Guía NIST para la seguridad de sistemas de control industrial (SCADA, DCS y PLC)

Hola,

Nuevamente enlazo a S21, que están sembraos ultimamente. Aunque en su post ellos hablan de Nessus, mencionan un documento que yo particularmente desconocía. Tiene que ver con sistemas SCADA, de los que he hablado siempre que he podido en este blog.

Estos sistemas siempre han despertado mi interés. Los conocí hace ya casi 10 años, cuando era alumno de Ingeniería Industrial estudiando Automática y Electrónica Industrial. En aquel entonces, sobre todo en la Universidad, el concepto de seguridad en control industrial estaba únicamente orientado a la seguridad de las instalaciones respecto a los parámetros de operación. En otras palabras, que la instalación funcionara sin causar pérdidas materiales y personales. Los contenidos de la asignatura estaban también enfocados sobre todo a la adquisición, con innumerables prácticas de programación en C y ensamblador para compilar ejecutables que fueran capaces de interactuar con las TADs (tarjetas de adquisición de datos) y poder detectar patrones de operación no deseables, como por ejemplo, el excesivo crecimiento de la acción integral. En lo que a seguridad lógica respecta, nada de nada. Tampoco es que la seguridad informática estuviera muy desarrollada en general hace 10 años, con lo que mucho menos lo estaba en sistemas SCADA.

Los SCADA (Supervisory Control and Data Acquisition) son sistemas orientados al control industrial. En sus siglas también aparece la palabra adquisición, aunque yo siempre he creido que es una redundancia, ya que el control industrial requiere la adquisición de una manera intrínseca: si quiero diseñar un SCADA que, por ejemplo, controla una central de ciclo combinado, lo primero que tengo que tener en plaza es control de parámetros, como por ejemplo, presión y temperatura en el turbogenerador de gas, mezcla en la cámara de combustión, presión de la hidráulica de la turbina de vapor, etc. Según los parámetros que considere como óptimos para la operación de la central, así como las desviaciones admisibles, estaré en condiciones de tener sobre el plano los cimientos del SCADA.

Volviendo al hilo del artículo, el National Institute of Standards and Technology (NIST) liberó en septiembre de 2008 un draft público de lo que por lo que he podido ver, es una excelente guía para gestionar la seguridad en sistemas de control industrial. Se titula de la publicación especial NIST Special Publication 800-82 – Guide to Industrial Control Systems (ICS) Security, un PDF de 156 páginas en el que se desarrolla el concepto de seguridad en sistemas de control industrial.

El documento es ambicioso en su alcance, no sólo estando orientado a los SCADA, sino a sistemas similares frecuentes en el mercado del control industrial. Hablamos de los sistemas distribuidos de control (Distributed Control Systems, DCS) y controladores lógicos programables (Programmable Logic Controllers, PLC), estos últimos más frecuentes en la automatización de la producción industrial a través de electromecánica.

El texto agrupa sus contenidos en cuatro grandes apartados:

  • Características, amenazas y vulnerabilidades en sistemas de control industrial
  • Desarrollo y despliegue de aplicaciones informáticas de control industrial
  • Arquitectura de red y su relación con la seguridad
  • Controles de seguridad en instalaciones industriales de control

Una lectura recomendable no sólo para el personal que se ocupa de la seguridad de los sistemas SCADA y control industrial en general, sino también para aquellos que desarrollan e implementan estas soluciones.

Un saludo, y buena semana para todos.

Un pensamiento en “Guía NIST para la seguridad de sistemas de control industrial (SCADA, DCS y PLC)

  1. Me ha gustado mucho el post. Además de en la seguridad yo también tengo un gran interés en los sistemas de automatización industrial.
    Felicidades!

Comentarios cerrados.