Blog del CCI

sábado, 25 de mayo de 2013

Amenazas de las infraestructuras críticas y redes SCADA, eje central del evento organizado por Checkpoint con la participación del CCI


Las principales compañías de referencia del sector industrial español se reunieron el pasado 16 de mayo con el objetivo de abordar los principales riesgos aplicables a este tipo de sistemas, los cuales van en aumento y requieren de una “protección integral” y de una mayor concienciación por parte de los actores implicados.

“Aquí no hablamos sólo de robo de datos, dinero o contraseñas, estamos tratando directamente con la pérdida de servicios básicos para la población, como la luz, el agua o la energía. Es capital que todos los actores de la industria se conciencien de esto y se tomen las medidas necesarias como una prioridad para la sociedad”, afirmó Mario García, director general de Check Point.


Durante la mesa redonda moderada por el Centro de Ciberseguridad Industrial, se coincidió en identificar al negocio como el rol responsable de los riesgos de ciberseguridad industrial. Se destacó también la importancia de trabajar conjuntamente desde las áreas de tecnologías de información y tecnologías de operación para abordar los nuevos riesgos.

Varias de las organizaciones que participaron disponen actualmente de estándares para proteger los riesgos de la ciberseguridad industrial como políticas de control de acceso, normas de control del software, entre otras.

Mario García señaló que existen varios tipos de barreras a superar, empezando por la prioridad absoluta que tienen de mantener un servicio sin interrupciones, lo que ha dificultado la actualización de su parque tecnológico, incluidas las soluciones de seguridad, que resultan ahora completamente insuficientes. “Para lograr el nivel de protección necesario en las redes críticas se hace además necesario saber convertir un conjunto de tecnologías y prácticas dispares en un proceso de negocio eficaz. Desde el punto de vista de Check Point, para lograr esto es esencial una visión integral de la seguridad que combine la política, las personas y el cumplimiento para lograr la protección de los activos de las infraestructuras críticas sin interferir en la continuidad de los servicios”, destacó García.


Se habló asimismo de las actuaciones normativas llevadas a cabo en esta materia, incluida la aprobación del Plan Nacional de Protección de las Infraestructuras Críticas, la creación del Centro Nacional para la Protección de las Infraestructuras Críticas, y la futura puesta en marcha del Centro de Ciberseguridad Industrial como catalizador para representar a todos los actores de la industria.

 

domingo, 19 de mayo de 2013

¿Por qué Ciberseguridad Industrial? (Versión 2.0)


Durante los últimos años el equipo del CCI hemos ido publicando algunos artículos sobre Ciberseguridad Industrial en distintos medios y blogs, que pretendían contribuir a la difusión y concienciación en este ámbito. En ellos tratamos aspectos como por qué utilizar el término Ciberseguridad Industrial en lugar de otros, cuál es el panorama actual de la Ciberseguridad Industrial o algunos aspectos de la mitigación del riesgo en estos entornos.

Dada la importancia de los temas tratados, hemos decidido revisar y actualizar algunos de esos artículos y volver a publicarlos como "Versión 2.0" en este Blog. Aquí va el primero, como no podía ser de otra forma, analizando la conveniencia de utilización del término "Ciberseguridad Industrial".

Como todos sabéis, durante los últimos años el equipo del CCI se ha dedicado a investigar, analizar, estudiar y desarrollar el estado del arte, aproximaciones y soluciones, en el ámbito de la Ciberseguridad en los entornos industriales.

Cuando comenzamos a acercarnos a estos entornos, una de las primeras sorpresas fue descubrir que no existían contenidos o documentos publicado en Internet en nuestro idioma (español), por lo que no nos quedó otra opción que avanzar en el estudio del contenido existente en inglés (proveniente principalmente de Estados Unidos). Esto nos llevó a familiarizarnos con términos como SCADA Security (Seguridad SCADA) o ICS Security (Industrial Control Systems Security, Seguridad de los Sistemas de Control Industrial) que aún hoy en día son los más utilizados.

En nuestras presentaciones, discusiones e intercambio de información comenzamos a utilizar de forma natural esos términos en español cuando nos referíamos a los aspectos más técnicos o tecnológicos.  De hecho, incluso años después, el primer taller que trató estos temas en España, que impartimos en el marco del 1er Encuentro Internacional CIIP organizado por el CNPIC (Centro Nacional de Protección de Infraestructuras Críticas), lo denominamos así: Taller sobre Seguridad en Productos y Sistemas de Supervisión y Control Industrial (SCADA).

Sin embargo, de forma análoga a nuestras aproximaciones en el mundo de la seguridad corporativa, siempre pensamos que un enfoque meramente tecnológico era insuficiente y, por tanto la utilización de los términos "Seguridad SCADA" (recordemos que SCADA significa Supervisory Control And Data Acquisition) o "Seguridad de los Sistemas de Control Industrial", haciendo referencia únicamente a un subconjunto, sistema o conjuntos de sistemas de una infraestructura industrial, con una aproximación principalmente tecnológica, no nos parecían los más correctos: ¿Dónde quedaban las perspectivas de Procesos y Personas?

Nuestra percepción es que estos términos no están siempre utilizándose de forma correcta, sino que son referidos de forma general (y equivocada) ante cualquier noticia, artículo o contenido que tenga algo que ver son la Seguridad Lógica (o Ciberseguridad) en los entornos industriales.

¿Cómo denominar entonces este campo? La primera aproximación lógica podría ser utilizar el término Seguridad Industrial. Sin embargo a aquellos que conozcan bien el sector industrial y su terminología, no les sorprenderá el hecho de que la utilización de este término supondría una ambigüedad total y causa de mal entendidos en el mundo de la planta, producción o fabricación, ya que "Seguridad Industrial" lleva ya años utilizándose para hacer referencia a la gestión de los riesgos, principalmente físicos, laborales y medioambientales, en el sector industrial. 

Al tratarse de un término muy arraigado, en parte debido a la importante normativa de obligado cumplimiento en la prevención de riesgos laborales, el utilizarlo para los aspectos "ciber" no haría si no, confundir a los profesionales industriales ya familiarizados con el uso existente del mismo. 

Es interesante señalar que este problema no existe en el mundo anglosajón, ya que en inglés se puede utilizar el término safety para referirse a la seguridad de las personas físicas y la palabra security para denominar a la seguridad lógica y de la información. Sin embargo, en español, necesitamos incorporar algún término que ayude a realizar esta distinción.

Tras analizar y evaluar en profundidad las distintas posibilidades, y la importancia que las perspectivas de los Procesos y las Personas (además de la Tecnología) tienen en el sector industrial, decidimos comenzar a utilizar públicamente (en nuestros trabajos internos ya lo utilizábamos y con algunos clientes, tímidamente) el término de Ciberseguridad Industrial.

Creemos que este término es mucho más correcto para definir las prácticas, procesos y técnicas necesarios para proteger de forma adecuada las infraestructuras industriales de las ciber-amenazas. De igual forma que en el ámbito corporativo se fue evolucionando de la seguridad informática, a la seguridad de la información (information security primero y information assurance, después) y finalmente al concepto de Ciberseguridad, creemos que en al ámbito industrial cuando se quiere hacer referencia al alcance global de su protección en el ámbito del ciberespacio, debería utilizarse el término Ciberseguridad Industrial.

Durante el último año, son numerosos los profesionales y organizaciones nacionales e internacionales que han comenzado a utilizar el término de forma pública, no sólo en presentaciones, artículos o folletos, sino en la denominación de servicios e incluso centros de trabajo, lo que no hace si no sentirnos muy satisfechos de la argumentación de su uso que en su momento esgrimimos y que ha sido aceptada generalmente por el mercado.

La Ciberseguridad Industrial tiene un alcance mucho mayor que la Seguridad SCADA o la Seguridad de los Sistemas de Control Industrial, incluyendo las perspectivas de Procesos, Personas y Tecnologías para la protección de las organizaciones e infraestructuras industriales. 

Por ello, sirva este artículo nuevamente para defender y presentar de nuevo la definición de Ciberseguridad Industrial:

Ciberseguridad Industrial es el conjunto de prácticas, procesos y tecnologías, diseñadas para gestionar el riesgo del ciberespacio derivado del uso, procesamiento, almacenamiento y transmisión de información utilizada en las organizaciones e infraestructuras industriales, utilizando las perspectivas de personas, procesos y tecnologías.

(Artículo original publicado inicialmente el 22 de Julio de 2012 en Ciberseguridad.es)

viernes, 17 de mayo de 2013

El CCI participa en la Reunión del Grupo de Trabajo de Security de PESI


La Plataforma Española de Seguridad Industrial (PESI), y más concretamente su grupo de trabajo de "Security", es probablemente una de las organizaciones en España más cercanas en sus objetivos y líneas de actuación al Centro de Ciberseguridad Industrial, por ello desde nuestro nacimiento hemos estado continuamente comunicados y colaborando en distintas actividades con ella (no en vano, coordinamos el subgrupo de trabajo de Ciberseguridad). El resultado es que ambas organizaciones estamos totalmente alineados y desarrollamos aproximaciones con objetivos comunes y actividades complementarias.

Una de estas actividades complementarias, ha sido la reunión del grupo de trabajo "Security" que coordina Gas Natural Fenosa a través de José Luis Bolaños y en la que hemos participado activamente presentando la aproximación del subgrupo "Ciberseguridad Industrial" que coordinamos y que dinamizaremos en adelante.

La sesión se inició con una presentación del coordinador José Luis Bolaños (Gas Natural Fenosa) en la que desarrolló la estrategia y actuación para 2013 y 2014. Comenzó José Luis, afirmando que "la seguridad nunca ha tenido un papel tan relevante en nuestra sociedad y en nuestras empresas como lo tiene ahora" y describiendo como el reto al que nos enfrentamos, está siendo tratado de forma desigual en las empresas, en muchos casos sin una aproximación global o combinada, persistiendo aún entornos separados entre Security y Safety, lo que no aporta ningún beneficio al negocio.

Continuó la presentación identificando los 3 ejes de trabajo principales del grupo: la Seguridad Integral, la Protección de Infraestructuras y la Ciberseguridad (especialmente en el despliegue de las nuevas redes) y ahondó finalmente en el plan de acción ligado a los mismos que pasa por la consolidación de la agenda estratégica del Grupo a través de los subgrupos de Seguridad Integral, Ciberseguridad Industrial (que coordinamos) y Protección de Infraestructuras Críticas y Resiliencia (de inminente creación), así como la determinación de los ámbitos temáticos prioritarios y la evaluación de la especificidad sectorial y conveniencia de la coordinación de los subgrupos con otras plataformas tecnológicas, grupos sectoriales e iniciativas con objetivos comunes a PESI.

A continuación Julio Dolado (CDTI) realizó una clara y excelente presentación sobre cómo se está recogiendo la temática de Seguridad (Security) en el nuevo Programa Marco Europeo Horizonte 2020, en el que se pretende cubrir el objetivo general de extender la cultura de la seguridad, la libertad y el cumplimiento de la ley para lo que se cree que el presupuesto asignado podría rondar entre los 1.700 y los 2.100 millones de euros. Sin duda en nuestro ámbito, el "Challenge 2: Protect and improve the resilience of critical infrastrucure, supply chains and transport modes" podrá ser de los más interesantes a través de aspectos como el cibercrimente y ciberterrorismo, la mejora de la resiliencia de las redes europeas de distribución de energía y las infraestructuras críticas, o la mejora de la protección de estas infraestructuras de las amenazas internas, entre otros. Julio finalizó su intervención recomendando encarecidamente la lectura de 3 documentos de referencia: la "Security Industrial Policy", la Estrategia de Seguridad Interior de la Unión Europea y la Estrategia de Ciberseguridad de Europa, que son las fuentes de las que bebe la temática de seguridad del Horizonte 2020.

En la jornada tuvimos el gusto de poder contar con INTECO y CNPIC a través de Ignacio González Ubierna y Tomás Martín Iñurrieta, respectivamente, que clarificaron y presentaron las características de la colaboración establecida en materia de Ciberseguridad entre estas 2 organizaciones y sus Ministerios correspondientes así como algunos de sus objetivos: la lucha contra los ciberdelitos y el ciberterrorismo, la protección de las infraestructuras críticas y la difusión, concienciación, formación y capacitación en estos ámbitos.

Así mismo se presentaron 2 de los proyectos en activo en estas líneas: Cloud CERT para Infraestructuras Críticas, una plataforma cloud segura de servicios e intercambio de información privada, pero no clasificada, como vulnerabilidades, avisos, notas, foros, wiki, FAQs, boletines adaptados a las plataformas tecnológicas de cada operador, y otros servicios que podrán ser ofrecidos por CNPIC, INTECO o incluso proveedores externos, cuyo primer piloto se espera que esté funcionando en Septiembre de este mismo año y SCADA Lab, un sistema que permitirá ofrecer un servicio básico remoto de pruebas de seguridad TI a realizar sobre Sistemas de Control Industrial en el que los "test bed" serán los de cada operador, y no estarán físicamente en INTECO y que pretenderá ofrecer un servicio remoto y lo más automático posible que ayude a concienciar a las empresas (en ningún caso pretende sustituir a los servicios de diagnóstico o auditoría necesarios en este tipo de infraestructuras).

La sesión continuó con la presentación por parte de Olivia Gualda de PESI y Javier Herrera de Tecnalia del proyecto PSOPHIA liderado por PESI sobre Inteligencia y el factor humano en los Operadores de Infraestructuras críticas, una aproximación distinta y necesaria para avanzar en el eslabón más débil de la cadena: las personas.

Finalmente se desarrollaron las sesiones de identificación de retos y necesidades del subgrupo de Seguridad Integral, liderado por Rafael Rodríguez de Cora (ISF) y del subgrupo de Ciberseguridad Industrial, dinamizado por Samuel Linares (CCI). En esta última sesión, fueron numerosos los asistentes que apoyaron y mencionaron explícitamente la iniciativa del Centro de Ciberseguridad Industrial y recomendaron al resto de asistentes su participación activa en nuestro Centro. Se identificaron varias iniciativas tractoras y proyectos y también se recogieron prioridades para las convocatorias europeas.

Sin duda, una buena jornada que no hace si no refrendar el interés que el entorno industrial está tomando por la Ciberseguridad (Security) en los últimos tiempos y la necesidad de colaboración total entre todos los actores e iniciativas.

lunes, 6 de mayo de 2013

El panorama de Ciber-Amenazas en América Latina, una región cada vez más automatizada e interconectada.


Después de leer el informe “Tendencias en la seguridad cibernética en América Latina y el Caribe y respuestas de los gobiernosEnlace  publicado por Trendmicro y basado en la consulta sobre incidentes de seguridad a 13 de los 18 Estados miembros latinoamericanos y 7 de los 14 Estados miembros del Caribe que aportaron subsiguientemente contribuciones a este informe, así como el estudio de casos en Argentina, Colombia, Jamaica, México y Panamá he extraído algunos datos que me gustaría compartir:

  • No existen datos fiables, ni suficientes para caracterizar adecuadamente las amenazas, los sectores a los que están afectando los incidentes de ciberseguridad,  ni por supuesto el impacto de los mismos.
  • No existe comunicación e intercambio de información entre los estados miembros de la OEA, por la falta de canales adecuados, pero en la mayoría de ocasiones para no proyectar una imagen de ineficiencia o falta de capacidad.
  • Las intrusiones se descubren con demasiada frecuencia años después. Esto quiere decir que el enemigo, sea quien sea, tiene un conocimiento de las redes y de los sistemas de las organizaciones, y por supuesto de sus debilidades enorme. Que posiblemente no tengan ni los propios administradores IT y OT de las organizaciones.
  • Los países que disponían de CISRT registraron incrementos significativos de incidentes. Esto demuestra que disponer de sistemas que nos permiten monitorizar e identificar incidentes, pone de manifiesto la realidad: Todo el tiempo se producen ataques, aunque también es cierto que los ataques son cada vez más sofisticados y dirigidos.
  • La clasificación de los incidentes es prácticamente inexistente, lo cual no permite disponer de información sobre el impacto real de los incidentes producidos. Esta clasificación es fundamental para focalizar las medidas de protección.
  • La mayoría de los estados en América Latina reconocen el aumento de incidentes de ciberseguridad por motivos políticos, como respuesta medidas legislativas. Los foros de hackers si colaboran para sumar fuerzas y planificar ataques.

  • Existe un aumento significativo de ataques contra infraestructuras críticas que representan un porcentaje alto del producto económico de la región y de la inversión extranjera directa. Es sorprendente de que muchos dispositivos y sistemas de control vitales para las infraestructuras críticas están expuestos en internet.

Es fundamental la caracterización adecuada del panorama de Ciber-Amenazas en una localización, a fin de determinar las mejores formas de protegerse. Desde el Centro de CIberseguridad Industrial abordaremos esta caracterización en el documento “Situación de la ciberseguridad Industrial en España” que publicaremos a lo largo del año 2013.