Blog del CCI

sábado, 27 de abril de 2013

Los dispositivos de seguridad en entornos industriales sólo saben latín

Los escasos dispositivos de seguridad que se encuentran instalados en las redes industriales, en pocas ocasiones son equipos especialmente diseñados para funcionar en estos entornos, sino que se trata de los mismos dispositivos (principalmente firewalls) que podemos encontrar en las redes corporativas.

Los firewalls actuales son capaces de analizar el contexto del tráfico que los atraviesa, lo cual les permite implantar medidas de protección muy sofisticadas y granulares. Sin embargo esta capacidad está asociada a la comprensión de unos protocolos determinados que por norma general, no incluyen a los protocolos utilizados en el entorno industrial. Por otra parte, aunque algunos fabricantes ya comienzan a poner a disposición de sus clientes dispositivos con estas capacidades, muy pocas veces llegan a ser instalados en redes industriales. Uno de los principales motivos para esto es el desconocimiento que el personal de planta tiene de los fabricantes y dispositivos de seguridad TI, pues los asocia a unas problemáticas que consideran lejos de ellos. Otro de los motivos es la desconfianza que los responsables de la producción tienen hacia cualquier dispositivo que pueda influir en la conectividad de sus sistemas, con lo que suelen elegir lo que consideran el menor de los males: un dispositivo del fabricante utilizado habitualmente en la parte corporativa y que realice el filtrado más simple posible.

En definitiva, en la mayor parte de las ocasiones los firewalls instalados en las redes industriales se limiten a realizar simples filtrados a nivel de transporte. Es decir, se limitan a controlar el tráfico de red basándose en los valores de las direcciones IP y los puertos TCP/UDP de origen y destino. Desde luego, esto es un gran avance en ciberseguridad respecto a no tener dicho filtrado, pero palidece comparado con las capacidades potenciales de estos dispositivos.

Esto genera un círculo vicioso en el que los usuarios finales no demandan este tipo de soluciones y por tanto la mayor parte de los fabricantes no invierten en su desarrollo, y los que lo hacen no ven sus dispositivos instalados en las redes industriales. El resultado final es un mercado que no acaba de explotar para el que, sin embargo, existe una necesidad, aunque los implicados la desconozcan.

El incremento de la conciencia, por parte de los usuarios finales, de la necesidad de soluciones de ciberseguridad industrial supondrá un gran campo de mejora para los fabricantes de soluciones de seguridad en el que podrán aplicar tecnologías que ya existen a un mercado que está esperando ser desarrollado y en el que todavía tienen que aparecer grandes actores. De esta manera se generará un incremento de la demanda por parte de los usuarios que motivará la aparición de soluciones innovadoras y de fabricantes especializados.

jueves, 18 de abril de 2013

Ciberseguridad y el suministro eléctrico de la industria


En Europa, alrededor del 40% de la electricidad es consumida por instalaciones industriales para el funcionamiento de motores, iluminación, procesos químicos y otros usos.

Probablemente, de todas las complejas interdependencias que existen entre las infraestructuras industriales, esta sea la más evidente, pues el funcionamiento de la mayoría de las plantas industriales depende de subestaciones eléctricas cada vez más eficientes gracias a la automatización establecida mediante protocolos como el IEC 61850 (Power Utility Automation). Sin embargo, en muchas ocasiones no se están teniendo en cuenta los riesgos de ciberseguridad asociados a estas dependencias.

La convergencia tecnológica en protocolos de comunicación que se está viviendo en las instalaciones industriales ha abaratado los costes de implantación y operación al tiempo que han permitido extender las capacidades de interoperabilidad alcanzando límites que hasta hace poco eran impensables, proporcionando gran flexibilidad dando soporte a cualquier arquitectura física o funcional así como a futuras ampliaciones de las redes de comunicaciones de la subestación. Las redes Ethernet se han convertido en tecnología habitual en las instalaciones industriales y los switches se han convertido en los elementos básicos encargados de garantizar la correcta y eficiente transmisión de los mensajes de control y protección entre IEDs (Intelligent Electronic Devices). Estos switches incorporan funciones avanzadas como RSTP (Rapid Spanning Tree Protocol), Broadcast Storm Control, Calidad de Servicio (QoS), además de la capacidad de ser gestionados por SNMP. Así mismo, utilizan normas como IEC 60870-5-101 (Norma internacional para la monitorización de los sistemas de energía, sistemas de control y sus comunicaciones asociadas). De esta manera, se pueden alcanzar los requisitos de interoperabilidad de los distintos elementos que forman parte del modelo de subestación eléctrica definido en el estándar IEC 61850 y se pueden obtener certificados de conformidad generados por laboratorios independientes.

Sin embargo, durante el desarrollo del estándar IEC 61850 se ha hecho foco principalmente en la funcionalidad y en la interoperabilidad y no se han tenido en cuenta aspectos de ciberseguridad. En el escenario actual de convergencia tecnológica e interconexión entre redes corporativas, no tener en cuenta la ciberseguridad de las instalaciones supone un gran peligro y debería ser inadmisible. Con el fin de solucionar esta carencia, se está trabajando en el estándar IEC 62351 para dotar de seguridad a los protocolos de comunicación para sistemas de energía. Esto es un adelanto evidente en materia de ciberseguridad, sin embargo, no soluciona el problema del gran número de instalaciones vulnerables que existen hoy en día.

Una manera de abordar este problema es afrontarlo desde la perspectiva de las instalaciones dependientes. Al igual que a nadie extraña que el responsable de una instalación exija a sus proveedores acreditar que dedican los recursos necesarios para garantizar aspectos de la seguridad física, debería suceder lo mismo para la ciberseguridad, exigiendo la realización de análisis de riesgos de ciberseguridad sobre las instalaciones que proporcionan el suministro eléctrico, así como verificar la implantación de medidas preventivas y que los acuerdos de nivel de servicio contemplen los riesgos generados por las nuevas amenazas y vulnerabilidades. De esta manera, además de elevar las garantías del suministro eléctrico de las instalaciones, se comenzaría a sensibilizar tanto a proveedores como a usuarios acerca de la necesidad de crear y mantener sistemas ciberseguros.

miércoles, 10 de abril de 2013

Conocimiento: La principal carencia en la Ciberseguridad Industrial


El problema fundamental que encontramos en el ámbito de la Ciberseguridad Industrial es la escasez de conocimiento específico sobre esta materia entre los diferentes actores involucrados en la implantación, operación y mantenimiento de los sistemas de control industrial, lo cual causa que los responsables de dichos sistemas no sean conscientes de los riesgos que están afrontando, y por tanto no se tomen las medidas adecuadas para tratarlos. Creando, de esta manera, instalaciones vulnerables que podrían comprometer la seguridad de procesos físicos con resultados potencialmente desastrosos.

Esto tiene un efecto dominó en el que la falta de concienciación sobre la necesidad de ciberseguridad en los entornos industriales se transmite a los distintos actores involucrados creando una especie de círculo vicioso del que hay difícil salida.

Los usuarios finales, al no ser conscientes de los problemas que están afrontando no exigen a sus suministradores soluciones a dichos problemas. Por tanto, los integradores de sistemas y los fabricantes de componentes no incorporan de manera habitual aspectos de ciberseguridad desde el diseño. Esta actitud, que históricamente estaba justificada por el aislamiento y la dificultad de acceso remoto a estos sistemas de control, hoy en día no puede mantenerse debido a las interconexiones entre las redes de control, las redes corporativas y las interdependencias entre ellas.

Por otra parte, los profesionales que desean adquirir conocimientos sobre ciberseguridad industrial se encuentran con que existe poca documentación sobre técnicas, métodos y metodologías de ciberseguridad que tengan en cuenta las necesidades específicas de los entornos industriales. Además, buena parte de la documentación existente carece de la profundidad técnica deseable o trata los problemas desde puntos de vista clásicos de TI o de la seguridad física, que como se ha comprobado en distintas ocasiones, puede provocar problemas adicionales a los que se intenta solucionar.

La solución a este problema pasa por la realización de labores de concienciación y formación que contribuyan a mejorar el conocimiento sobre los problemas afrontados por estos sistemas y a aumentar el número de profesionales interesados en la Ciberseguridad Industrial. Logrando de esta manera abordar el desarrollo de documentación, metodologías y herramientas de ciberseguridad aplicables a los entornos industriales.

A esta concienciación contribuye en gran medida la aparición en prensa y medios de comunicación de incidentes relacionados con la ciberseguridad en entornos industriales o de herramientas (i.e. Shodan) que permitirían a cualquiera con conocimientos mínimos comprometer la seguridad de sistemas de control a través de Internet. Sin embargo, para poder aprovechar el impulso de esta manera generado, deben existir iniciativas alineadas con las necesidades de la industria y el mercado que sean capaces de diseminar de manera adecuada el conocimiento necesario para mejorar de manera general la ciberseguridad.

viernes, 5 de abril de 2013

El CCI presenta su visión de la Ciberseguridad Industrial en el XI Seminario Iberoamericano de Seguridad en las Tecnologías de la Información en La Habana (Cuba)


Durante los pasados días 19 al 22 de Marzo, se celebró en La Habana (Cuba) la undécima edición del Seminario Iberoamericano de Seguridad en las Tecnologías de la Información en el que el Centro de Ciberseguridad Industrial fue invitado a presentar, por primera vez en un foro Iberoamericano de ese nivel, la situación, carencias, necesidades y retos que la Ciberseguridad Industrial incorpora al actual ecosistema del mercado y ámbito industrial.

La presentación de Samuel Linares, Director del Centro, analizó de forma detallada los distintos incidentes, eventos, noticias y estudios que en los últimos 2 años han aparecido y que han hecho que el entorno tecnológico, de amenazas y riesgo, haya cambiado totalmente para una organización industrial (sea ésta infraestructura crítica o no). Desde una perspectiva estratégica de estado, pasando por perspectivas sectoriales y llegando a la perspectiva individual de una organización industrial, la presentación retó a los asistentes a tomar la iniciativa en el camino hacia la protección de este tipo de infraestructuras y expuso finalmente cómo el Centro de Ciberseguridad Industrial puede soportar al ecosistema en ese camino.

Le precedieron en su presentación, entre otras, la de Sergio de los Santos de Hispasec con una excelente y didáctica presentación sobre el "Malware de hoy, fallos de Siempre" en la que desde una perspectiva totalmente práctica, analizó cuál es el entorno de amenazas actuales en el ámbito corporativo de las grandes organizaciones, o la de Dmitry Bestuzhev de Kaspersky con una impactante presentación sobre cómo gran parte de las ciber-amenazas existentes han trascendido el mundo del ciberespacio, pasando a nuestro mundo físico y afectando de muy distintas formas nuestra sociedad y vida como ciudadanos.

Habría que sumar a estas un buen número de presentaciones de personal de la UCI (Universidad de las Ciencias Informáticas) sobre Gestión de la Seguridad y Criptografía, entre las que podríamos destacar la de Raydel Montesino, Director de Seguridad Informática de la UCI denominada "Gestión automatizada e integrada de controles de seguridad informática", o en la que se presentó una solución de pasarela de correo para redes aisladas (sin comunicación TCP/IP) con diferentes niveles de seguridad.

El Seminario finalizó el viernes con una gran ponencia por parte de Jorge Lodos, Director de Desarrollo de Segurmática en la que analizó de forma muy clara y entendible las características de las APTs (Advanced Persitent Threats), describiendo algunas de las más conocidas e invitando a posibles pasos a seguir de cara ya no a prevenirlas (hoy en día algo realmente complicado) sino a mitigar su impacto y detectarlas lo antes posible.

Sin duda otro éxito para esta undécima edición de este buen evento coordinado por el gran José Bidot (Director de Segurmática) y su equipo, que nos ha permitido a los participantes, intercambiar conocimiento, experiencias y aproximaciones desde puntos de vista muy distintos dentro del ámbito industrial e incluso dentro del ámbito socio-económico. Como siempre, las mejores experiencias profesionales suelen ir de la mano de las equivalentes personales, por lo que no queda si no agradecer a Pepe y todo su equipo el excelente resultado conseguido, la gran cantidad de trabajo existente tras el evento y por supuesto la inmejorable atención personal que nos han prestado en nuestra estancia en La Habana.

¡Enhorabuena a todos los participantes y, nos vemos en la próxima edición!

martes, 2 de abril de 2013

El primer acuerdo Iberoamericano. El Centro de Ciberseguridad Industrial e ISSA Argentina.


Hemos estado trabajando en un acuerdo de colaboración entre el CCI (Centro de Ciberseguridad Industrial en España) e ISSA Argentina (Information Systems Security Association), organización internacional sin fines de lucro, que agrupa a profesionales y practicantes de seguridad de la información.

Actividades de ISSA
  • Conferencias internacionales, reuniones y seminarios locales de los capítulos.
  • Sitio Web, Newsletter Online y Publicación mensual.
  • Apoyo para certificación profesional, y oportunidades de desarrollo.
  • Facilita la discusión y retroalimentación de aspectos claves de la seguridad.
  • Provee foros de educación.

Este acuerdo se ha hecho oficial en Madrid recientemente e ISSA Argentina ya es miembro del CCI y se suma a todas las iniciativas cuyo objetivo de concienciación sean el principal motor de acción, así como la generación de documentación que pueda ser de utilidad para toda la comunidad hispana.

Para el Centro de Ciberseguridad Industrial, es el primer acuerdo de colaboración y apoyo mutuo de ámbito Iberoamericano y que se fundamenta en la necesidad de avanzar y adaptarse en los puntos claves donde los profesionales de seguridad debemos estar comprometidos con la sociedad y con la capacitación periódica de todos los profesionales que operen tecnologías y particularmente en entornos industriales.
Estamos encantados de haber establecido este importante acuerdo, y esperamos que sea muy beneficioso para todos los profesionales que agrupa ISAA Argentina.