Tips

Proteger cámaras OT

ciberataque a cctv
23 Mar

A raíz del reciente ciber ataque a 150,000 cámaras de video vigilancia, han surgido varias dudas en la comunidad industrial sobre si estamos implementando una buena política enfocada a proteger cámara OT. En este artículo abordaré mis recomendaciones de cómo puedes disminuir el riesgo en tu sistema de video vigilancia.  

El riesgo existe

El riesgo existe y varia dependiendo del fabricante de la cámara, las vulnerabilidades son diferentes. Haciendo un análisis de algunas marcas, el muestreo que realicé mostró las siguientes vulnerabilidades más importantes:

  • «Hole Punching«. Al establecer una conexión P2P se crea comunicación directa con el exterior de la fábrica
  • Contraseñas débiles. El firmware de la cámara permite guardar una contraseña que no corresponde con lo recomendado por la ISA99/IEC62443.
  • Comunicación no cifrada. Algunos intercambios de datos siguen sin agregar este elemento importante de seguridad, ya sea su acceso normal a HTTP o por la comunicación TCP/IP o UDP sin cifrar.
  • Falta de credenciales. En el intercambio de información para poder realizarla de una forma segura, las credenciales de identificación son importantes, algunas marcas no las tienen.
  • Respuesta del UI (interfaz de usuario). Los accesos web a las cámaras informan si el usuario o contraseña entrados son válidos o no de forma separada, si un atacante sabe que el usuario no existe, el trabajo de atacante es más sencillo.
  • Permitir comandos a usuarios no registrados. Ejecutar comandos a un usuario no registrado le da control total a un atacante.

 

Consecuencias

Las consecuencias de las vulnerabilidades pueden variar dependiendo del tipo de acceso que tenga a cada cámara, pero les puede enumerar solo algunas en las cuales el atacante puede:

  • Tener acceso a mi red de planta y consecuentemente a mis PLC’s, SCADA y HMI’s.
  • tener visibilidad de las imágenes, video y sonido de todas las cámaras a las que tiene acceso.
  • Injectar código o virus a otras PC’s y servidores así como sistemas de control ICS.
  • Entrar a la red administrativa o de oficina.

 

Contra medidas y protección

Lógicamente contar con un plan de ciberseguridad industrial disminuye grandemente las posibilidades de ataques y las consecuencias, recordemos que entre mayor sea el nivel de seguridad «SL» menores son los riesgos. Nuestro plan de ciberseguridad industrial nos recomienda:

  • Separar en zonas y conduits los activos de mi red industrial
  • Segmentar nuestra red e implementar VLAN’s
  • Separar nuestra de planta «OT» de la red administrativa o de oficina
  • Conocer las vulnerabilidades de nuestros activos y minimizar riesgos
  • Actualizar firmware, sobre todo cuando existan mejoras de seguridad
  • Implementar correctamente política de control de usuario y de accesos

 

Resumen

Una marca de cámaras CCTV no podrá darnos la seguridad de nuestra red, nuestro plan de ciberseguridad industrial sí. Sigue las políticas de tu plan y las buenas prácticas para red OT para poder así proteger tus cámaras OT.

Contáctanos para cualquier duda o ayuda que requieras.    

 

Artículo escrito por Pedro Bernardo Montero, director de CSI y consultor Senior. Síguelo en LinkedIn

 
 

Nuestra consultoría está basada en el estandar ISA99 / IEC62443, te invitamos a conocer más sobre este tema en su página oficial.
ISA99 / IEC62443

ISA99 / IEC62443

 
 
 
 
 
 
Dudas de algún término técnico, consulta nuestra sección especializada:
 

 

Newer Ciberseguridad industrial en la nube
Back to list
Older Declaraciones erroneas sobre plan de ciberseguridad industrial