1

Controles y auditoría aplicados a los sistemas de control industrial en infraestructuras críticas

En anteriores publicaciones de la serie analizamos los riesgos que se han de tener en consideración a la hora de hablar de los ICS en infraestructuras críticas. Asimismo, se puso de relieve cuán importantes eran estos sistemas de cara a preservar la integridad de este tipo de complejos y su correcto funcionamiento.

Llegados a este punto, a lo largo de este artículo se analizarán los controles y auditorías pertinentes para poder, según el caso, prevenir o mitigar los efectos que los riesgos puedan suponer.

Antes de entrar en detalle sobre las normativas que existen actualmente y que son aplicables en estos ámbitos, explicaremos ciertos controles que resultan cruciales a la hora de llevar a cabo estas labores de auditoría en este tipo de infraestructuras, al margen de que sean contemplados o no en las diferentes normativas existentes.

Controles recomendables

En primer lugar, una de las tareas más importantes, es realizar un inventariado de activos (Figura 1). Esta tarea implica uno de los mayores retos a los que puede enfrentarse una empresa industrial, y aún más si parte de cero. Las empresas, con la llegada de nuevas tecnologías y la industria 4.0 adaptaron las maneras de organizar los medios de producción, dotando a los procesos de mayor inteligencia y desplegando un gran número de dispositivos para alcanzar un mayor nivel de control de los procesos industriales. En esta línea, se empiezan a desplegar un mayor número de sensores, actuadores, gateways para la concentración de comunicaciones, etc. relacionados con el IIoT. Dado que tal cantidad de dispositivos origina una cantidad de datos casi inabarcable por algunas infraestructuras, se hace necesario el uso de tecnologías que ya eran ampliamente utilizadas en entornos TI, como la tecnología Cloud o el uso de machine learning. Esta rápida evolución ha provocado que sea habitual encontrar en los entornos industriales un inventario de activos incompleto o inexistente en muchos casos. Entre los beneficios que reporta realizar un inventario de activos se podrían destacar: la mejora frente a posibles ciberataques, conociendo todos los integrantes del entorno tener un conocimiento claro sobre las vulnerabilidades conocidas que afectan a todos ellos y corregirlas; mejoras en la seguridad de la arquitectura de red, reestructuración de la red, despliegue de sondas, etc.; mejoras en la disponibilidad y eficiencia de los procesos al tener todos los elementos implicados más controlados.[1]

Figura 1. Elementos de un entorno industrial.

En segundo lugar, es importante igualmente contar con un proceso de gestión y evaluación de vulnerabilidades correctamente diseñado. En otras palabras, en los sistemas ICS actuales sigue dándose una amplia variedad de vulnerabilidades de seguridad, vulnerabilidades que ahora además pueden realizarse directamente desde Internet en muchas ocasiones, desde dispositivos intermedios en la red de ofimática que tienen acceso a los dispositivos de nivel de campo, etc. Por lo tanto, es crítico identificar y analizar las vulnerabilidades de seguridad y las debilidades de estos sistemas para desarrollar soluciones de seguridad y mecanismos de protección.[2]

Para ello, es crucial establecer una serie de fases que gestionen el ciclo de vida de las vulnerabilidades que afecten a la organización: detección y validación, identificar las vulnerabilidades presentes en los activos y validar que efectivamente afectan a los sistemas de activos industriales; análisis, valoración del riesgo que suponen para la organización teniendo en consideración la severidad y criticidad de las mismas; notificación de las vulnerabilidades a los responsables junto con medidas de mitigación y resolución; resolución, procediendo a aplicar las resoluciones pertinentes (Figura 2) sobre las vulnerabilidades detectadas; validación y cierre, verificación de la correcta aplicación de la mitigación/resolución y cierre posterior.

Figura 2. Métodos de resolución aplicables en la gestión de vulnerabilidades.

En tercer lugar, realizar una segmentación apropiada de las redes es una de las medidas más importantes a tener en consideración de cara a conseguir un aislamiento lo mayor posible de ciberataques dirigidos a las redes de telecomunicaciones implementadas a lo largo de la infraestructura. Es crucial conseguir esta independencia y seguridad de todas las comunicaciones involucradas en los procesos industriales, así como el aseguramiento y bastionado de los sistemas existentes.[3]

Divide y vencerás: Segmentación al rescate | INCIBE-CERT
Figura 3. Ejemplo de red segmentada.

Normativas existentes

Históricamente, la normativa en los ICS se ha centrado principalmente en aspectos propios del funcionamiento de los dispositivos o en la especificación de protocolos de comunicación. No obstante, en los últimos años han comenzado a surgir diferentes grupos de normas y guías de seguridad[4] dirigidas a este tipo de sistemas y la protección de las instalaciones, entre ellas:

  • ISA99

Describe los elementos necesarios para la implantación de un sistema de gestión de la ciberseguridad y cómo conocer los requerimientos de cada elemento. recoge una serie de herramientas de seguridad, al igual que su modo de implantación y despliegue dentro de los ICS.

  • IEC 62443

Evolución de la anterior elaborada por el grupo TC65 de la IEC, con la intención de completarla y ampliarla. Consta de una serie de 13 documentos, 5 informes técnicos, 1 especificación técnica y 7 guías, agrupadas en cuatro bloques según su contenido: General, Políticas y procedimientos, Sistema y Componentes.

IEC 62443 – How to achieve strong industrial security - Infineon  Technologies
Figura 4. IEC 62443
  • NIST SP 800-82

Realizada por el Instituto Nacional de Estándares y Tecnología (NIST) estadounidense es proporcionar una guía para la seguridad de los sistemas de control. Define topologías típicas, amenazas y vulnerabilidades, así como recomendaciones y contramedidas.

  • NIST SP 800-53

Proporciona una guía de controles de seguridad para los sistemas de información. Aplica a todos los componentes de un sistema de información que procesa, almacena o transmite información.

  • RG 5.71

Elaborada por la comisión de regulación nuclear de los EE. UU. (NRC), establece los controles para asegurar la protección de las computadoras, comunicaciones y redes frente a posibles ciberataques. Estos controles se dividen en tres categorías: técnicos, operacionales y gestión.

  • NERC CIP

Propiedad del organismo regulador de la energía de los EE. UU. (NERC), consiste en una serie de 9 guías, relacionadas la amplia mayoría con la ciberseguridad ponen el foco en los ciberactivos de implicados en procesos de intercambio de datos y servicios.

Watch Fundamentals of nerc cip | Prime Video
Figura 5. NERC CIP
  • IEC 62351

Se divide en 11 documentos independientes, siendo el primero la introducción a la norma, el segundo el glosario de términos y el resto el conjunto de medidas de seguridad, aplicadas por familias de protocolos. Los últimos documentos unidos a la norma definen la implementación de medidas como el control de accesos basado en roles, gestión de credenciales, etc.

IEC 62351 Standards
Figura 6. IEC 62351
  • IEEE 1711-2010

Define un protocolo serie de seguridad para dos tipos de módulos criptográficos: el módulo criptográfico SCADA (SCM) para proteger el canal serie SCADA; y el módulo criptográfico de mantenimiento (MCM) para proteger el canal de mantenimiento, habitualmente implementado sobre modem.

  • IEEE 1686-2007

Define los requisitos a cumplir para acomodarse  los programas denominados CIP (Critical Infraestructures Protection). Es un estándar que regula qué salvaguardas, mecanismos de auditoría e indicadores de alarma sobre dispositivos involucrados en procesos industriales.

De esta manera, tal y como podemos comprobar existen multitud de regulaciones adoptables ya adaptables a este tipo de entornos, cuyo aseguramiento como ya sabemos es crítico por naturaleza. Cabe destacar igualmente que, todas estas infraestructuras deberían estar preparadas para el fallo, es decir, no pueden estar diseñadas para funcionar siempre en entornos controlados y con normalidad única y exclusivamente, de lo cual se entiende que han de contar con un plan de continuidad cuidadosamente elaborado. Un plan que se capaz de dotar de protección, o modos alternativos de operación para aquellas actividades y procesos del negocio que si fuesen interrumpidas podrían ocasionar daños severos o potencialmente significantes a las organizaciones. Para ello, se debería incluir la gestión de crisis y comunicaciones, un plan  de recuperación del negocio y un plan para la recuperación de los sistemas IT en caso de desastre.[5]

Conclusiones

En resumidas cuentas, en el actual panorama de revolución tecnológica y explosión de la industria 4.0, adoptar y gestionar todo este tipo de controles  de auditoría adquiere un nivel de importancia aún mayor si cabe. Proteger este tipo de infraestructuras es una tarea indispensable que no es posible postergar o dejar a un lado.

Referencias

[1] S21Sec. «Inventario de activos.» 2020. 3-6. (último acceso: 23 de noviembre de 2020).

[2] S21Sec. «Evaluación de ciberseguridad y gestión de vulnerabilidades en entornos industriales.» 2020. 3-9. (último acceso: 23 de noviembre de 2020).

[3] S21Sec. «Evaluación y metodología de detección de anomalías.» 2020. (último acceso: 23 de noviembre de 2020).

[4] INCIBE-CERT. Normativas de seguridad en sistemas de control. 5 de julio de 2015. https://www.incibe-cert.es/blog/normativas-seguridad-sistemas-control (último acceso: 24 de noviembre de 2020).

[5] KnowledgeLeader. «A Guide to Business Continuity Management.» Julio de 2020. https://www.knowledgeleader.com/knowledgeleader/content.nsf/web+content/pbguidetobusinesscontinuitymanagementfrequentquestionsjuly2020 (último acceso: 24 de noviembre de 2020).