En este artículo daré algunas referencias para implementar un enfoque metodológico, desarrollado sobre la base de experiencias internacionales, con el uso de un estándar específico, IEC62443, para la ciberdefensa de infraestructuras críticas necesarias para el funcionamiento del país.
La situación que estamos viviendo nos está demostrando cada día que las ciberguerras tienen características completamente diferentes a los conflictos tradicionales. Un ciberataque sigue los principios de la guerra asimétrica: no hay un frente bien definido, los ataques pueden llegar en cualquier punto y en cualquier momento. Incluso con recursos limitados, se pueden crear daños sustanciales: por lo tanto, la protección debe difundirse, actualizarse y estructurarse de acuerdo con criterios sólidos, validados y compartidos.
En el mundo de las infraestructuras críticas, la continuidad del suministro de los servicios de utilidad pública tiene la máxima prioridad y debe mantenerse, para garantizar que no se produzcan daños a las personas, el medio ambiente o los sistemas de proceso. Daños que podrían conducir a pérdidas masivas de vidas y capital financiero.
Desde este punto de vista, la legislación NIS ha hecho un fuerte aporte en la identificación de objetivos críticos, identificación de riesgos y ha permitido conocer las medidas reales de ciberprotección existentes en el país.
Una vez completado el primer paso, es importante que ahora se tenga en cuenta la especificidad de los sistemas de control industrial, que casi siempre representan el corazón palpitante de una infraestructura que proporciona servicios esenciales. Piense en un DCS (Distributed Control System) en una planta petroquímica o en una industria farmacéutica, un SCADA (Supervision Control And Data Acquisition) en una red de distribución de electricidad, gas o agua potable, un BMS (Building Management System) para el control de una estructura hospitalaria. Pues bien, todas estas infraestructuras necesitan ser protegidas en el momento oportuno para asegurar su funcionamiento, según reglas claras, bien definidas y fáciles de aplicar, en cuanto a tecnologías y procesos. Y que sean comprensibles y aplicables en un contexto que no está puramente dedicado a las Tecnologías de la Información (TI), sino que está influenciado por el modus operandi de quienes interactúan con el mundo ciberfísico, y muchas veces no tienen una formación profunda en ESO.
Seguridad y proteccion
En el vocabulario de los sistemas de control industrial se utiliza una terminología derivada del lenguaje anglosajón que distingue entre Safety y Security.
En italiano no tenemos esta distinción, hablamos de "seguridad" en un sentido que lo abarca todo, pero la distinción de habla inglesa tiene su propia razón: "Seguridad" tiene que ver con la seguridad HSE, es decir, Salud, Seguridad y Medio Ambiente. (literalmente: Salud, Seguridad y Medio Ambiente), mientras que "Seguridad" se ocupa de la seguridad de los datos, que en el mundo industrial no son, sin embargo, los relativos a los datos personales, sino los datos necesarios para mantener un proceso activo y funcionando correctamente.
En algunas centrales existen sistemas destinados a salvaguardar la Seguridad, los denominados Sistemas Instrumentados de Seguridad (SIS) que tienen la función de actuar como línea de defensa extrema antes de que un sistema pueda producir daños catastróficos. A modo de ejemplo, los SIS son los sistemas que supervisan una parada de emergencia antes de que pueda producirse una explosión en un reactor de proceso, al cierre de una parte de la planta sujeta a un incendio, para que el fuego no se propague, son los sistemas que regulan el tráfico en un túnel. Bueno, estos sistemas ya deben cumplir con niveles de seguridad SIL (Safety Integrity Level) muy precisos que están definidos por estándares internacionales (entre otros IEC 61511, IEC61508), también tomados de leyes nacionales que dan escalas de seguridad a respetar en función de la los riesgos a mitigar valorados sobre los perjuicios que pudieran ocasionarse por su mal funcionamiento.
La escala de seguridad para la seguridad va desde SIL1: valor mínimo, hasta SIL4: máxima seguridad para el sistema.
El cumplimiento del SIL es una práctica utilizada desde hace tiempo y aceptada en todos los sectores industriales e infraestructuras críticas y permite definir de forma clara y precisa cómo proteger a las personas, ya sean trabajadores, usuarios o ciudadanos, de los daños que puedan sufrir. ser causada por la maquinaria, entendida en su sentido más amplio.
De manera similar al método de clasificación de la "seguridad" con una escala de fácil comprensión y aplicabilidad, existe un estándar "de facto" específico para la protección de los sistemas de control industrial OT (Operational Technology) contra ataques cibernéticos: IEC62443, que ahora asume un valor horizontal, que es válido en cualquier contexto infraestructural donde existan sistemas o redes a proteger de acciones malévolas (seguridad).
El estándar nació en los Estados Unidos a principios de la década de 2000 como ISA99 (Sociedad Internacional de Automatización) y luego se implementó internacionalmente como IEC62443 (Comisión Electrotécnica Internacional). Una de las partes de este estándar (módulo 3-3) define los niveles de ciberseguridad que se implementarán de acuerdo con los riesgos y amenazas contra los que protegerse.
¿Cuáles son las amenazas? ¿Cómo se pueden clasificar y luego implementar medidas de protección?
Al respecto, existen varias clasificaciones, pero una de las más efectivas es la del FBI que identifica lo siguiente:
La norma IEC62443-3-3 define los Niveles de Seguridad, como niveles de seguridad a implementar, en función de parámetros de riesgo atribuibles a las amenazas enumeradas anteriormente, en base a cuatro factores principales: Motivaciones, Habilidades, Medios y Recursos.
La aplicación de un nivel de seguridad SL4 permite que una infraestructura crítica tenga una protección muy alta para enfrentar ataques de ciberguerra desencadenados por APT (Advanced Persistent Threats), es decir, por organizaciones que cuentan con amplios recursos, medios sofisticados, conocimiento profundo en la materia de Sistemas de Control Industrial (ICS) y que tienen fuertes motivaciones.
¿Cómo y por qué evaluar un Nivel de Seguridad SL?
Una SL representa un parámetro objetivo, no sujeto a desviaciones que pueden ser heredadas de la experiencia del individuo, de la persuasión de un proveedor de tecnología o de la historia previa de la empresa. El estándar IEC62443 define 7 parámetros (Requisitos Funcionales) sobre los cuales evaluar el nivel de seguridad: Control de Autenticación de Identificación, Control de Usuario, Integridad de Datos, Confidencialidad de Datos, Flujo de Datos Restringido, Respuesta Oportuna a Eventos, Disponibilidad del Sistema.
Cada FR tiene Controles Adicionales a respetar, dependiendo del grado de seguridad que se desee obtener. Para llegar a evaluar una SL existen checklists específicos para sistemas y redes, con más de 100 ítems a revisar.
¿Cuál es la ventaja de introducir un enfoque "basado en estándares" para proteger la infraestructura del país? Tal enfoque brinda la posibilidad de definir claramente un nivel mínimo de seguridad, basado en el riesgo que un ataque cibernético podría tener en la infraestructura misma.
Por parte del operador, se propone un modelo de clasificación que ya ha entrado en su modus operandi en materia de seguridad física con los niveles SIL definidos anteriormente. Y como beneficio adicional, los operadores tienen la oportunidad de definir una ruta de seguridad que se puede desarrollar en "hitos" para alcanzar un objetivo de nivel de seguridad claro, en un marco de tiempo razonable.
El enfoque de implementar protecciones cibernéticas según IEC62443 con Security Level está cada vez más extendido a nivel internacional. De hecho, hoy en día muchos proyectos, especialmente en el extranjero, exigen el cumplimiento de los niveles SL2 o SL3, donde las infraestructuras se consideran críticas y los efectos de ataques maliciosos pueden tener consecuencias para la población o el medio ambiente.
En este sentido, basta recordar cómo en 2015, tras el ciberataque de BlackEnergy a la red eléctrica de Kiev, que provocó un apagón en medio de la ciudad, los análisis forenses demostraron que la implantación de un Nivel de Seguridad 2 en el sistema de control de la red eléctrica habría impedido que el exploit tuviera éxito.
Conclusiones
En conclusión, creo que ha llegado el momento de prestar especial atención no solo a la defensa de la privacidad de los datos personales o la retención de datos comerciales, sino también a la defensa de las infraestructuras críticas en términos de continuidad de operación y riesgos HSE, aplicando un estándar dedicado a la protección cibernética de los sistemas de control industrial en un sentido amplio, como es el IEC61443.
Es importante que se preste atención a brindar a los operadores de servicios esenciales ciertas guías para implementar medidas de protección del sistema de control homogéneo. Se deberían exigir niveles mínimos de ciberseguridad, como por ejemplo para proteger la Seguridad de las infraestructuras críticas, como ya ocurre con la Seguridad. La protección de las infraestructuras del país y los sistemas de control industrial deben fijarse con estándares específicos, y niveles de seguridad objetivos y medibles, de lo contrario podríamos correr el riesgo de encontrarnos a oscuras o sin agua, pero con los datos personales de nuestras facturas bien resguardados. y preservado.
Umberto Cattaneo (especialista certificado en IEC62443, PMP)
Referencias
GUÍA DE INICIO RÁPIDO: UNA VISIÓN GENERAL DE LAS NORMAS ISA / IEC 62443, ISA GLOBAL CYBERSECURITY ALLIANCE,
https://gca.isa.org/blog/download-the-new-guide-to-the-isa/iec-62443-cyb...
SERIE DE NORMAS 62443: AUTOMATIZACIÓN Y CONTROL DE SEGURIDAD INDUSTRIAL, COMITÉ ISA99
Energía negra: https://attack.mitre.org/software/S0089/ https://www.cisa.gov/uscert/ics/alerts/ICS-ALERT-14-281-01B
