7 minute read

Incidentes de ciberseguridad, fuente para construir la protección desde el diseño

52 La calidad y salud digital es clave para que el proceso industrial sea eficiente Incidentes de ciberseguridad, fuente para construir la protección desde el diseño

Hoy en día la digitalización industrial depende casi totalmente del software, los sistemas y las comunicaciones para automatizar, optimizar e integrar los diferentes componentes de los sistemas de operación con capacidades asociadas a trabajadores humanos, como la multifunción, la toma de decisiones, el autodiagnóstico, el mantenimiento predictivo y el trabajo de forma autónoma (1) .

La digitalización industrial aprovecha todas las nuevas capacidades de las tecnologías de información, en cuanto a conectividad, análisis de datos y computación, pero esta evolución tecnológica debe ir acompañada de requisitos de ciberseguridad que proporcionen la disponibilidad, integridad y confidencialidad necesarias desde su diseño, y así lograr una mejor preparación ante las amenazas cibernéticas que han ido aumentando (2) y evolucionando, en cuanto a su complejidad, a un ritmo muy rápido, como demuestra la existencia de las llamadas amenazas persistentes avanzadas, más conocidas por sus siglas en inglés, APT, por ello la calidad y salud digital es clave para que el proceso industrial sea eficiente.

Los incidentes pueden ser intencionados o no. La mayoría son provocados por fallos del software o un error humano por falta de concienciación o formación. En los incidentes intencionados es muy importante entender bien los pasos ejecutados por un malware o por los atacantes, ser conscientes de los equipos comprometidos y los procesos afectados.

Conocer cuáles han sido las vías de entrada (paciente cero) y de propagación, sí la amenaza está acotada o sigue extendiéndose y los impactos identificados (operativos, financieros, medioambientales, de seguridad de los trabajadores o de reputación pública) son aspectos a los que debe dar respuesta un centro de operaciones de seguri

dad (SOC) gracias a las tareas ejecutadas por los diferentes equipos que lo conforman. Son todavía pocas las organizaciones que actualmente cuentan con un SOC, o al menos un servicio externo de respuesta frente a incidentes, pero esto está cambiando debido a que son cada vez más las organizaciones industriales que sufren incidentes de ciberseguridad.

En cuanto a la tipología de incidentes de ciberseguridad conocidos en servicios esenciales de España, los datos obtenidos por el Centro de Ciberseguridad Industrial (CCI) en el estudio realizado en 2019 (3) , señalan que más del 50% de los incidentes intencionados son ocasionados por malware o ataques dirigidos, en cambio solo el 7% son incidentes que han comprometido información y un 4% conoce incidentes por fraude en servicios esenciales. En el ámbito industrial, según este mismo estudio, se espera que el 41% de los incidentes futuros serán debido al compromiso de los dispositivos IoT industriales. Y Se espera que 2 de cada 10 incidentes sean debido a ransomware que afectará a sistemas de automatización y control, tal y como se muestra en la gráfica que acompaña este artículo. Un incidente es un evento imprevisto que causa daño interrumpiendo o alterando su servicio o función, en nuestro caso nos referimos a incidentes que son provocados aprovechando debilidades en las tecnologías industriales.

A modo de ilustración imaginemos una organización que posee una fábrica en una ciudad interior. El sistema de producción está centralizado y la provisión de materias primas se realiza por vía terrestre. Supongamos que, en un día determinado, las materias primas no llegan a la planta, lo que conduce a la paralización de la producción. Este es un incidente que debe gesn Incidentes futuros según los datos obtenidos por el Centro de Ciberseguridad Industrial (CCI) en el estudio realizado en 2019.

tionarse con la máxima urgencia. Inmediatamente se descubre que, debido a un accidente de tráfico en la vía de uso habitual, no es posible el paso de vehículos que transportan las materias primas.

Conocido el problema y la causa raíz que ha originado el incidente, la solución puntual que se adopta es que los vehículos detenidos regresen hasta el punto más próximo que les permita conmutar por una vía alternativa, aunque esta resulte más larga.

Esta solución al incidente no asegura que no suceda de nuevo, por ello una posible acción correctiva del problema sería ampliar la capacidad de almacenaje de la planta. De esta manera se podría seguir trabajando varios días ante la falta de suministro eventual. Sin embargo, si la causa raíz del incidente hubiera sido la alteración del sistema que realiza la petición de materias primas sustituyendo 1000 unidades por solo 1... En este caso estamos ante un incidente tecnológico que hubiera tenido las mismas consecuencias sobre la producción, pero la acción correctiva en este caso consistiría en aplicar medidas de ciberseguridad, como fortalecer el control de acceso al sistema de pedidos, incorporar mecanismos de validación de las ordenes de pedido, etc. Cuando se produce un incidente de ciberseguridad industrial son varias las cuestiones que debemos plantearnos, ¿Qué ha ocurrido? Parada de un proceso de producción, sobrecarga de una máquina o pérdida de rendimiento, entre otras. ¿Dónde? En la planta de Albacete, en todas las plantas europeas... ¿Cómo? Se investigan alertas en sistemas, registros o información de actividad hasta encontrar la(s) causa(s).

Las organizaciones industriales, están sufriendo incidentes tecnológicos a los que van poniendo remedio para no verse de nuevo afectadas, pero esto no es suficiente, las consecuencias de algunos incidentes tecnológicos, especialmente los intencionados, pueden ser de muy alto impacto, paralizando una o varias plantas durante días o semanas, comprometiendo sistemas safety o provocando alteraciones que afecten gravemente a la calidad de la producción, por ello, es fundamental que estas organizaciones se preparen frente a escenarios de incidentes de alto impacto.

Para facilitar la preparación de las organizaciones y sus proveedores industriales, el Centro de Ciberseguridad Industrial (4) está construyendo una plataforma de escenarios de incidentes que permitirá conocer los incidentes de alto impacto que pueden afectar a un determinado sector y sus procesos automatizados.

Se describirá el escenario del incidente indicando su naturaleza y la causa raíz, así como el impacto técnico y el impacto para el negocio como se muestra en la imagen.

Esta plataforma permitirá que las organizaciones puedan realizar ciberejercicios o revisar sus medidas y anticiparse a incidentes de alto impacto sin tener que sufrir sus efectos. También proporcionará el ciclo de vida del incidente simplificado en cuatro fases, como puede observarse en el esquema ‘Fases el incidente’.

La capacidad más interesante que proporcionará esta plataforma será la identificación de los requisitos de ciberseguridad que pueden implementarse en el diseño de los nuevos procesos industriales, permitiendo reducir el riesgo de sufrir estos incidentes de alto impacto, y preparar mejor a las organizaciones cuyo negocio dependen de la salud de la automatización de sus procesos.

Algunas organizaciones industriales de sectores como el energético, químico, agua, transporte o el de alimentación han empezado a incluir requisitos de ciberseguridad en sus nuevos proyectos de

n Ciclo de vida del incidente simplificado en cuatro fases.

automatización o de renovación de tecnologías de operación, pero son muchas las dificultades que se encuentran para identificar qué requisitos de ciberseguridad deben incluir o que capacidades deben solicitar a sus proveedores, pero sobre todo cuáles serán las exigencias de regulaciones o normativas en materia de ciberseguridad cuando la planta empiece a ser operada.

Para facilitar la incorporación de requisitos de ciberseguridad en proyectos industriales, el Centro de Ciberseguridad Industrial (5) está construyendo una plataforma técnica que permita establecer el tipo de proyecto de automatización, por ejemplo, del proceso ciclo combinado o eólica, y modelar este proyecto de automatización, incluyendo las tecnologías de operación, proveedores, así como las redes y sistemas involucrados ordenados dentro de los 5 niveles del modelo de Purdue de ISA-95, como por ejemplo, instrumenta ción de una turbina en el nivel 0, controladores en el nivel 1, SCADAs en el nivel 2, MES o LIMS en el nivel 3. Esta plataforma permitirá seleccionar para cada componente o grupo de componentes requisitos de ciberseguridad de un catálogo que contemple normativas y regulaciones existentes, así como establecer las capacidades de ciberseguridad requeridas a los proveedores que participarán en el proyecto, permitiendo descargar los requisitos necesarios o directamente referenciar de forma segura un enlace de la plataforma.

Abordar la ciberseguridad desde el diseño es, en la actualidad, la base para construir plantas industriales eficientes, con mejores niveles de disponibilidad o rendimiento de la operación.

(1) Industrial Internet of Things: Unleashing the Potential of Connected Products and Services http://www3.weforum.org/docs/ WEFUSA_IndustrialInternet_ Report2015.pdf (2) SANS. State of OT/ICS Cybersecurity Survey 2019 https:// radiflow.com/wp-content/ uploads/2019/06/Survey_ICS-2019_ Radiflow.pdf (3) (4) (5) Centro de Ciberseguridad Industrial https://www.cci-es.org/

José Valiente Director del Centro de Ciberseguridad Industrial https://www.cci-es.org

This article is from: