Escolar Documentos
Profissional Documentos
Cultura Documentos
Octubre 2015
• De un sector maduro, con prácticas, normas, marcos de control y sistemas de revisión bien establecidos
• Centrado casi exclusivamente en la información y los sistemas que soportan los procesos de gestión de las
compañías.
• Internacional
• Con un esquema de protección de la información y las infraestructuras (seguridad lógica) que tiene mas de
20 años en mejora continua.
• Basado en un “Modelo de Fortaleza” (seguridad perimetral) que ha permitido a las organizaciones ofrecer
servicios internos centralizados, con transparencia, integridad, disponibilidad, confidencialidad y eficiencia.
• Con una gestión relativamente eficaz de los múltiples “agujeros” creados en los últimos años en el perímetro,
para la interacción con socios, proveedores, clientes y las Administraciones Públicas.
• En los últimos años han aparecido entornos tecnológicos de tratamiento y procesado de la información que
no estaban incluidos en el modelo tradicional.
Entre ellos están los accesos remotos, redes externas, los nuevos dispositivos personales, smartphones y tablets, etc…
• Surgen por la necesidad de interconectar estos nuevos entornos con la información corporativa, con objeto
de integrarla y hacerla interactiva.
• Entre estos nuevos entornos, uno de los más importantes es el entorno industrial, en el cual sistemas
técnicos de diferente tamaño y complejidad controlan la operativa diaria de la industria y han estado siempre,
desde sus inicios, aislados de los sistemas corporativos.
Ejemplo de estos sistemas son los SCADA (Supervisory Control and Data Acquisition), DSS (Distributed Control System), PLCs (Programmable Logic
Controller), etc…
• El equipamiento ha sido siempre específico del proveedor, tanto en los procesadores como en las redes de
control
Redes LCN, Modbus, Fieldbus, RS422, RS485, etc…
• Son sistemas que pueden llegar a manejar y supervisar varios miles de sensores y actuadores.
Siguen modelos de control muy sofisticados, por ejemplo los PID (Proporcional, integrativo y derivativo), FCS (Fuzzy Control System), ECS
(Expert Control & Supervision), Control avanzado multivariable etc...
Supervisan y manejan todos los posibles estados de la planta e incluso optimizan su eficiencia.
• Estos entornos de control industrial han sido considerados hasta hace poco tiempo como “cajas negras”
Han estado aislados de la red corporativa y centrados exclusivamente en su objetivo de proceso industrial
Con un gran protagonismo de los proveedores de cada equipamiento, tanto en su configuración como en su mantenimiento.
• A principios de la década pasada, se inició un proceso de conexión con los entornos corporativos, con objeto
de que estos sistemas ofrecieran algunos datos de forma más interactiva o en “tiempo real”.
Por ejemplo, con datos de producción. En ocasiones, proporcionando datos de existencias.
En sentido contrario, hacia los sistemas industriales, enviando programas de producción o datos logísticos.
• Este proceso de conexión se fue reforzando con la paulatina conversión del equipamiento de control a las
plataformas convencionales, con procesadores estándar y sistemas operativos de tipo Linux o Windows.
• Como consecuencia de todo ello se fue introduciendo el protocolo TCP/IP en las redes de control.
• En ese momento, las redes de control pasan a ser, de facto, una pieza mas de los sistemas corporativos,
debido a la continuidad que permite el protocolo de comunicaciones.
Los diferentes objetivos de ambos sistemas resultan una anécdota intrascendente ante el impacto que provoca compartir el
protocolo de red, la continuidad y uniformidad de la infraestructura y por ende la aparición de la vulnerabilidad.
• Esta evolución de los sistemas de control industrial, impulsada por los costes, la realidad tecnológica y las
necesidades de información de las compañías, ha provocado la aparición de una serie de vulnerabilidades
que hasta hace poco tiempo eran desconocidas en el mencionado entorno industrial
• En ese contexto aparecen algunos elementos que aceleran el cambio de actitud ante esta situación:
Aparición de los primeros virus diseñados específicamente para atacar instalaciones industriales
Publicación de la “Ley 8/2011, de 28/04/2011, por la que se establecen medidas para la protección de las infraestructuras críticas”.
Publicación el 07/02/2013 de la “Estrategia de ciberseguridad de la Unión Europea” y la propuesta de “Directiva relativa a medidas
para garantizar un elevado nivel común de seguridad de las redes y de la información en la Unión”
Este término se utiliza indistintamente para la “seguridad lógica” en general y sus incidentes asociados, así como para la seguridad
en relación específica con los sistemas industriales.
• Este esquema, cuya aplicación está muy extendida entre los gestores, puede adolecer de algunos
problemas que mostraremos a continuación.
• En un proceso, podemos considerar dos dimensiones de respuesta ante una exigencia externa:
1. La reactiva específica, basada en identificar la exigencia en cuestión y actuar en concreto sobre ella, siempre que en
nuestra biblioteca o memoria exista alguna respuesta establecida
2. La respuesta adaptativa, que intenta flexibilizar nuestra reacción al conjunto del problema, asimilándolo y planteando un
enfoque más holístico.
• La primera tiene que ver con el modelo de Riesgos, considerando que están definidos, listados, ordenados y
con una conjunto de actuaciones de mitigación establecidos.
Se efectúa un emparejamiento entre las amenazas y los riesgos, por lo tanto a cada amenaza le corresponden sus mitigadores.
• La segunda apunta a una capacitación más completa y flexible. Está considerando un conocimiento aplicado
suficiente como para entender el problema, para adelantarse al mismo si fuera posible y a todas las posibles
consecuencias, variantes y efectos laterales. Este concepto se conoce como Madurez
Tiene un carácter estratégico, porque la madurez o bien permanece o se incrementa.
• Un procedimiento estándar para evaluar la madurez de un proceso es utilizar la norma ISO 15504. Esta
evaluación conduce a considerar si existe y se ha implantado un modelo de control. Aunque la descripción y
la literatura sea diferente, los conceptos que se utilizan son los mismos:
Definición del proceso, definición de procedimientos y normas, aplicación de los mismos, revisión y evaluación periódica, puesta en
marcha de herramientas automatizadas de medición, esquema de mejora continua, etc….
• Al verificar procesos en los que se ha implantado un modelo de control observamos que siempre producen
un nivel de madurez igual o superior al 3. Este nivel supone una zona de transición, pues a partir de este
nivel se observa que los análisis de riesgos empiezan a tener su verdadera utilidad, porque la madurez del
proceso permite responder con flexibilidad a las amenazas conocidas y a las desconocidas.
• En los niveles inferiores al 3, puede darse la contradicción de que un análisis de riesgos pudiera llegar a ser
contraproducente, porque genere un falsa sensación de confort a la gerencia. En entornos dinámicos donde
las amenazas evolucionan con rapidez, disponer de una respuesta concreta ante un riesgo no permite
deducir una buena reacción ante nuevas amenazas.
• Este es el caso de los sistemas de control industriales. En ellos y desde la perspectiva informática, el nivel
de madurez suele ser muy básico, por lo que establecer una lista de amenazas en ciberseguridad puede
apantallar la realidad, que el proceso no es capaz de asimilar nuevos riesgos, derivados de las amenazas
que se presenten en un futuro.
Muy útil – prioridades
Modelos de control
Mejora continua de los procesos 5 lecciones aprendidas
Modelo Mapas
de madurez de riesgos
• Por todo lo expuesto, la conclusión principal es que, para los sistemas de control industrial, es preciso
acometer una mejora notable en la madurez del proceso, como medio para asegurar un nivel de respuesta
aceptable ante las ciberamenazas.
• Como hemos adelantado ya, la mejor forma de mejorar la madurez de un proceso es a través de definir e
implantar un Modelo de control:
Es preciso definir los principios conceptuales de un modelo de control
• Una vez implantado este Modelo de control, los análisis de riesgos adquieren una mayor utilidad, permiten
enfocar la actividad hacia los riesgos principales y establecer prioridades. Todo ello sin descuidar el resto de
aspectos que definen el Modelo de control.
• La retroalimentación del mapa de riesgos y las lecciones aprendidas en su mitigación permiten incrementar
aún mas la madurez del proceso.
• Actualmente existen, entre otros, tres centros que están dedicados principalmente a estudiar la
ciberseguridad industrial en España
CCI (Centro de Ciberseguridad Industrial)
http://www.cci-es.org/web/cci/el-centro
http://cert.inteco.es/Infraestructuras_Criticas/
http://www.cnpic-es.es/
• La diseminación de información sobre Ciberseguridad Industrial es complicada por el gran número de actores implicados.
• El establecimiento de responsabilidad sobre la ciberseguridad industrial dentro de las organizaciones, así como programas de capacitación y
perfiles adecuados.
• La financiación e implantación de medidas de ciberseguridad es complicada cuando la Gestión desconoce las implicaciones de la
Ciberseguridad Industrial.
• Falta de estándares específicos.
• La gran mayoría de los estándares existentes no tienen en cuenta las particularidades de la Ciberseguridad Industrial.
• No se tienen en cuenta los requisitos y características específicos de la ciberseguridad para instalaciones y procesos industriales.
• Desconocimiento de la materia debido a la carencia de formación y materiales informativos y divulgativos.
• Políticas y procedimientos inadecuados desde el punto de vista de ciberseguridad.
• Falta de relación entre autoridades, empresas y fabricantes acerca de ciberseguridad.
• Escasa coordinación entre iniciativas gubernamentales y privadas.
• Las necesidades de ciberseguridad de distintos sectores industriales pueden ser diferentes.
• La financiación de actividades de desarrollo de ciberseguridad (por ejemplo I+D+i) dependen de su alineación con los objetivos de la
industria y los gobiernos.
• Aumentar la comunicación entre equipos con distintas culturas y diferentes intereses.
• Incluir materias de ciberseguridad industrial en los temarios de carreras universitarias.
• Lograr que la Ciberseguridad forme parte de la cultura de las organizaciones industriales de la misma manera que lo han hecho
el resto de seguridades (procesos, medioambiental, PRL).
• Fomentar la coordinación entre todos los Estados Miembros de la UE.
• Creación de una guía de medidas técnicas concretas y claras.
Objetivo - Desarrollar medidas de protección para reducir el riesgo y mitigar los impactos.
Acciones
• [PROT-1] Desarrollar soluciones de seguridad para infraestructuras industriales.
• [PROT-2] Desarrollar y utilizar componentes seguros que incluyan seguridad en el diseño.
• [PROT-3] Aumentar la automatización en las prácticas, procedimientos y políticas de ciberseguridad.
• [PROT-4] Establecer un esquema de certificación en ciberseguridad de componentes industriales.
• [PROT-5] Fomentar la I+D+i en busca de soluciones de protección adecuadas para el entorno industrial.
• [PROT-6] Construir entornos de prueba (testbeds) que permitan la realización de pruebas en entornos seguros.
• [PROT-7] Elaboración de catálogo de entornos de prueba.
• [PROT-8] Desarrollar un modelo de madurez de ciberseguridad industrial
Amenazas, desafíos y prioridades Pag.38
http://www.cnpic-es.es/Biblioteca/GUIAS_CCN/480H-SCADA-Establecer_una_direccion_permanente-ene10.pdf
20. Las buenas prácticas resumidas en este documento sólo pretenden ser directrices.
Para algunos entornos y control de sistemas de proceso, puede que no sea posible aplicar
todos estos principios.
Por ejemplo:
• Principio de buenas prácticas: Proteger los sistemas de control de proceso con software
antivirus en estaciones de trabajo y servidores.
Complicación: No siempre es posible aplicar el software antivirus en los sistemas de control
de procesos de las estaciones de trabajo o servidores.
http://www.cnpic-es.es/Biblioteca/GUIAS_CCN/480H-SCADA-Establecer_una_direccion_permanente-ene10.pdf
http://www.icscybersecurityconference.com/
The online world is under constant threat with hundreds of new worms and viruses attacking the world's
computer systems at any given time. In early 2010,a new type of computer worm was discovered that shocked
experts in the industrial automation community.
The worm, known as Stuxnet, was designed to attack a specific industrial control system, proving that control
systems are not immune to cyber attacks.
The Repository of Industrial Security Incidents(RISI), which records cyber security incidents directly affecting
SCADA and process control systems, shows the number of incidents increasing by approximately 20% per
year over the last decade.
Honeywell recognizes this threat and is continually assessing and enhancing the cyber security of our
systems.
https://www.honeywellprocess.com/en-US/about-us/campaigns/Pages/Be-Cyber-Secure.aspx
“HUMAN “MACHINE
“SOCIAL
TO “WWW” “WEB 2.0” TO
MEDIA”
HUMAN” MACHINE”
• Según la firma consultora Gartner Group, hacia el año 2020 habrá unos 26.000 millones de
dispositivos conectados a Internet.
Algunos incluso amplían la cifra a 100.000 millones
• La IoT es una red gigantesca de “cosas” conectadas, lo cual incluye también a personas.
Habrá conexiones digitales entre personas, entre cosas y entre personas y cosas.
• Elementos electrónicos tan ubicuos, sencillos y baratos como los Arduino, Raspberry Pi etc….,
facilitan ya la construcción de dispositivos de todo tipo, interactivos con el mundo físico, donde
la conexión a internet es algo trivial.
Una tarjeta de red para Arduino puede costar alrededor de 10€ y las librerías para poder utilizarla están
disponibles en Internet, con miles de ejemplos.
• Cuando Stephen Hawking, Bill Gates y Elon Musk están de acuerdo en algo, hay que prestarles
atención. Los tres han dado la alarma sobre los riesgos potenciales que la Inteligencia Artificial
(AI) puede provocar .
Hawking avisa que el desarrollo pleno de la AI puede significar el “fin de la raza humana”.
Musk, empresario dueño de PayPal, Tesla y SpaceX, describe la AI como “la mayor amenaza sobre
nuestra existencia”.
Gates, está alarmado por la posibilidad de que las máquinas alcancen una inteligencia que no podamos
controlar.
El escritor Ray Kurzweil predice que la Singularidad ocurrirá alrededor de 2045, aunque Vernor Vinge
adelanta la fecha a 2030
¡¡ MUCHAS GRACIAS !!