Ciberseguridad en Transporte y Logística Protección de la Cadena de Suministro ante amenazas cibernéticas
Seguridad en la Cadena de Suministro
Visión tradicional de la Seguridad en CdS Muy enfocada a la seguridad física Algunas iniciativas relacionadas ISO 28000 C-TPAT Operador Económico Autorizado
Pero …. el avance en el uso de TICs debe hacernos tener también conciencia de las ciberamenazas.
Incidencias de Seguridad
Incidencias en Transporte y LogĂstica
Fuente: The Global State of Information SecurityÂŽ Survey 2016 (PwC)
Tipos de amenazas
Tipos de amenazas Accidentales / efecto secundario
Dirigidas
Infección propagada desde otro área
Ataque centrado en conseguir objetivo concreto
Malware
Errores humanos
Puede utilizar otras áreas o dispositivos como “trampolín”
Tipos de adversarios y sus motivaciones
Tipos de adversarios y su motivación
Ciber Guerra: Operaciones Ciber Espionaje: cibernéticas con Ciber Explotación el fin de destruir paciente, Terrorismo: Ciber Crimen: o degradar las Convergencia Actividades persistente y Ciber Activismo: infraestructuras del ciberespacio criminales con creativa para Ciberataques que de un país y del el fin de conseguir ventajas tratan de influir en terrorismo, obtener estratégicas en los la opinión y / o causando beneficios ámbitos reputación de las pérdida de económicos económicos, organizaciones, vidas o graves políticos y militar afiliaciones o daños causas específicas económicos
Ciber Malicia: Ataques arbitrarios de aficionados, causando molestias y daños menores
Ejemplos de Ciber-amenazas en la Cadena de Suministro
Ciber-amenazas en CdS
Plantas de producción inutilizadas •
Posibles puntos de ataque: SCADA:
•
Aplicando métodos avanzados de spear fishing, atacantes consiguen infiltrarse en los sistemas de la planta y manipular componentes de control. Como consecuencia un alto horno sufrió graves daños. Los atacantes tenían avanzadas capacidades técnicas y experiencia en seguridad TI, y un detallado conocimiento de los procesos de fabricación utilizados. La motivación detrás de este ataque es desconocida por las autoridades
•
•
Ataque dirigido a una planta de acero en Alemania
Fuente: Bundesamt für Sicherheit in der Informationstechnik
Ciber-amenazas en CdS
Ransomware: el “secuestro” de datos •
•
• •
A través de software malintencionado se restringe el acceso a determinadas partes o archivos del sistema, y se pide un rescate a cambio de eliminar esta restricción . En muchos casos se cifran los datos o archivos del sistema operativo inutilizando el dispositivo. El rescate puede rondar los cientos de euros en Bitcoins. Muchas PYMEs (por ejemplo, empresas de transporte) son vulnerables y pueden sufrir este tipo de ataques.
•
La motivación detrás del ataque suele ser principalmente económica.
Ciber-amenazas en CdS
Puertos, ferrocarril, … como Infraestructuras Críticas •
• • •
Organización criminal contrata a hackers para desarrollar SW y HW que les permita acceder a los sistemas de información con detalles de contenedores y su localización. Primer ataque a través de software malicioso vía email. Tras instalar firewall, desarrollo de llaves HW instaladas en PC. Operando unos 2 años.
Fuente: Maritime Security Outlook
•
La motivación detrás del ataque suele estar asociada a actos de cibercrimen, ciberterrorismo o ciberguerra
Ciber-amenazas en CdS
Data breach: protección/privacidad de los datos •
•
• • •
TARGET, una de las mayores empresas de retail de USA, sufrió el robo de datos personales y financieros de 110 millones de clientes. Los atacantes usaron credenciales de un proveedor con una política de seguridad “débil” para instalar malware llegando a un servidor. Instalado malware en los Terminales de Punto de Venta. El ataque se produjo durante 2 semanas sin ser apreciado. Los datos robados pueden ser vendidos en el mercado negro de la red.
Fuente: DiarioLibre.com
•
La motivación de estos ataques suele estar asociada a actos de ciberespionaje, cibercrimen o cibermalicia.
Protección de la Cadena de Suministro
Directiva NIS Acuerdo sobre la primera ley europea de seguridad cibernética (Network and Information Security Directive). Propuesta por la Comisión en 2013 y actualmente en los últimos pasos de negociación entre el Parlamento y el Consejo Europeo Va a requerir a las compañías de sectores críticos – tales como energía transporte, banca y salud – así como a proveedores de servicios de internet - plataformas de comercio electrónico, redes sociales, motores de búsqueda, cloud, webmail, etc- a adoptar prácticas de gestión de riesgos y reportar información sobre incidentes.
Protección de la Cadena de Suministro
Ley 8/2011 de 28 de abril (Ley PIC) Transposición de la Directiva 2008/114/CE a la legislación nacional. Establece la creación del Centro Nacional de Protección de Infraestructuras Críticas (CNPIC) como órgano de asistencia a la Secretaría de Estado de Seguridad. Secretaría de Estado de Seguridad es responsable para la elaboración del catálogo de infraestructuras críticas (considerado información clasificada).
Operadores críticos deben colaborar con las autoridades competentes Actualizar datos disponibles con periodicidad anual. Colaborar en la elaboración de planes estratégicos sectoriales y análisis de riesgos. Elaborar el plan de seguridad del operador (PSO). Elaborar un plan de protección específico (PPE) Designar un responsable de seguridad y enlace (habilitado como Director de Seguridad) Designar un delegado de seguridad
Protección de la Cadena de Suministro
No hay soluciones mágicas que garantizan protección total Requiere adoptar un enfoque integral que implique todos los recursos de una organización y a todas las organizaciones de la cadena. Tecnología Personas
Procesos
Protecciรณn de la Cadena de Suministro
Objetivo principal CdS resiliente Resiliencia: en sistemas tecnolรณgicos, capacidad de un sistema de soportar y recuperarse ante desastres y perturbaciones
Contacto: maite.alvarez@tecnalia.com