Ciberseguridad en entornos industriales - cosec.inf.uc3m.es en... · Ejemplo de estos sistemas son los SCADA (Supervisory Control and Data Acquisition), DSS (Distributed Control System),

© RUTILUS - Erik de Pablo Octubre 2015.

CIBERSEGURIDAD EN ENTORNOS INDUSTRIALES

Octubre 2015

©

1. Ámbito estándar de los Sistemas de Información

2. Nuevos entornos de las Tecnologías de la Información

3. Nuevos retos, la ciberseguridad

4. Modelos de madurez y Mapas de riesgos

RUTILUS - Erik de Pablo Octubre 2015.

©

• De un sector maduro, con prácticas, normas, marcos de control y sistemas de revisión bien establecidos

• Centrado casi exclusivamente en la información y los sistemas que soportan los procesos de gestión de las compañías.

• Con algunas aplicaciones técnicas de nicho

• Con herramientas de colaboración (correo, mensajería, voz, video, etc…)

• Con unas redes de comunicaciones internas, “externas” y de acceso a internet.

• Con unos protocolos de comunicaciones unificados (sobre TCP/IP)

• Internacional

• Con un esquema de protección de la información y las infraestructuras (seguridad lógica) que tiene mas de 20 años en mejora continua.

• Basado en un “Modelo de Fortaleza” (seguridad perimetral) que ha permitido a las organizaciones ofrecer servicios internos centralizados, con transparencia, integridad, disponibilidad, confidencialidad y eficiencia.

• Con una gestión relativamente eficaz de los múltiples “agujeros” creados en los últimos años en el perímetro, para la interacción con socios, proveedores, clientes y las Administraciones Públicas.

Ámbito estándar de los Sistemas de Información


¿De dónde partimos?

©

• En los últimos años han aparecido entornos tecnológicos de tratamiento y procesado de la información que no estaban incluidos en el modelo tradicional.

Entre ellos están los accesos remotos, redes externas, los nuevos dispositivos personales, smartphones y tablets, etc…

• Surgen por la necesidad de interconectar estos nuevos entornos con la información corporativa, con objeto de integrarla y hacerla interactiva.

• Entre estos nuevos entornos, uno de los más importantes es el entorno industrial, en el cual sistemas técnicos de diferente tamaño y complejidad controlan la operativa diaria de la industria y han estado siempre, desde sus inicios, aislados de los sistemas corporativos.

Ejemplo de estos sistemas son los SCADA (Supervisory Control and Data Acquisition), DSS (Distributed Control System), PLCs (Programmable LogicController), etc…

• El equipamiento ha sido siempre específico del proveedor, tanto en los procesadores como en las redes de control

Redes LCN, Modbus, Fieldbus, RS422, RS485, etc…

• Son sistemas que pueden llegar a manejar y supervisar varios miles de sensores y actuadores.

Siguen modelos de control muy sofisticados, por ejemplo los PID (Proporcional, integrativo y derivativo), FCS (Fuzzy Control System), ECS (Expert Control & Supervision), Control avanzado multivariable etc...

Almacenan información histórica del comportamiento de la planta

Supervisan y manejan todos los posibles estados de la planta e incluso optimizan su eficiencia.

Nuevos entornos de las Tecnologías de la InformaciónSector industrial -1


©

• Estos entornos de control industrial han sido considerados hasta hace poco tiempo como “cajas negras”

Han estado aislados de la red corporativa y centrados exclusivamente en su objetivo de proceso industrial

Ofreciendo en ocasiones resultados o resúmenes en modo “off-line”

Con un gran protagonismo de los proveedores de cada equipamiento, tanto en su configuración como en su mantenimiento.

• A principios de la década pasada, se inició un proceso de conexión con los entornos corporativos, con objeto de que estos sistemas ofrecieran algunos datos de forma más interactiva o en “tiempo real”.

Por ejemplo, con datos de producción. En ocasiones, proporcionando datos de existencias.

En sentido contrario, hacia los sistemas industriales, enviando programas de producción o datos logísticos.

• Este proceso de conexión se fue reforzando con la paulatina conversión del equipamiento de control a las plataformas convencionales, con procesadores estándar y sistemas operativos de tipo Linux o Windows.

• Como consecuencia de todo ello se fue introduciendo el protocolo TCP/IP en las redes de control.

• En ese momento, las redes de control pasan a ser, de facto, una pieza mas de los sistemas corporativos, debido a la continuidad que permite el protocolo de comunicaciones.

Los diferentes objetivos de ambos sistemas resultan una anécdota intrascendente ante el impacto que provoca compartir el protocolo de red, la continuidad y uniformidad de la infraestructura y por ende la aparición de la vulnerabilidad.

Nuevos entornos de las Tecnologías de la InformaciónSector industrial -2


©

• Esta evolución de los sistemas de control industrial, impulsada por los costes, la realidad tecnológica y las necesidades de información de las compañías, ha provocado la aparición de una serie de vulnerabilidades que hasta hace poco tiempo eran desconocidas en el mencionado entorno industrial

• En ese contexto aparecen algunos elementos que aceleran el cambio de actitud ante esta situación:

Aparición de los primeros virus diseñados específicamente para atacar instalaciones industriales

Publicación de la “Ley 8/2011, de 28/04/2011, por la que se establecen medidas para la protección de las infraestructuras críticas”.

Publicación el 07/02/2013 de la “Estrategia de ciberseguridad de la Unión Europea” y la propuesta de “Directiva relativa a medidas para garantizar un elevado nivel común de seguridad de las redes y de la información en la Unión”

• Se acuña el concepto de “ciberseguridad”

El término procede de “cibernética” (sistemas de control basados en la retroalimentación).

Este término se utiliza indistintamente para la “seguridad lógica” en general y sus incidentes asociados, así como para la seguridad en relación específica con los sistemas industriales.

Nuevos retosCiberseguridad


©

• En el mundo de la gestión empresarial y de la administración, el método tradicional para enfrentar una amenaza es efectuar un análisis de los riesgos derivados de tal amenaza y procurar un conjunto de medidas tendentes a mitigar tales riesgos.

• Este esquema, cuya aplicación está muy extendida entre los gestores, puede adolecer de algunos problemas que mostraremos a continuación.

• En un proceso, podemos considerar dos dimensiones de respuesta ante una exigencia externa:

1. La reactiva específica, basada en identificar la exigencia en cuestión y actuar en concreto sobre ella, siempre que en nuestra biblioteca o memoria exista alguna respuesta establecida

2. La respuesta adaptativa, que intenta flexibilizar nuestra reacción al conjunto del problema, asimilándolo y planteando un enfoque más holístico.

• La primera tiene que ver con el modelo de Riesgos, considerando que están definidos, listados, ordenados y con una conjunto de actuaciones de mitigación establecidos.

Se efectúa un emparejamiento entre las amenazas y los riesgos, por lo tanto a cada amenaza le corresponden sus mitigadores.

Tiene un carácter táctico, porque los riesgos cambian.

• La segunda apunta a una capacitación más completa y flexible. Está considerando un conocimiento aplicado suficiente como para entender el problema, para adelantarse al mismo si fuera posible y a todas las posibles consecuencias, variantes y efectos laterales. Este concepto se conoce como Madurez

Tiene un carácter estratégico, porque la madurez o bien permanece o se incrementa.

Modelos de madurez y Mapas de riesgos1


©

• Un procedimiento estándar para evaluar la madurez de un proceso es utilizar la norma ISO 15504. Esta evaluación conduce a considerar si existe y se ha implantado un modelo de control. Aunque la descripción y la literatura sea diferente, los conceptos que se utilizan son los mismos:

Definición del proceso, definición de procedimientos y normas, aplicación de los mismos, revisión y evaluación periódica, puesta en marcha de herramientas automatizadas de medición, esquema de mejora continua, etc….

• Al verificar procesos en los que se ha implantado un modelo de control observamos que siempre producen un nivel de madurez igual o superior al 3. Este nivel supone una zona de transición, pues a partir de este nivel se observa que los análisis de riesgos empiezan a tener su verdadera utilidad, porque la madurez del proceso permite responder con flexibilidad a las amenazas conocidas y a las desconocidas.

• En los niveles inferiores al 3, puede darse la contradicción de que un análisis de riesgos pudiera llegar a ser contraproducente, porque genere un falsa sensación de confort a la gerencia. En entornos dinámicos donde las amenazas evolucionan con rapidez, disponer de una respuesta concreta ante un riesgo no permite deducir una buena reacción ante nuevas amenazas.

• Este es el caso de los sistemas de control industriales. En ellos y desde la perspectiva informática, el nivel de madurez suele ser muy básico, por lo que establecer una lista de amenazas en ciberseguridad puede apantallar la realidad, que el proceso no es capaz de asimilar nuevos riesgos, derivados de las amenazas que se presenten en un futuro.



©

Mod

elos

de

cont

rol

Modelos de madurez y Mapas de riesgos

0incompleto

1realizado

2gestionado

3establecido

4predecible

5optimizando

Falso confort ‐ inútil

Falso confort ‐ reactivo

Falso confort ~ utilidad

Útil – foco, prioridades

Muy útil – prioridades

Muy útil – prioridadeslecciones aprendidas

Util

idad

del

Map

a d

e R

iesg

os

Modelo de madurez

Mejora continua de los procesos

Gestión cualitativa

Procesos adaptados - estándares

Gestión de procesos y los productos

Se alcanzan los objetivos de los procesos

No hay implementación de procesos

Mapas de riesgos


©

• Por todo lo expuesto, la conclusión principal es que, para los sistemas de control industrial, es preciso acometer una mejora notable en la madurez del proceso, como medio para asegurar un nivel de respuesta aceptable ante las ciberamenazas.

• Como hemos adelantado ya, la mejor forma de mejorar la madurez de un proceso es a través de definir e implantar un Modelo de control:

Es preciso definir los principios conceptuales de un modelo de control

Consensuarlo con las partes implicadas

Diseñar su implantación, en plazos y responsabilidades

Acometer la redacción de los procedimientos y las normas

Resolver aspectos técnicos de equipamiento

Preparar los aspectos organizativos

Establecer un programa de revisiones y auditorías

• Una vez implantado este Modelo de control, los análisis de riesgos adquieren una mayor utilidad, permiten enfocar la actividad hacia los riesgos principales y establecer prioridades. Todo ello sin descuidar el resto de aspectos que definen el Modelo de control.

• La retroalimentación del mapa de riesgos y las lecciones aprendidas en su mitigación permiten incrementar aún mas la madurez del proceso.



©

• Actualmente existen, entre otros, tres centros que están dedicados principalmente a estudiar la ciberseguridad industrial en España

CCI (Centro de Ciberseguridad Industrial)

http://www.cci-es.org/web/cci/el-centro

INTECO-CERT (Computer Emergency Response Team)

http://cert.inteco.es/Infraestructuras_Criticas/

CNPIC (Centro Nacional de Protección de Infraestructuras Críticas)

http://www.cnpic-es.es/

Nuevos retosCiberseguridad -2


20 · Mapa de Ruta Ciberseguridad Industrial en España 2013-2018

Amenazas, desafíos y prioridadesObjetivo - Crear y mantener una culturade ciberseguridad en los entornos industriales.

• La diseminación de información sobre Ciberseguridad Industrial es complicada por el gran número de actores implicados.• El establecimiento de responsabilidad sobre la ciberseguridad industrial dentro de las organizaciones, así como programas de capacitación y

perfiles adecuados.• La financiación e implantación de medidas de ciberseguridades complicada cuando laGestión desconoce las implicaciones de la

Ciberseguridad Industrial.• Falta de estándares específicos.• La gran mayoría de los estándares existentes no tienen en cuenta las particularidades de la Ciberseguridad Industrial.• No se tienen en cuenta los requisitos y características específicos de la ciberseguridad para instalaciones y procesos industriales.• Desconocimiento de la materia debido a la carencia de formación y materiales informativos y divulgativos.• Políticas y procedimientos inadecuados desde el punto de vista de ciberseguridad.• Falta de relación entre autoridades, empresas y fabricantes acerca de ciberseguridad.• Escasa coordinación entre iniciativas gubernamentales y privadas.• Las necesidades de ciberseguridad de distintos sectores industriales pueden ser diferentes.• La financiación de actividades de desarrollo de ciberseguridad (por ejemplo I+D+i) dependen de su alineación con los objetivos de la

industria y los gobiernos.• Aumentar la comunicación entre equipos con distintas culturas y diferentes intereses.• Incluir materias de ciberseguridad industrial en los temarios de carreras universitarias.• Lograr que la Ciberseguridad forme parte de la cultura de las organizaciones industriales de la misma manera que lo han hecho

el resto de seguridades (procesos, medioambiental, PRL).• Fomentar la coordinación entre todos los Estados Miembros de la UE.• Creación de una guía de medidas técnicas concretas y claras.

Pag.20

Amenazas, desafíos y prioridadesObjetivo - Desarrollar medidas deprotección parareducir el riesgo y mitigar los impactos.

• Conectividad existente y sin controlar entre sistemas de control y redes TIC.• Acceso remoto de múltiples partes sin control adecuado.• Operación de sistemas de control industrial no adecuada desde el punto de vista de ciberseguridad (autenticación, cifrado).• Los sistemas de control industrial están diseñados para operar en entornos fiables.• Escasez de parches y actualizaciones de ciberseguridad y dificultad en su aplicación.• No existen soluciones de ciber-protección industrial maduras.• Los fabricantes no proporcionan soluciones acordes con las necesidades de los entornos industriales.• Los fabricantes establecen condiciones incompatibles con la ciberseguridad.• Los fabricantes no tienen en cuenta requisitos y/o estándares de ciberseguridad.• No todos los fabricantes aportan manuales con configuraciones óptimas de seguridad para sus soluciones• Gestión incorrecta de credenciales de acceso y uso de protocolos inseguros.• Mala implementación de los soluciones y tecnologías de seguridad (firewalls, IDS/IPS, antivirus, etc.).• Escasez de soluciones de protección de sistemas antiguos (legacy)• Herramientas que permitan la captura y retención del dato (log) de los sistemas en tiempo real de cara al análisis forense de los posibles incidentes.• Falta de integración de nuevas tecnologías de protección con infraestructuras existentes

Hitos

CortoPlazo(2013-2014)• Catálogo de soluciones y servicios de protección de infraestructuras industriales.• Análisis y propuesta de requisitos de ciberseguridad en el diseño.• Análisis y definición de un esquema de certificación y/o calificación en base a riesgo e impacto de las infraestructuras industriales.• Bancos de pruebas (testbeds). Definición de necesidades: infraestructuras, casos de uso, servicios.• Identificación de necesidades de protección en el entorno industrial iberoamericano y traslado a propuestas de proyecto I+D.

Acciones• [PROT-1] Desarrollar soluciones de seguridad para infraestructuras industriales.• [PROT-2] Desarrollar y utilizar componentes seguros que incluyan seguridad en el diseño.• [PROT-3] Aumentar la automatización en las prácticas, procedimientos y políticas de ciberseguridad.• [PROT-4] Establecer un esquema de certificación en ciberseguridad de componentes industriales.• [PROT-5] Fomentar la I+D+i en busca de soluciones de protección adecuadas para el entorno industrial.• [PROT-6] Construir entornos de prueba (testbeds) que permitan la realización de pruebas en entornos seguros.• [PROT-7] Elaboración de catálogo de entornos de prueba.• [PROT-8] Desarrollar un modelo de madurez de ciberseguridad industrial

Pag.32

38 · Mapa de Ruta Ciberseguridad Industrial en España 2013-2018

Amenazas, desafíos y prioridades

Objetivo – Detección y Gestión de Incidentes.

• Las medidas de seguridad pueden afectar negativamente la respuesta a emergencias.• Incremento continuo de la sofisticación de las herramientas y ataques utilizados por los hackers.• En las infraestructuras industriales no existen medidas de seguridad equivalentes a la de los entornos TIC tradicionales.• Definir un proceso claro y público de identificación de vulnerabilidades y la notificación adecuada de incidentes.• Detectar incidentes que están en curso.

Hitos

Corto Plazo(2013-2014)• Desarrollo de sistemas para detección de incidentes en entornos industriales.• Fomentar la participación de los CERTs existentes en la detección y tratamiento de incidentes de ciberseguridad industrial.• Identificación de necesidades de gestión de incidentes en el entorno industrial iberoamericano y traslado a propuestas de proyecto I+D+i.• Identificar y catalogar vulnerabilidades.• Realizar labores de comunicación.

Medio Plazo(2015-2016)• Catálogo de soluciones y servicios de detección de incidentes en infraestructuras industriales.• Análisisydefinicióndemecanismosderegistrodeevidenciasyleccionesaprendidasenlasinfraestructuras industriales.• Contar con unabasede datos independientede vulnerabilidades identificadas clasificadaspor tecnología industrial.

Largo Plazo(2017-2018)• Base de datos de lecciones aprendidas en gestión de incidentes.

Acciones• [INCI-1] Desarrollo de soluciones de detección de incidentes en los distintos niveles (red, sistemas y aplicación) para entornos industriales.• [INCI-2] Desarrollo de un catálogo de soluciones que ayuden en la toma de decisiones frente a ciber- ataques.• [INCI-3] Involucrar a los CERTs en la detección y tratamiento de incidentes de ciberseguridad industrial.• [INCI-4] Desarrollo de soluciones que faciliten el análisis forense.• [INCI-5] Definición de requisitos para la restauración y recuperación de sistemas y redes industriales.• [INCI-6] Desarrollo de un catálogo de lecciones aprendidas.

Pag.38

©

CPNI - SEGURIDAD EN EL CONTROL DE PROCESOS Y SCADAEstablecer una dirección permanente

Una dirección formal para la administración de la seguridad en los sistemas de control de procesos garantizará que se siga en toda la organización una aproximación coherente y adecuada.

Sin esa dirección, la protección de los sistemas de control de proceso puede ser improvisada o insuficiente, y exponer a la organización a un riesgo adicional.

Un marco directivo eficaz establece claramente los roles y responsabilidades, políticas y normas actualizadas para gestionar los riesgos de seguridad en el control de procesos, y la garantía de que esas políticas y normas se están siguiendo.

http://www.cnpic-es.es/Biblioteca/GUIAS_CCN/480H-SCADA-Establecer_una_direccion_permanente-ene10.pdf

• Documento del CPNI (Centre for the Protection of NationalInfrastructure)

• Traducido y publicado por el CNPIC


©

Nuevas debilidades de seguridad“Ciberamenazas” anteriores al virus Stuxnet

Amenazas anteriores al virus Stuxnet


©

CPNI - SEGURIDAD EN EL CONTROL DE PROCESOS Y SCADAGestionar el riesgo de terceros

1.2.2. BUENAS PRÁCTICAS19. Buena práctica, en el contexto de este documento, se define como:

Las mejores prácticas de la industria, tales como estrategias, actividades o enfoques, que han demostrado ser eficaces a través de la investigación y la evaluación.

20. Las buenas prácticas resumidas en este documento sólo pretenden ser directrices. Para algunos entornos y control de sistemas de proceso, puede que no sea posible aplicar todos estos principios.

Por ejemplo:• Principio de buenas prácticas: Proteger los sistemas de control de proceso con software

antivirus en estaciones de trabajo y servidores.Complicación: No siempre es posible aplicar el software antivirus en los sistemas de control de procesos de las estaciones de trabajo o servidores.

• Principio de buenas prácticas: Obtener acreditación de proveedores y una guía de configuración para sistemas de control de proceso de los proveedores antes del despliegue de ese tipo de software.Complicación: Algunos proveedores no acreditarán el software antivirus y otros sistemas de control de proceso son incompatibles con su software.

21. Si se da este caso, deberán ser investigadas otras medidas de protección.

http://www.cnpic-es.es/Biblioteca/GUIAS_CCN/480H-SCADA-Establecer_una_direccion_permanente-ene10.pdf


©

Nuevas debilidades de seguridadICS Cyber Security Conference 2013

http://www.icscybersecurityconference.com/


©

Nuevas debilidades de seguridad“Ciberamenazas” en sistemas SCADA

Executive Report: Energy / Oil & Gas

“Protecting critical systems while promoting operation effciency”Symantec - 2013


©

Nuevas debilidades de seguridad“Ciberamenazas” en el sector de Oil&Gas


©

Nuevas debilidades de seguridadEl punto de vista de un proveedor

Cyber Security Critical for Industrial Process Control

The online world is under constant threat with hundreds of new worms and viruses attacking the world's computer systems at any given time. In early 2010,a new type of computer worm was discovered that shocked experts in the industrial automation community.

The worm, known as Stuxnet, was designed to attack a specific industrial control system, proving that control systems are not immune to cyber attacks.

The Repository of Industrial Security Incidents(RISI), which records cyber security incidents directly affecting SCADA and process control systems, shows the number of incidents increasing by approximately 20% per year over the last decade.

Honeywell recognizes this threat and is continually assessing and enhancing the cyber security of our systems.

https://www.honeywellprocess.com/en-US/about-us/campaigns/Pages/Be-Cyber-Secure.aspx


©

Internet: Origen y evolución de los servicios

24

Pre-internet

Internet ofCONTENT

Internet ofSERVICES

Internet ofPEOPLE

+ smartnetworks

+ smartIT platforms& services

+ smartphones &applications

+ smartdevices,objects,tags

“SOCIALMEDIA”“WEB 2.0”“WWW”

“HUMANTO

HUMAN”

• e-mail

• Information

• Entertainment

• …

• e-productivity

• e-commerce

• …

• Skype

• Facebook

• YouTube

• …

• Identification, tracking, monitoring, metering, …

• Semantically structured and shared data…

• …

“MACHINETO

MACHINE”

+ smartdata &ambientcontext

Internet ofTHINGS


©

Internet of Things:

25REPSOL S.A. Dirección de Auditoría de Sistemas. Marzo 2015.

© 26REPSOL S.A. Dirección de Auditoría de Sistemas. Marzo 2015.

©

Internet of Things:

27RUTILUS - Erik de Pablo Octubre 2015.

• Según la firma consultora Gartner Group, hacia el año 2020 habrá unos 26.000 millones de dispositivos conectados a Internet.

Algunos incluso amplían la cifra a 100.000 millones

• La IoT es una red gigantesca de “cosas” conectadas, lo cual incluye también a personas.

Habrá conexiones digitales entre personas, entre cosas y entre personas y cosas.

• Elementos electrónicos tan ubicuos, sencillos y baratos como los Arduino, Raspberry Pi etc…., facilitan ya la construcción de dispositivos de todo tipo, interactivos con el mundo físico, donde la conexión a internet es algo trivial.

Una tarjeta de red para Arduino puede costar alrededor de 10€ y las librerías para poder utilizarla están disponibles en Internet, con miles de ejemplos.

Raspberry, de origen ya incluye la conexión de red.

• El uso de estos dispositivos tendrá un tremendo impacto en la industria, desplazando a los sistemas de control tradicionales.

Sin embargo, por el momento, no existen estándares que permitan limitar los riesgos de accesos indebidos ni manipulación (hacking) de estos dispositivos, lo que supone un nuevo e importante riesgo.

©

Internet of Things – Un riesgo a considerar

28RUTILUS - Erik de Pablo Octubre 2015.

• Cuando Stephen Hawking, Bill Gates y Elon Musk están de acuerdo en algo, hay que prestarles atención. Los tres han dado la alarma sobre los riesgos potenciales que la Inteligencia Artificial (AI) puede provocar .

Hawking avisa que el desarrollo pleno de la AI puede significar el “fin de la raza humana”.

Musk, empresario dueño de PayPal, Tesla y SpaceX, describe la AI como “la mayor amenaza sobre nuestra existencia”.

Gates, está alarmado por la posibilidad de que las máquinas alcancen una inteligencia que no podamos controlar.

• La combinación de potencia de cálculo, información, almacenamiento e interacción con el mundo físico (IoT) puede hacer que la gigantesca Red conocida como Internet alcance lo que se denomina la Singularidad.

La Singularidad es el punto, en la historia de la tecnología, en el que la aparición de una superinteligenciaartificial, con capacidad para autoprogramarse, podría ser el inicio de un crecimiento exponencial.

El escritor Ray Kurzweil predice que la Singularidad ocurrirá alrededor de 2045, aunque Vernor Vingeadelanta la fecha a 2030

© 29RUTILUS - Erik de Pablo Octubre 2015.

Contacto:

• Erik de Pablo Martínez

• [email protected]

• www.rutilus.com

¡¡ MUCHAS GRACIAS !!

©

Nuevas debilidades de seguridad - STUXNET

REPSOL S.A. Dirección de Auditoría de Sistemas. Marzo 2015.



Documents

Ciberseguridad en entornos industriales - cosec.inf.uc3m.es en... · Ejemplo de estos sistemas son los SCADA (Supervisory Control and Data Acquisition), DSS (Distributed Control System),