Control y mitigación de riesgos en infraestructuras...
13
1 Control y mitigación de riesgos en infraestructuras críticas Erik de Pablo Martínez • Ámbito estándar de los Sistemas de Información corporativos • Nuevos entornos de las Tecnologías de la Información. Informática industrial • Nuevos retos y amenazas. La ciberseguridad • Respuesta de Europa y USA ante las ciberamenazas • Se desarrollan Marcos de Control • Un modelo de respuesta • Modelos de madurez y Mapas de riesgos • Los modelos de riesgos en ciberseguridad industrial son especiales • Una forma de calcular modelos de riesgos para ciberseguridad industrial • Nuevos actores que lo agravan todo: Internet de las Cosas (IoT) Índice 2
Transcript of Control y mitigación de riesgos en infraestructuras...
1
Control y mitigación de riesgos en infraestructuras críticas
Erik de Pablo Martínez
• Ámbito estándar de los Sistemas de Información corporativos
• Nuevos entornos de las Tecnologías de la Información. Informática industrial
• Nuevos retos y amenazas. La ciberseguridad
• Respuesta de Europa y USA ante las ciberamenazas
• Se desarrollan Marcos de Control
• Un modelo de respuesta
• Modelos de madurez y Mapas de riesgos
• Los modelos de riesgos en ciberseguridad industrial son especiales
• Una forma de calcular modelos de riesgos para ciberseguridad industrial
• Nuevos actores que lo agravan todo: Internet de las Cosas (IoT)
Índice
2
2
• Es un sector maduro, con prácticas, normas, marcos de control y sistemas de revisión bien establecidos
• Centrado casi exclusivamente en la información y los sistemas que soportan los procesos de gestión de las compañías.
• Con algunas aplicaciones técnicas de nicho
• Con herramientas de colaboración (correo, mensajería, voz, video, etc…)
• Con unas redes de comunicaciones internas, “externas” y de acceso a internet.
• Con unos protocolos de comunicaciones unificados (sobre TCP/IP)
• Internacional
• Con un esquema de protección de la información y las infraestructuras (seguridad lógica) que tiene mas de 20 años en mejora continua.
• Basado en un “Modelo de Fortaleza” (seguridad perimetral) que ha permitido a las organizaciones ofrecer servicios internos centralizados, con transparencia, integridad, disponibilidad, confidencialidad y eficiencia.
Ámbito estándar de los Sistemas de InformaciónLa “informática corporativa”
3
• En los últimos años han aparecido entornos tecnológicos de tratamiento y procesado de la información que no estaban incluidos en el modelo tradicional.
• Entre estos nuevos entornos, uno de los más importantes es el entorno industrial, en el cual sistemas técnicos de diferente tamaño y complejidad controlan la operativa diaria de la industria y han estado siempre, desde sus inicios, aislados de los sistemas corporativos.
� Ejemplo de estos sistemas son los SCADA (Supervisory Control and Data Acquisition), DSS (Distributed Control System), PLCs (Programmable Logic Controller), etc…
• El equipamiento ha sido siempre específico del proveedor, tanto en los procesadores como en las redes de control
� Redes LCN, Modbus, Fieldbus, RS422, RS485, etc…
• Son sistemas que pueden llegar a manejar y supervisar varios miles de sensores y actuadores.
� Siguen modelos de control muy sofisticados, por ejemplo los PID (Proporcional, integrativo y derivativo), FCS (Fuzzy Control System), ECS (Expert Control & Supervision), Control avanzado multivariable etc...
� Almacenan información histórica del comportamiento de la planta
� Supervisan y manejan todos los posibles estados de la planta e incluso optimizan su eficiencia.
• Estos entornos de control industrial han sido considerados hasta hace poco tiempo como “cajas negras”
� Han estado aislados de la red corporativa y centrados exclusivamente en su objetivo de proceso industrial, ofreciendo en ocasiones resultados o resúmenes en modo “off-line”
� Y siempre con un gran protagonismo de los proveedores de cada equipamiento, tanto en su configuración como en su mantenimiento.
Nuevos entornos de las Tecnologías de la Informació nInformática industrial -1
4
3
• A principios de la década pasada, se inició un proceso de conexión con los entornos corporativos, con objeto de que estos sistemas ofrecieran algunos datos de forma más interactiva o en “tiempo real”.
� Por ejemplo, con datos de producción que en ocasiones proporcionan datos de existencias.
� En sentido contrario, hacia los sistemas industriales, enviando programas de producción o datos logísticos.
• Este proceso de conexión se ha estado reforzando con la paulatina conversión del equipamiento de control a las plataformas convencionales, con procesadores estándar y sistemas operativos de tipo Linux o Windows.
• Como consecuencia de todo ello se ha introducido el protocolo TCP/IP en las redes de control.
• En ese momento, las redes de control pasan a ser, de facto, una pieza mas de los sistemas corporativos, debido a la continuidad que permite el protocolo de comunicaciones.
� Los diferentes objetivos de ambos sistemas resultan una anécdota intrascendente ante el impacto que provoca compartir el protocolo de red, la continuidad y uniformidad de la infraestructura y por ende la aparición de la vulnerabilidad.
Nuevos entornos de las Tecnologías de la Informació nInformática industrial -2
5
• La evolución de los sistemas de control industrial, impulsada por los costes, la realidad tecnológica y las necesidades de información de las compañías, ha provocado la aparición de una serie de vulnerabilidades que hasta hace poco tiempo eran desconocidas en este entorno industrial.
• Esto ha generado una sensibilización progresiva ante los riesgos que están surgiendo y especialmente con la aparición de los primeros virus diseñados específicamente para atacar instalaciones industriales
• En el año 2013 se publica la “Estrategia de ciberseguridad de la Unión Europea” y la propuesta de “Directiva de medidas para garantizar un elevado nivel común de seguridad de las redes y de la información en la Unión”
• Se acuña el concepto de “ciberseguridad”
Nuevos retosCiberseguridad
6
4
Nuevas debilidades de seguridad“Ciberamenazas” en sistemas SCADA
Executive Report: Energy / Oil & Gas
“Protecting critical systems while promoting operation effciency”
Symantec - 2013
7
Respuesta UE y USA ante las ciberamenazas
8
5
Se desarrollan Marcos de Control
9
Nuevas debilidades de seguridadEl punto de vista de un proveedor
Cyber Security Critical for Industrial Process Control
The online world is under constant threat with hundreds of new worms and viruses attacking the world's computer systems at any given time. In early
2010,a new type of computer worm was discovered that shocked experts in the industrial automation community.
The worm, known as Stuxnet, was designed to attack a specific industrial control system, proving that control systems are not immune to cyber
attacks.
The Repository of Industrial Security Incidents(RISI), which records cyber security incidents directly affecting SCADA and process control systems,
shows the number of incidents increasing by approximately 20% per year over the last decade.
Honeywell recognizes this threat and is continually assessing and enhancing the cyber security of our systems.
https://www.honeywellprocess.com/en-US/about-us/campaigns/Pages/Be-Cyber-Secure.aspx
10
6
Un modelo de respuesta
11
Nivel objetivo para la excelencia
GA
P
GA
P
ciberataques
ciberataques
ciberataques
ciberataques
ciberataques
• En el mundo de la gestión empresarial y de la administración, el método tradicional para enfrentar una amenaza es efectuar un análisis de los riesgos derivados de tal amenaza y procurar un conjunto de medidas tendentes a mitigar tales riesgos.
• Este esquema, cuya aplicación está muy extendida entre los gestores, puede adolecer de algunos problemas que mostraremos a continuación.
• En un proceso, podemos considerar dos dimensiones de respuesta ante una exigencia externa:
1. La reactiva específica, basada en identificar la exigencia en cuestión y actuar en concreto sobre ella, siempre que en nuestra biblioteca o memoria exista alguna respuesta establecida
2. La respuesta adaptativa, que intenta flexibilizar nuestra reacción al conjunto del problema, asimilándolo y planteando un enfoque más holístico.
• La primera tiene que ver con el modelo de Riesgos, considerando que están definidos, listados, ordenados y con una conjunto de actuaciones de mitigación establecidos.
� Se efectúa un emparejamiento entre las amenazas y los riesgos, por lo tanto a cada amenaza le corresponden sus mitigadores.
� Tiene un carácter táctico, porque los riesgos cambian.
• La segunda apunta a una respuesta más completa y flexible. Está considerando un conocimiento aplicado suficiente como para entender el problema, para adelantarse al mismo si fuera posible y a todas las posibles consecuencias, variantes y efectos laterales. Este concepto se conoce como Madurez
� Tiene un carácter estratégico, porque la madurez o bien permanece o se incrementa (salvo en cambios profundos en el proceso).
Modelos de madurez y Mapas de riesgos -1
12
7
• Un procedimiento estándar para evaluar la madurez de un proceso es utilizar la norma ISO 15504. Esta evaluación conduce a considerar si existe y se ha implantado un modelo de control. Aunque la descripción y la literatura sea diferente, los conceptos que se utilizan son los mismos:
� Definición del proceso, definición de procedimientos y normas, aplicación de los mismos, revisión y evaluación periódica, puesta en marcha de herramientas automatizadas de medición, esquema de mejora continua, etc….
• Al verificar procesos en los que se ha implantado un modelo de control observamos que siempre producen un nivel de madurez igual o superior al 3. Este nivel supone una zona de transición, pues a partir de este nivel se observa que los análisis de riesgos empiezan a tener su verdadera utilidad, porque la madurez del proceso permite responder con flexibilidad a las amenazas conocidas y a las desconocidas.
� Aparece la propiedad emergente conocida como RESILIENCIA.
• En los niveles inferiores al 3, puede darse la contradicción de que un análisis de riesgos pudiera llegar a ser contraproducente, porque genere un falsa sensación de confort a la gerencia. En entornos dinámicos donde las amenazas evolucionan con rapidez, disponer de una respuesta concreta ante un riesgo no permite deducir una buena reacción ante nuevas amenazas.
• Este es el caso de los sistemas de control industriales. En ellos y desde la perspectiva informática, el nivel de madurez suele ser muy básico, por lo que establecer una lista de amenazas en ciberseguridad puede apantallar la realidad: el proceso no será capaz de asimilar los nuevos riesgos derivados de las amenazas que se presenten en un futuro.
Modelos de madurez y Mapas de riesgos -2
13
Mo
de
los
de
co
ntr
ol
Modelos de madurez y Mapas de riesgos
0incompleto
1realizado
2gestionado
3establecido
4predecible
5optimizando
Modelo de madurez
Mejora continua de los procesos
Gestión cualitativa
Procesos adaptados - estándares
Gestión de procesos y los productos
Se alcanzan los objetivos de los procesos
No hay implementación de procesos
Falso confort - inútil
Falso confort - reactivo
Falso confort ~ utilidad
Útil – foco, prioridades
Muy útil – prioridades
Muy útil – prioridadeslecciones aprendidas
Uti
lidad
de
l M
apa
de
Rie
sgo
s
Mapas de riesgos
14
8
• Por todo lo expuesto, la conclusión principal es que, para los sistemas de control industrial, es preciso acometer una mejora notable en la madurez del proceso, como medio para asegurar un nivel de respuesta aceptable ante las ciberamenazas.
• En nuestra opinión, mejorar la madurez de un proceso es definir e implantar un Modelo de control:
� Es preciso definir los principios conceptuales de un modelo de control
� Consensuarlo con las partes implicadas
� Diseñar su implantación, en plazos y responsabilidades
� Acometer la redacción de los procedimientos y las normas
� Resolver aspectos técnicos de equipamiento
� Preparar los aspectos organizativos
� Establecer un programa de revisiones y auditorías
• Una vez implantado este Modelo de control, los análisis de riesgos adquieren una mayor utilidad, permiten enfocar la actividad hacia los riesgos principales y establecer prioridades. Todo ello sin descuidar el resto de aspectos que definen el Modelo de control.
• La retroalimentación del mapa de riesgos y las lecciones aprendidas en su mitigación permiten incrementar aún mas la madurez delproceso.
Modelos de madurez y Mapas de riesgos
15
• Una de las conclusiones paradójicas que se extrae del desarrollo clásico de un mapa de riesgos de ciberseguridad en entornos industriales es que el riesgo total no es excesivamente importante, por lo tanto no es preciso colocar este asunto entre los más importantes a tratar.
• La causa de este análisis tan extendido es la forma de hacer el mapa de riesgos.
� En general se tiende a utilizar una metodología muy similar a la utilizada en los mapas de riesgos de seguridad industrial, en los que la probabilidad de un incidente es normalmente muy estable.
� Si se conoce la probabilidad de ocurrencia de un evento en un año, por cualquiera que sea el método de evaluación, la probabilidad a cinco años es alrededor de cinco veces la citada.
� Esto es así porque la evolución tecnológica y de las amenazas en este contexto es muy lenta y esta aproximación suele ser suficiente.
• Pero en el caso de la ciberseguridad industrial no es así, el orden de magnitud de los cambios en la agresividad y sofisticación de las amenazas es incluso inferior al horizonte temporal de los análisis. Evoluciona muy rápidamente.
• Por ello hay que utilizar un razonamiento diferente.
Modelos de madurez y Mapas de riesgos -4
16
9
• En primer lugar, en esta evaluación no es posible introducir como real y seguro lo que haremos en unos años para responder a las amenazas futuras que existan. Esta respuesta no existe aún y será consecuencia de nuestro análisis de riesgos y de las medidas que por ello se tomen. Hacer lo contrario sería recursivo. Dicho de otra manera, no podemos dar por seguro que tendremos una capacidad de respuesta superior a la actual si esto, con sus presupuestos, organización y habilidades, depende de la consideración que le conceda la Dirección a nuestro mapa de riesgos.
• Entonces, el enfoque debería ser:
� Con la capacidad de respuesta actual y nuestro nivel de madurez, manteniendo la actualización que nuestro presupuesto nos permite ¿qué podría sucedernos con las amenazas que existan dentro de 4 ó 5 años?
� Obviamente la curva de pérdida esperada se dispara exponencialmente. Lo que ya concuerda más con el consenso que existe entre los analistas sobre la gravedad del problema.
Los modelos de riesgos en ciberseguridad industrial son especiales
17
• Una forma de calcular con este enfoque es la siguiente:
� En primer lugar, hay que identificar al menos cuatro eventos concretos para cada escenario de riesgo
� En este caso, el suceso con la etiqueta de impacto 30 sería el más habitual, el que las personas al cargo del proceso tienen en mente si se les pregunta sobre este escenario. Cuando responden con un evento y su severidad, colapsan toda la distribución en ese punto.
� Pero existen otros, de probabilidad mucho más baja, que en una evaluación cuidadosa, con el enfoque de riesgos incremental, emergen de la línea base (aquí serían el caso 125 y sobre todo el 300)
Una forma de calcular modelos de riesgos para ciber seguridad industrial
10
30
125
300
0
0,1
0,2
0,3
0,4
0,5
0,6
0 50 100 150 200 250 300 350
� Esta distribución es clásica en teoría de riesgos y se suele
asociar a la distribución de Weibull, (una distribución
asimétrica), lo que permite construir una curva razonable
con solo 4 ó 5 puntos y calcular con ello la “pérdida
esperada al 90%”.
� El resultado obtenido representa mucho mejor el riesgo de
este escenario, mejor que a partir de solo un punto y los
valores de pérdida esperada son mucho más elevados, como
ya se suponía previamente.
18
10
Nuevos escenarios tecnológicosNuevos escenarios tecnológicosNuevos escenarios tecnológicosNuevos escenarios tecnológicos
Nuevos actores que lo agravan todo:
IoT - “Internet de las cosas”
19
Internet: Origen y evolución de los servicios
20
Pre-
internet
Internet of
CONTENT
Internet of
SERVICES
Internet of
PEOPLE
+ smartnetworks
+ smartIT platforms& services
+ smartphones &applications
+ smartdevices,objects,tags
“SOCIAL
MEDIA”“WEB 2.0”“WWW”
“HUMAN
TO
HUMAN”
• Information
• Entertainment
•…
• e-productivity
• e-commerce
•…
• Skype
• YouTube
•…
• Identification, tracking, monitoring, metering, …
• Semantically structured and
shared data…
•…
“MACHINE
TO
MACHINE”
+ smartdata &ambientcontext
Internet of
THINGS
11
Internet of Things
21
• Según la firma consultora Gartner Group, hacia el año 2020 habrá unos 26.000 millones de dispositivos conectados a Internet.
� Algunos incluso amplían la cifra a 100.000 millones
• La IoT es una red gigantesca de “cosas” conectadas, lo cual incluye también a personas.
� Habrá conexiones digitales entre personas, entre cosas y entre personas y cosas.
• Elementos electrónicos tan ubicuos, sencillos y baratos como los Arduino, Raspberry Pi etc…., facilitan ya la construcción de dispositivos de todo tipo, interactivos con el mundo físico, donde la conexión a internet es algo trivial.
� Una tarjeta de red para Arduino puede costar alrededor de 10€ y las librerías para poder utilizarla están disponibles en Internet, con miles de ejemplos.
� Raspberry, de origen ya incluye la conexión de red.
• El uso de estos dispositivos tendrá un tremendo impacto en la industria, desplazando a los sistemas de control tradicionales.
Internet of Things -2
22
• Una definición práctica y muy útil es la de “Red de nodos interconectados con un protocolo básico, el TCP/IP”.
• La utilización de este protocolo es el elemento que define la IoT, dejando fuera de esta definición todas aquellas redes o conjuntos
de dispositivos periféricos que se conectan a su vez a elementos de IoT con otros protocolos (por ejemplo Bluetooth, RSxxx,
Fieldbus, etc…)
• Todos los dispositivos de IoT, con esta definición, son posible origen o destino de una vulnerabilidad de ciberseguridad.
• Se precisan varias organizaciones para gestionar las necesidades de conectividad, inteoperabilidad, seguridad, privacidad y
exigencias de cumplimiento regulatorio para implementar con éxito una iniciativa IoT
12
Internet of Things -3
23
• No existen esquemas de seguridad que se hayan desplegado, aunque sí está habiendo iniciativas para desarrollarlos, casi todas en embrión y algunas en claro conflicto con otras:
• IEEE Standards Association (IEEE SA) versus European Telecommunications Standards Institute (ETSI) y versus ITU Global Standards Initiative on Internet of Things (IoT-GSI)
• Entre los riesgos típicos de un sistema basado en IoT pueden citarse:
• Acceso inadecuado a información confidencial
• Manipulación remota de dispositivos
• Inyección de malware
• Bloqueo de equipamiento y de plantas industriales
• Ataques físicos utilizando como vector dispositivos IoT
• Etc…
24
