Tecnalia ciber jornadalogistica ciberseguridad v1 0
-
Upload
cluster-de-movilidad-y-logistica-de-euskadi -
Category
Documents
-
view
223 -
download
1
description
Transcript of Tecnalia ciber jornadalogistica ciberseguridad v1 0
Ciberseguridad en Transporte y Logística Protección de la Cadena de Suministro ante amenazas cibernéticas
Visión tradicional de la Seguridad en CdS
Muy enfocada a la seguridad física
Algunas iniciativas relacionadas
ISO 28000
C-TPAT
Operador Económico Autorizado
Pero …. el avance en el uso de TICs debe hacernos tener también conciencia de las ciberamenazas.
Seguridad en la Cadena de Suministro
Incidencias en Transporte y Logística Incidencias de Seguridad
Fuente: The Global State of Information Security® Survey 2016 (PwC)
Dirigidas Accidentales / efecto secundario
Tipos de amenazas
Ataque centrado en conseguir objetivo concreto
Puede utilizar otras áreas o dispositivos como “trampolín”
Infección propagada desde otro área
Malware
Errores humanos
Tipos de amenazas
Tipos de adversarios y su motivación
Ciber Espionaje: Explotación paciente, persistente y creativa para conseguir ventajas estratégicas en los ámbitos económicos, políticos y militar
Tipos de adversarios y sus motivaciones
Ciber Guerra: Operaciones cibernéticas con el fin de destruir o degradar las infraestructuras de un país
Ciber Crimen: Actividades criminales con el fin de obtener beneficios económicos
Ciber Terrorismo: Convergencia del ciberespacio y del terrorismo, causando pérdida de vidas o graves daños económicos
Ciber Activismo: Ciberataques que tratan de influir en la opinión y / o reputación de las organizaciones, afiliaciones o causas específicas
Ciber Malicia: Ataques arbitrarios de aficionados, causando molestias y daños menores
Ejemplos de Ciber-amenazas en la Cadena de Suministro
Plantas de producción inutilizadas
• Posibles puntos de ataque: SCADA:
• Aplicando métodos avanzados de spear fishing, atacantes consiguen infiltrarse en los sistemas de la planta y manipular componentes de control. Como consecuencia un alto horno sufrió graves daños.
• Los atacantes tenían avanzadas capacidades técnicas y experiencia en seguridad TI, y un detallado conocimiento de los procesos de fabricación utilizados.
• La motivación detrás de este ataque es desconocida por las autoridades
Ciber-amenazas en CdS
Fuente: Bundesamt für Sicherheit in der Informationstechnik
Ataque dirigido a una planta de acero en Alemania
Ciber-amenazas en CdS
Ransomware: el “secuestro” de datos • A través de software
malintencionado se restringe el acceso a determinadas partes o archivos del sistema, y se pide un rescate a cambio de eliminar esta restricción .
• En muchos casos se cifran los datos o archivos del sistema operativo inutilizando el dispositivo.
• El rescate puede rondar los cientos de euros en Bitcoins.
• Muchas PYMEs (por ejemplo, empresas de transporte) son vulnerables y pueden sufrir este tipo de ataques.
• La motivación detrás del ataque suele ser principalmente económica.
Ciber-amenazas en CdS
Puertos, ferrocarril, … como Infraestructuras Críticas
• Organización criminal contrata a hackers para desarrollar SW y HW que les permita acceder a los sistemas de información con detalles de contenedores y su localización.
• Primer ataque a través de software malicioso vía email.
• Tras instalar firewall, desarrollo de llaves HW instaladas en PC.
• Operando unos 2 años.
Fuente: Maritime Security Outlook
• La motivación detrás del ataque suele estar asociada a actos de cibercrimen, ciberterrorismo o ciberguerra
Ciber-amenazas en CdS
Data breach: protección/privacidad de los datos • TARGET, una de las mayores
empresas de retail de USA, sufrió el robo de datos personales y financieros de 110 millones de clientes.
• Los atacantes usaron credenciales de un proveedor con una política de seguridad “débil” para instalar malware llegando a un servidor.
• Instalado malware en los Terminales de Punto de Venta.
• El ataque se produjo durante 2 semanas sin ser apreciado.
• Los datos robados pueden ser vendidos en el mercado negro de la red.
Fuente: DiarioLibre.com
• La motivación de estos ataques suele estar asociada a actos de ciberespionaje, cibercrimen o cibermalicia.
Directiva NIS
Protección de la Cadena de Suministro
Acuerdo sobre la primera ley europea de seguridad cibernética (Network
and Information Security Directive).
Propuesta por la Comisión en 2013 y actualmente en los últimos pasos de negociación entre el Parlamento y el Consejo Europeo
Va a requerir a las compañías de sectores críticos – tales como energía transporte, banca y salud – así como a proveedores de servicios de internet - plataformas de comercio electrónico, redes sociales, motores de búsqueda, cloud, webmail, etc- a adoptar prácticas de gestión de riesgos y reportar información sobre incidentes.
Ley 8/2011 de 28 de abril (Ley PIC)
Protección de la Cadena de Suministro
Transposición de la Directiva 2008/114/CE a la legislación nacional.
Establece la creación del Centro Nacional de Protección de Infraestructuras Críticas (CNPIC) como órgano de asistencia a la Secretaría de Estado de Seguridad. Secretaría de Estado de Seguridad es responsable para la elaboración del
catálogo de infraestructuras críticas (considerado información clasificada).
Operadores críticos deben colaborar con las autoridades competentes Actualizar datos disponibles con periodicidad anual.
Colaborar en la elaboración de planes estratégicos sectoriales y análisis de riesgos.
Elaborar el plan de seguridad del operador (PSO).
Elaborar un plan de protección específico (PPE)
Designar un responsable de seguridad y enlace (habilitado como Director de Seguridad)
Designar un delegado de seguridad
Protección de la Cadena de Suministro
No hay soluciones mágicas que garantizan protección total Requiere adoptar un enfoque integral
que implique todos los recursos de una organización y a todas las organizaciones de la cadena.
Personas Procesos
Tecnología
Objetivo principal CdS resiliente Resiliencia: en sistemas tecnológicos, capacidad de un sistema de soportar y recuperarse ante desastres y perturbaciones
Protección de la Cadena de Suministro
Contacto: [email protected]