El INCIBE, a través del CERTSI, ha prestado durante 2015 especial atención a la seguridad industrial, publicando junto con otros artículos contenidos específicos para seguridad industrial, pero especialmente en el día a día con el sistema de alerta temprana y los avisos para sistemas de control industrial.
El servicio de avisos ha reflejado en 2015 las principales vulnerabilidades que afectan al sector industrial. Un vistazo al trabajo realizado en 2015 arroja el siguiente resultado:
- Se han publicado 134 avisos de vulnerabilidades relacionados con el sector industrial, incluyendo avisos para dispositivos, aplicaciones o elementos de comunicación de este entorno.
- Los avisos se han distribuido a lo largo de todo el año siguiendo una secuencia con distintas oscilaciones, pero observándose un menor número de vulnerabilidades publicadas en los meses estivales, para elevarse de nuevo en los meses finales del año.
- Respecto a los sectores implicados se puede observar que se han producido avisos que han afectado a casi todos los sectores definidos como sectores estratégicos (Energía, Agua, Alimentación, Salud, Transporte, Industria Nuclear, Industria Química, Espacio, TIC, Sistema Financiero y Tributario, Administración, Instalaciones de Investigación).
- Tras los problemas de inseguridad en el tratamiento de la información, la ejecución de código y denegación de servicio se muestran como los tipos más frecuentes en las vulnerabilidades descubiertas.
- Las grandes empresas relacionadas con los sistemas de control son las que más se han visto afectadas por los avisos publicados. Esto no obedece a que sean las empresas más inseguras o que no le prestan atención a la protección de sus dispositivos y aplicaciones, sino a que debido al gran volumen, tanto de equipamientos diferentes como de equipos desplegados, por lo que por probabilidad y grado de exposición, resulta más fácil encontrar vulnerabilidades en esos productos. Y a su vez la divulgación de estas vulnerabilidades y el desarrollo de los parches correspondientes también demuestran el grado de compromiso de estas empresas con la seguridad de sus productos.
Evolución en 2016
El año 2016 y debido a la mayor concienciación de investigadores y fabricantes relacionado con los sistemas de control industrial, así como a la madurez y evolución de estos sistemas, continuará con el paso marcado en 2015 y con el volumen de avisos registrados.
Así mismo la evaluación de los sectores debería poco a poco igualarse al aumentar la madurez y el desarrollo en todos ellos, aunque con la lógica salvedad de que no todos son igual de amplios, por lo que los mas grande seguirán resultando más expuestos.
Y en cuanto a los fabricantes y el volumen de avisos la tendencia también se mantendrá entre los grandes fabricantes de los sistemas de control industrial, con amplios catálogos de productos y los más pequeños y menos expuestos.
