DESAFIOS PARA LA IMPLEMENTACION DE CIBERSEGURIDAD EN LAS REDES ELECTRICAS Ing. Miguel Fuertes Bravo. Esp. Ingeniero Electrónico de la Universidad de Valle Especialista en Gerencia de Proyectos de la Escuela de Administración y Negocios de la EAN. +8 años de experiencia en la implementación de soluciones y capacitación en protocolos de telecontrol y subestaciones (Modbus, DNP3, IEC 101/104, IEC 61850). Auditor Interno de Sistemas de Gestión de Seguridad de la Información ISO 27001. Co-Investigador Grupo GITICAP (Grupo de Investigación en Tecnologías Informáticas, Telecomunicaciones, Automatización y Potencia) y Director técnico del área de Telecomunicaciones y Automatización de la empresa POTENCIA Y TECNOLOGÍAS INCORPORADAS S.A.
miguelfuertes@pti-sa.com.co www.pti-sa.com.co
•
Sistemas de transporte
•
Hospitales
•
Comercio
•
Bombas para
suministro de agua
Los atacantes son capaces de causar daño físico en 50 generadores que suministran energía a la red eléctrica en el noreste de Estados Unidos, incluyendo la ciudad de Nueva York y Washington. Se podría generar un apagón que dejaría a 93 millones de personas sin electricidad.
•
Semaforización
•
Iluminación
El impacto total de la economía de Estados Unidos se estima en
243.000 millones, llegando incluso a suponer más de 1 billón de dólares posicionándose en un escenario más extremo.
Business Blackout, Societey & Security, Emerging Risk Report – 2015 Lloyd’s, Universidad de Cambridge
Agenda • Conceptos Generales • Panorama mundial y normatividad • Qué riesgos se deben identificar? • Algunas soluciones tecnológicas?
Conceptos Generales Qué es seguridad de la información? ISO 27000 : Preservación de la confidencialidad, la integridad y la disponibilidad de la información
Conceptos Generales Pilares fundamentales de la seguridad de la información
Confidencialidad: Asegurar que solo quienes estén autorizados puedan acceder a la información
Integridad: Asegurar que la información y sus métodos de proceso son exactos y completos
Disponibilidad: Asegurar que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran.
Conceptos Generales Otros objetivos:
• Autenticidad: Es lo que dice ser • Fiabilidad: Propiedad relativa a la consistencia comportamiento y en los resultados deseados
en
el
• No repudio: Capacidad para corroborar que es cierto lo ocurrido por parte de la entidad que lo originó
Conceptos Generales Pero entonces qué es Ciberseguridad? La ciberseguridad es la aplicación de la seguridad a la información
empleando las herramientas informáticas necesarias para proteger sus activos físicos y lógicos, para mitigar los riegos a que se puede enfrentar y así mismo protegerlos de posibles ataques.
Conceptos Generales Cuáles son los desafíos para la ciberseguridad en las redes eléctricas:
implementación
de
Desafíos
Empresas IT
Empresas OT
Objetivo primario
Información
Procesos físico
Riegos primarios
Confidencial, Financiero
Seguridad, Salud, Ambiental, Financiero
Objetivo de seguridad
Confidencialidad
Disponibilidad
Enfoque de seguridad
Centro de datos
Sistemas distribuidos
Requerimientos de disponibilidad
95-99% 18-3,65 días /año
99,9-99,999% 8 h- 5.25 m/año
Respuesta al problema
Reinicio, patch/upgrade, aislamiento
Tolerancia a falla, reparación en línea
Conceptos Generales Mitos comunes • Mi sistema no es importante para un atacante • Estoy protegido pues no abro archivos que no conozco • Como tengo antivirus estoy protegido • Como dispongo un Firewall no me contagio • Tengo sistemas operativos Unix actualizados
Conceptos Generales Tipos de ataques comunes • Scanning: Escaneo de puertos abiertos para lograr ingresos • Sniffing: Análisis de trafico vulnerable sin encriptamiento • Spoofing: Suplantación de identidad o aplicación • DoS: Negación de servicios, saturación de aplicaciones para indisponerlas • Virus: Programa malicioso destructivo • Gusano: Programa malicioso que roba información • Troyano: Programa malicioso de infiltración • Ingeniería Social: obtener información confidencial de las personas • Ransomware: Secuestro de información
Panorama mundial y normatividad Ataques a ICS (Industrial Control Systems) Compañía Gas Natural Troyano gana acceso a control del gas
Planta nuclear Ohio Slammer Worm DoS
2000 2001 2002 2003 2004 Electrificadora de California Ataque a 2 Web Server debido a pobre configuración de seguridad
Planta Nuclear Sistemas comprometidos por gusano Stuxnet (Incluyendo rootkit)
Parcial apagón de redes de potencia Mala dirección de control Saudi Aramco Virus Shamoon DisTrack (MBR)
Apagones de SE Hackeo por Sandworm (cambio FW, MBR)
Ataque al dpto de recursos y energía Hacking/Virus
Infección de computadoras de Entidad reguladora Hacking
2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017
Blackout en múltiples ciudades por ciber ataques en equipos de potencia
Hackeo de planta de distribución de agua, con consecuencia de destrucción de activos (default usernames and passwords)
Medición Inteligente alterada, reducción de tarifa
Ataques a planta nuclear Hacking
Ataque sobre la operación de 50 plantas Robo de información y passwords
PetroChina Secuestro de información WannaCry
Panorama mundial y normatividad • Costos de inversión
El 41% de los entrevistados en el informe de «Global Investors Survey 2018» de la PwC, muestra «extremada» preocupación en temas de ciberataques y consideran el principal riesgo de las empresas
62,9% de los encuestados cree que la digitalización de los negocios está impulsando la inversión en ciberseguridad de las empresas. M USD
The Global State of Information Security Survey, PwC, 2017
Panorama mundial y normatividad La necesidad de asegurar los ICS de riesgos de ciberatques no puede ser subestimada donde un error humano, actividad criminal y espionaje son amenaces reales de los negocios.
Business Advantage- Kasperky • • • •
La Cibseseguridad ineficaz cuesta, en media, 497000 USD al año
Vidas humanas Impactos medioambientales Penalizaciones Perdidas de producción y calidad de servicios The State of Industrial Cybersecurity 2017. Business Advantage– Kasperky, 2017 569 Empresas (35% Administración, 33% IT pro, 56% industria general, 19% ingeniería y 11% Oil & Gas 2/3 100-5000 Empleados. Otras +5000 empleados.
Panorama mundial y normatividad El 83% de los encuestados cree que estĂĄn bien preparados para afrontar incidentes de ciberseguridad de ICS. A su vez la mitad de las empresas han experimentado de 1 a 5 incidentes en los Ăşltimos 12 meses . Business Advantage- Kasperky
Panorama mundial y normatividad NIST SGIP – CSWG
Panel de interoperabilidad para Smart Grids como Grupo de Trabajo de Ciberseguridad
NERC CIP
Marco regulatorio de procedimientos/guías para respaldar la seguridad de la información para activos críticos (NISTIR 7628)
ISO 27000
Estándar de lineamientos para establecer un sistema de gestión de seguridad de la información
IEC 62443
Armonización de Ciberseguridad para sistemas de automatización referidos de la ISA 99
IEC 62351
Especificación de mecanismos de seguridad aplicable a sistemas de potencia, involucrando protocolos IEC 60870, IEC 61850, IEEE 1815 (DNP3), CIM
IEEE C37.240
Mínimos requerimientos para Ciberseguridad en subestaciones
IEEE 1686
Definición de funciones se seguridad para IEDs que operen CIP
ISA 99
Industrial Automation and Control Systems Security
Normatividad • NIST (National Institute of Standards and Technology)
Normatividad • NIST (National Institute of Standards and Technology) • NIST Special Publication 800-82. Guía de seguridad para ICS. SCADA, DCS, PLC • Guidelines for Smart Grid Cybersecurity, NISTIR 7628 Rev. 1. Guía de amplio espectro desde electrificadoras, proveedores y fabricantes. • Volumen 1. Estrategias, Arquitecturas y requerimientos de alto nivel de ciberseguridad para redes inteligentes • Volumen 2. Privacidad y las smart grids • Volumen 3. Análisis y referencias de apoyo
Normatividad • NERC CIP • CIP-002 Identificación de Ciber Activos Críticos • CIP-003 Control de gestión de seguridad • CIP-004 Personal y entrenamiento • CIP-005 Seguridad perimetral electrónica • CIP-006 Seguridad física de Ciber Activos Críticos • CIP-007 Administración de sistemas de seguridad • CIP-008 Reporte de incidentes y planeación de respuesta • CIP-009 Plan de recuperación para Ciber Activos Críticos
Normatividad • Serie ISO/IEC 27000 • ISO 27001: Requisitos de implementación de un SGSI • ISO 27002: Buenas practicas para la gestión de la seguridad de la información • ISO 27004: Métricas para el SGSI • ISO 27005: Gestión de riesgos
Normatividad • IEC 62443 (ISA 99)
Normatividad (IEC 62351) •
•
IEC 62351 es un estándar desarrollado por el WG15 del TC 57, con el objetivo de manejar la seguridad de los protocolos del TC 57 • IEC 60870-5 (Incluyendo DNP3) • IEC 60870-6 • IEC 61850 • IEC 61970 • IEC 61968 Entre los objetivos de seguridad esta: • Autenticación • Prevención de espionaje • Prevención de suplantación (Spoofing) • Detección de intrusión
Normatividad (IEC 62351) • IEC 62351-1 Introducción • IEC 62351-2 Glosario • IEC 62351-3 Seguridad para cualquier perfil incluyendo TCP/IP (Encriptacion TLS, autenticación X.509) • IEC 62351-4 Seguridad para MMS (ICCP-60870-6, IEC 61850) • IEC 62351-5 Seguridad para IEC 60870-5 • IEC 62351-6 Seguridad para perfiles IEC 61850 (GOOSE) • IEC 62351-9 Manejo de Llaves • IEC 62351-10 Arquitectura de Seguridad (Infraestructura, CIP, Aplicaciones) • IEC 62351-11 Seguridad para archivos XML
Normatividad • IEEE C37.240 • Fundamentada en NISTIR/NERC CIP • Requerimientos de ciberseguridad (de alto nivel y prioridades) • Mínimos requerimientos para un programa de ciberseguridad, manteniendo una perspectiva técnica económica y operacional factible de desarrollar.
• IEEE 1686 • Acceso, operación, configuración, revisión de firmware y accedo de datos de IEDs. • Encriptamiento de comunicaciones • IEC C37.231 Manejo de Firmware • Audit Trail • Table of Compliance (TOC)
Normatividad • Y en Colombia? • Documento CONPES 3701-2011: Lineamientos de política para ciberseguridad y ciberdefensa • Documento CONPES 3854-2016: Política Nacional de Seguridad Digital • Acuerdo No. 788 – CNO, 2015. Guía de ciberseguridad
• Acuerdo No. 1043 (reemplaza el 701 y 1004). Condiciones mínimas de seguridad e integridad para la transmisión de las lecturas desde los medidores hacia el Centro de Gestión de Medidas y entre este último y el ASIC
Qué riesgos hay que identificar?
• Cultura de cambio • Alineación cultura organizativa • Hackers/Crackers • Competencia • Entrenamiento • Empleados • Constante cambio (las • Malware amenazas cambian) • Presupuesto
• Responsables
Qué riesgos hay que identificar? Hacer la ciberseguridad parte del proceso de administración de riesgos • Impacto en la continuidad del negocio • Impacto ambiental • Calidad de servicios • Impacto en seguridad ocupacional • Cumplimiento regulatorio
Qué riesgos hay que identificar? • Inadecuado compromiso de la alta dirección • Personal inadecuadamente capacitado y concientizado • Responsabilidades inadecuadamente asignadas • Ausencia de políticas y procedimientos • Ausencia de controles (Físicos, lógicos, disuasivos, preventivos, detectivos, correctivos) • Ausencia de reportes de incidentes y vulnerabilidades • colCERT (Grupo de respuesta a Emergencias Cibernéticas de Colombia) • Centro Cibernético Policial (PolNal)
• Inadecuado seguimiento y monitoreo de los controles
Qué riesgos hay que identificar? • Pasos generales Planificación
ISO 27001 Parte 6 Planificación
Identificación de Activos y Ciber Activos Críticos
NERC CIP 2 IEC62443-1
Identificación Identificación yy Valoración Valoración de de Riegos Riegos
ISO 31000 IEC 62443-1 IEC 62443-3-2 NIST SP 800-82 Parte 3
Implementación
NERC CIP 3-7 NIST SP 800-82r2 IEC 62443-2/3/4 IEEE C37.240 ISO 27002 ISO 27001 Anexo A IEC 62351
Respuesta y tratamiento
NERC CIP 8-9 ISO 27001 Parte 8,9,10 NIST SP 800-82 Parte 3 IEC 62443-3-2
Qué riesgos hay que identificar? Identificación y Valoración de Riegos
Algunas soluciones tecnológicas Redes de distribución • Radio
• Celular
VPN
• Satelital • Fibra
Red Corporativa
END
Red Privada
Servicios
Red Pública FW & VPN MGM
END
DMZ
SCADA
Algunas soluciones tecnológicas VPN VPN
FW FW
Subestaciones • Bus de estación • Bus de bahía • Bus de proceso
GTW/PROXY
GTW/PROXY
HMI CBU/RELAY
Soluciones • Segmentar • Redundancia • Firewall • Proxy/Gtwy • Monitoreo • VPNs • IEC 62351
AMU/PMU
AMU/PMU
Algunas soluciones tecnológicas
Terminal Interna
Terminal Externa
Servidor De Acceso
Gestión remota • Externa • Interna • • • • •
SSH SNMP v3 ACL AD Audit
VPN
SUBESTACIÓN
En resumen
Planificación
Identificación de Activos y Ciber Activos Críticos
Identificación y Valoración de Riegos
Monitoreo / auditoria
Implementación
Respuesta y tratamiento
¿PREGUNTAS ?
Bibliografía •
Industrial Network Security, Eric D. Knapp, 2011.
•
The State of Industrial Cybersecurity 2017, The Business Advantage Group Limited – Kaspersky Lab
•
https://www.pwc.es/es/sala-prensa/notas-prensa/2018/ciberseguridad-principal-preocupacion-inversores-del-mundo.html
•
https://www.pwc.es/es/digital/encuesta-mundial-estado-seguridad-informacion-2017.html
•
Cyber Immunity, a holistic view for Industrial Control Systems, Jonathan Azarcon - iS5 Comm
•
Business Blackout, Emerging Risk Report – 2015, Lloyd’s – Cambridge University
•
The 62443 Series of Standards, Industrial Automation and Control Systems Security. 2018
•
CIP Standards – NERC, 2018. https://www.nerc.com/pa/Stand/Pages/CIPStandards.aspx
•
IEC 62351 Part 5: Security for IEC 60870-5 and derivatives
•
IEC 62351 Part 6: Security for IEC 61850
•
IEEE Std C37.240TM-2014 IEEE Standard Cybersecurity Requirements for Substation Automation, Protection, and Control Systems, 2014
•
IEEE Std 1686TM-2013 IEEE Standard for Intelligent Electronic Devices Cyber Security Capabilities
•
NIST Special Publication 800-82, Guide to Industrial Control Systems (ICS) Security, 2015
•
NISTIR 7628 Revision 1, Guidelines for Smart Grid Cybersecurity, 2014
•
CONPES 3854, P OLÍTICA NACIONAL DE SEGURIDAD DIGITAL, 2016
•
CON – ACUERDO No 788, 2015 , Guía de Ciberseguridad
•
Cyber Security in Subestations. Steven Junsman, Frank Hohlbaum - ABB 2011
•
Real-Time Simulation for Cyber- Secuirty. Philippe Beauchmanp – OPAL-RT 2015