsystem-hacked/
- Zetter, K. (2013, June 03). Vulnerability Lets Hackers Control Building Locks, Electricity, Elevators and More. Retrieved January 28, 2018, from https://www.wired.com/2013/02/tridium-niagara-zero-day/