Inteco y Deloitte elaboran una guía de asesoramiento sobre los riesgos de los sistemas SCADA
23/03/2012
El objetivo es concienciar al tejido empresarial de la relevancia de estos sistemas y de la necesidad de implantar medidas de seguridad y de gestión para su adecuado funcionamiento.

Fuente:  http://www.computing.es  Fecha: 23.3.2012

Ante la falta de consciencia por los riesgos que pueden sufrir los tan desconocidos e importantes sistemas SCADA (Supervisory Control and Data Acquisition), aquellos que se encargan de la monitorización de infraestructuras civiles críticas (como centrales nucleares, transporte, red eléctrica, suministro de agua, etc.), el Instituto Nacional de Tecnologías de la Comunicación (Inteco), con la colaboración de Deloitte, han elaborado la ‘Guía para empresas: seguridad de los sistemas de monitorización y control de los procesos e infraestructuras (SCADA)’, con el objetivo de concienciar al tejido empresarial de la relevancia de estos sistemas y de la necesidad de implantar medidas de seguridad y de gestión para su adecuado funcionamiento.

Para ello, la guía incluye una definición de estos sistemas, un detalle de sus características y una descripción de la regulación que aplica, así como un análisis detallado de su seguridad y una serie de buenas prácticas aplicables y recomendaciones de aplicación a estos sistemas.

Y es que, las principales amenazas a la seguridad en estos sistemas, según identifica la Guía, se originan en los propios empleados (por el uso inadecuado de la tecnología), el espionaje industrial (bloqueo o falsificación de comunicaciones por parte de otras empresas) y la actividad de hackers (virus informáticos), activistas ideológicos (que acceden de forma no autorizada a los sistemas) o terroristas (mediante ataques externos o sabotajes).

Uno de los últimos ejemplos lo encontramos en la denuncia que hizo un hacker recientemente ante la vulnerabilidad de los sistemas que controlan el suministro y el tratamiento del agua. PrOf, que así se dio a conocer el hacker, publicó datos de una planta de Polonia de tratamiento de aguas residuales, los datos de un programa de gestión de un generador, y lo que se atribuye a archivos de medición de agua de España y Portugal. El hacker solo quería criticar la pobre configuración de los sistemas, el bajo nivel de las contraseñas y la inexistencia de restricciones al acceso del interfaz.