Tecnalia ciber jornadalogistica ciberseguridad v1 0

Ciberseguridad en Transporte y Logística Protección de la Cadena de Suministro ante amenazas cibernéticas

Visión tradicional de la Seguridad en CdS

Muy enfocada a la seguridad física

Algunas iniciativas relacionadas

ISO 28000

C-TPAT

Operador Económico Autorizado

Pero …. el avance en el uso de TICs debe hacernos tener también conciencia de las ciberamenazas.

Seguridad en la Cadena de Suministro

Incidencias en Transporte y Logística Incidencias de Seguridad

Fuente: The Global State of Information Security® Survey 2016 (PwC)

Dirigidas Accidentales / efecto secundario

Tipos de amenazas

Ataque centrado en conseguir objetivo concreto

Puede utilizar otras áreas o dispositivos como “trampolín”

Infección propagada desde otro área

Malware

Errores humanos

Tipos de amenazas

Tipos de adversarios y su motivación

Ciber Espionaje: Explotación paciente, persistente y creativa para conseguir ventajas estratégicas en los ámbitos económicos, políticos y militar

Tipos de adversarios y sus motivaciones

Ciber Guerra: Operaciones cibernéticas con el fin de destruir o degradar las infraestructuras de un país

Ciber Crimen: Actividades criminales con el fin de obtener beneficios económicos

Ciber Terrorismo: Convergencia del ciberespacio y del terrorismo, causando pérdida de vidas o graves daños económicos

Ciber Activismo: Ciberataques que tratan de influir en la opinión y / o reputación de las organizaciones, afiliaciones o causas específicas

Ciber Malicia: Ataques arbitrarios de aficionados, causando molestias y daños menores

Ejemplos de Ciber-amenazas en la Cadena de Suministro

Plantas de producción inutilizadas

• Posibles puntos de ataque: SCADA:

• Aplicando métodos avanzados de spear fishing, atacantes consiguen infiltrarse en los sistemas de la planta y manipular componentes de control. Como consecuencia un alto horno sufrió graves daños.

• Los atacantes tenían avanzadas capacidades técnicas y experiencia en seguridad TI, y un detallado conocimiento de los procesos de fabricación utilizados.

• La motivación detrás de este ataque es desconocida por las autoridades

Ciber-amenazas en CdS

Fuente: Bundesamt für Sicherheit in der Informationstechnik

Ataque dirigido a una planta de acero en Alemania


Ransomware: el “secuestro” de datos • A través de software

malintencionado se restringe el acceso a determinadas partes o archivos del sistema, y se pide un rescate a cambio de eliminar esta restricción .

• En muchos casos se cifran los datos o archivos del sistema operativo inutilizando el dispositivo.

• El rescate puede rondar los cientos de euros en Bitcoins.

• Muchas PYMEs (por ejemplo, empresas de transporte) son vulnerables y pueden sufrir este tipo de ataques.

• La motivación detrás del ataque suele ser principalmente económica.


Puertos, ferrocarril, … como Infraestructuras Críticas

• Organización criminal contrata a hackers para desarrollar SW y HW que les permita acceder a los sistemas de información con detalles de contenedores y su localización.

• Primer ataque a través de software malicioso vía email.

• Tras instalar firewall, desarrollo de llaves HW instaladas en PC.

• Operando unos 2 años.

Fuente: Maritime Security Outlook

• La motivación detrás del ataque suele estar asociada a actos de cibercrimen, ciberterrorismo o ciberguerra


Data breach: protección/privacidad de los datos • TARGET, una de las mayores

empresas de retail de USA, sufrió el robo de datos personales y financieros de 110 millones de clientes.

• Los atacantes usaron credenciales de un proveedor con una política de seguridad “débil” para instalar malware llegando a un servidor.

• Instalado malware en los Terminales de Punto de Venta.

• El ataque se produjo durante 2 semanas sin ser apreciado.

• Los datos robados pueden ser vendidos en el mercado negro de la red.

Fuente: DiarioLibre.com

• La motivación de estos ataques suele estar asociada a actos de ciberespionaje, cibercrimen o cibermalicia.

Directiva NIS

Protección de la Cadena de Suministro

Acuerdo sobre la primera ley europea de seguridad cibernética (Network

and Information Security Directive).

Propuesta por la Comisión en 2013 y actualmente en los últimos pasos de negociación entre el Parlamento y el Consejo Europeo

Va a requerir a las compañías de sectores críticos – tales como energía transporte, banca y salud – así como a proveedores de servicios de internet - plataformas de comercio electrónico, redes sociales, motores de búsqueda, cloud, webmail, etc- a adoptar prácticas de gestión de riesgos y reportar información sobre incidentes.

Ley 8/2011 de 28 de abril (Ley PIC)


Transposición de la Directiva 2008/114/CE a la legislación nacional.

Establece la creación del Centro Nacional de Protección de Infraestructuras Críticas (CNPIC) como órgano de asistencia a la Secretaría de Estado de Seguridad. Secretaría de Estado de Seguridad es responsable para la elaboración del

catálogo de infraestructuras críticas (considerado información clasificada).

Operadores críticos deben colaborar con las autoridades competentes Actualizar datos disponibles con periodicidad anual.

Colaborar en la elaboración de planes estratégicos sectoriales y análisis de riesgos.

Elaborar el plan de seguridad del operador (PSO).

Elaborar un plan de protección específico (PPE)

Designar un responsable de seguridad y enlace (habilitado como Director de Seguridad)

Designar un delegado de seguridad


No hay soluciones mágicas que garantizan protección total Requiere adoptar un enfoque integral

que implique todos los recursos de una organización y a todas las organizaciones de la cadena.

Personas Procesos

Tecnología

Objetivo principal CdS resiliente Resiliencia: en sistemas tecnológicos, capacidad de un sistema de soportar y recuperarse ante desastres y perturbaciones


Contacto: [email protected]

Tecnalia ciber jornadalogistica ciberseguridad v1 0

Documents

Transcript of Tecnalia ciber jornadalogistica ciberseguridad v1 0