Redes Industriales y Ciberseguridad: El Estado del Arte

Rogelio Lozano Martínez
Instituto Mexicano del Petróleo / Director del Comité de Redes Industriales y Ciberseguridad, México, rogelio.lozano@isamex.org

InTech México Automatización,
Edición Marzo – Mayo 2017.

RESUMEN

Este artículo tiene la finalidad de revisar el estado actual que guarda la Ciberseguridad en México. Partiendo de la definición de Ciberseguridad, y sus significados desde los mundos de Information Technology (IT) y Operational Technology (OT). Dando un breve vistazo a los indicadores disponibles al respecto de este tema en México. Continuando con un reporte de ataques y vulnerabilidades en redes y equipos del tipo Industrial Automation And Control Systems (IACS) – Sistemas de Automatización y Control Industrial; el cual es sumamente revelador al respecto de los eventos más significativos alrededor del mundo.

En lo concerniente al Industrial Internet of Things (IIoT) – Internet Industrial de las cosas o del Todo-, a la nube y a las redes industriales, se hace mención al más reciente análisis que publicó la revista InTech ISA EE.UU; siendo una referencia obligatoria para entender la cantidad de datos que se producen y que serán útiles en el mundo OT.

En materia de Normatividad en Ciberseguridad Industrial, se tendrá un viaje interesante apoyados y acompañados por el Comité de Normas y prácticas; algo parecido sucederá al tratar el tema de implementación de un esquema de Ciberseguridad en la industria, al ser respaldados por el Comité de Seguridad.

¿Temas pendientes? Existen muchos, pero al contar con su apoyo y con el mejor esfuerzo para tratarlos de una manera enfocada, sin perdernos en el mar de información disponible y que se está generando a cada minuto, conjuntamente los abordaremos.

PALABRAS CLAVE: IIoT, Nube, Ciberseguridad, Amenazas, Ataques, Normatividad.

CIBERSEGURIDAD

El estándar ISA IEC 62443-3-2 (de acuerdo al Comité ISA99) define a la ciberseguridad como una serie de medidas tomadas para proteger una computadora o un sistema de computadoras (considerando los controladores industriales como elementos con capacidades de cómputo) para impedir accesos no autorizados o ataques.

En el ámbito industrial, la ciberseguridad implica un marco flexible para abordar y mitigar vulnerabilidades actuales y futuras en los sistemas IACS. Desde el mundo IT, la ciberseguridad se puede definir como el conjunto de recursos humanos, técnicos, procesos y prácticas enfocados en la protección de infraestructuras críticas, negocios digitales e información sensible de amenazas internas y externas o negligencia, minimizando riegos y buscando la máxima resiliencia del sistema.

INDICADORES IT EN MÉXICO

El Instituto Federal de Telecomunicaciones (IFT) es un organismo que busca “garantizar la protección de la privacidad y confidencialidad de las comunicaciones de los usuarios finales y la seguridad en las redes” [1]. Por otro lado, la Cámara Nacional de la Industria Electrónica de Telecomunicaciones y Tecnologías de la Información (CANIETI) emitió un comunicado en donde indican que “[ ] cerca del 89% de los ciberataques tienen motivaciones financieras o de espionaje, [ ] tan solo el año pasado las campañas de spear-phishing orientadas a empleados de instituciones se incrementaron en un 55% por ciento, [y] tienen como principal objetivo el robo de datos personales y de archivos de las empresas” [2].

La figura 1, tomada del reporte público de Ciberseguridad de Cisco © en 2017 [3], se muestra el aumento de dispositivos conectados y el incremento de tráfico en internet (fijo y móvil). En un comparativo de varios países, México ha mostrado un crecimiento en ambos índices, no así en la madurez de la ciberseguridad.

Figura 1: Madurez en seguridad y tazas de crecimiento de tráfico de datos por país [3].
Esto es una pequeña muestra de lo que se informa en México en lo concerniente a Ciberseguridad desde el mundo de IT pero, ¿qué se está haciendo y reportando desde el mundo Industrial de OT?

¿ATAQUES Y VULNERABILIDADES EN REDES Y EQUIPOS INDUSTRIALES (IACS)?

Los índices referidos anteriormente son tomados del mundo de IT, uno diferenciado del mundo de la automatización (OT); sin embargo, cada vez es más común que ciertos equipos que forman parte de redes industriales tengan capacidades de cómputo y comunicaciones en hardware y software con funcionalidades tales como autodiagnóstico, direccionamiento IP, mapeo, metadatos en sus etiquetados (tags) e incluso incluyan funciones de ruteo básico.

Esto quiere decir, si en algún momento existe una intrusión o un ataque (interno y/o externo) y si cierta arquitectura de la red no contempla medidas de Ciberseguridad perimetral no intrusivas al proceso (firewalls, Next Generation Firewalls (NGFW), Demilitarized Zone (DMZ), conduits, Virtual Private Networks (VPN’s), antivirus en estaciones, entre otros), los datos de cierto equipo se vuelven vulnerables; estos es, puedan ser vistos, copiados, modificados, encriptados y/o eliminados de manera remota; más aún, permitiendo que un ataque pueda diseminarse por la red hacía otros equipos. Aunque esto aún suena a algo muy lejano al mundo industrial, un recuento realizado por la Universidad de Cambridge de los ataques más representativos a nivel mundial en este sector [4] indica lo contrario.

INDICADORES OT GLOBALES

La figura 2 pone principal atención en los términos ataques, infecciones y sabotaje de ex empleados a los sistemas de Industrial Control Systems (ICS) Sistemas de Control Industrial-. Estos eventos son tan serios, que la oficina de la casa blanca de los EE.UU. ha identificado 16 sectores de infraestructura crítica \cite{NIPP} y los planes de acción y reacción planteados, en respuesta, por diversos organismos. En el futuro ahondaremos en los eventos más representativos, con la finalidad de contar con una referencia al respecto de lo que se está haciendo (o dejando de hacer) en México para atender esta problemática.

Figura 2: Cyber attacks against Industrial Control Systems since 1999 [4].

INFRAESTRUCTURA CRÍTICA

Lo anterior pone en alerta a la industria Mexicana y toda aquella infraestructura estratégica, tales como Plataformas Petroleras, Refinerías, Terminales marítimas y de exportación, Terminales de Almacenamiento y Reparto, aeropuertos, Sistemas de Logística (Ductos y sistemas de transporte vía ferroviaria y carretera), Centrales eléctricas, termoeléctricas, nucleares, presas, reservorios de datos de producción en materia de hidrocarburos y electricidad, SCADAS de organismos del estado y de particulares (API STD 1164), empresas de manufactura automotriz y aeroespacial, Centros de Datos, Servidores en nube e híbridos, etc…, haciendo necesario revisar los esquemas de seguridad con que cuentan y verificar su definición de administración de riesgo de manera tal que permitan una alta resiliencia en sus sistemas industriales a través de medidas de Ciberseguridad [6].

IIoT, LA NUBE Y REDES INDUSTRIALES

Como se mencionó anteriormente, la industria genera una gran cantidad datos cada minuto que requieren ser transportado de un punto a otro; a este fenómeno se le denomina Internet Industrial de las cosas o del Todo (IIoT). Cuyas carreteras usadas para transportar este flujo de datos son, por ejemplo, el cobre, fibra óptica e inalámbrica bajo protocolos de comunicación tales como Ethernet Industrial, el Modbus TCP/IP y los inalámbricos ISA 100.11a e IEC 62591-1, entre otros. Abundando en el tema, Bill Lydon [7], a través de la revista InTech U.S, realiza un brillante análisis con respecto a la IIoT en la automatización; el cual es ampliamente recomendado.

NORMATIVIDAD EN CIBERSEGURIDAD INDUSTRIAL

Actualmente, el sector del Oil and Gas en México cuenta con definiciones de protocolos de comunicación, tipos de redes industriales, vulnerabilidades, DMZ, entre otros, descritas en las normas de referencia (NRF) de PEMEX, que ahora se están convirtiendo en estándares mexicanos y requieren seguimiento. A nivel mundial, existen normas enfocadas en la seguridad del producto (ISO IEC 15408, 19790, TR 19791), del proceso (ISO IEC 21827, 17799, ISA99) y del medio ambiente (ISO 9000); sin embargo se centrará nuestro análisis en el estándar IEC 62443.

La ISA es un organismo referente en el desarrollo de estándares de la industria de la automatización y en este momento está generando trabajo normativo para garantizar seguridad y estandarización en las redes industriales en hardware, software y prácticas recomendadas. El trabajo desarrollado por ISA99, se ha visto adoptado y estudiado por una variedad de empresas serias que han aplicado sus experiencias de acuerdo al ecosistema en que se desarrollan, proponiendo procedimientos metódicos. La norma IEC 62443 se ha vuelto una “suite” y uno de sus principales objetivos de seguridad es la defensa en profundidad, partiendo de los conceptos planteados por ISA99 y extendiendo la seguridad a otros ámbitos desde los fabricantes hasta los operadores. Este marco normativo se compone de los documentos mostrados en la figura 3.

Figura 3: Los elementos del estándar ISA IEC 62443 [8].

¿CÓMO IMPLEMENTAR UN ESQUEMA DE CIBERSEGURIDAD EN LA INDUSTRIA?

¿Cómo tener noción de que medir, que solicitar y que esperar de las soluciones de Ciberseguridad? De entrada, lo que no se mide, no se puede diagnosticar. Lo que no se diagnóstica no se mejora, y lo que no se mejora se degrada.

En el mundo OT (con diferentes velocidades que el mundo IT, enfocado a procesos productivos críticos, una alta disponibilidad del sistema y un ciclo de vida de seguridad), se tiene que planear la elaboración de una estrategia de seguridad para sus sistemas y redes determinísticas mediante un equipo multidisciplinario de acuerdo al marco normativo de la International Society of Automation (ISA) y la International Electrotechnical Commission (IEC). Este equipo es coordinado por una figura oficial en la Ciberseguridad Industrial, tal como un CIO -Chief of Information Officer; e involucra personal del equipo de IT, ingeniero(s) de control de procesos y especialistas en redes de datos (industriales y administrativas) y de seguridad. Todos ellos siendo evaluados por una gerencia que da seguimiento a sus metas económicas, operativas y ambientales como parte de un proceso continuo, con retroalimentación y medidas de control. (ISO IEC 27000-27035:2011).

El análisis de la red industrial y su Ciberseguridad debe estar asociado al estudio de riesgos de la planta. Conceptos tales como confiabilidad, niveles de seguridad y de disponibilidad no deben desasociarse de los términos Activo, Amenazas, Vulnerabilidad, consecuencias, Riesgo y acciones de Seguridad (IEC 61508). En este punto, se debe trabajar de manera conjunta con el Comité de Seguridad de ISA.

RETOS

A través de este foro y del Comité, seguiremos revisando lo que se está haciendo en esta materia en el mundo y cómo se está asimilando la tecnología en México; buscaremos darle seguimiento al proyecto LOGIIIC Program (Linking Oil and Gas Industry to Improve Cybersecurity), del cual participa la ISA; será necesario reflexionar acerca del presupuesto que las empresas están destinando a definir políticas de seguridad, a capacitación, a la procura del equipamiento de red industrial con características de Ciberseguridad, hacer énfasis en el CAPex, OPex, Total Ownership Cost (TOC) – Costo Total de Propiedad – y Return of Investment (ROI) – Retorno de Inversión – de esta infraestructura.

CONCLUSIONES

La información de la industria se compone de datos administrativos, sistemas y datos industriales, Centros de Datos, servicios de VoIP, de CCTV-IP, de Control de Acceso, de Control Perimetral, aplicaciones SCADA, etc., por lo tanto, la información, los datos y sus esquemas de seguridad son un activo sumamente importante para las empresas. Consideramos necesario realizar actividades encaminadas a revisar y analizar los estándares ISA IEC (TR 62443-2-3, I62443-2-4 e 62443-3-3), sus principios fundamentales, entre muchos otros recursos técnicos que están en desarrollo; lo haremos en los foros existentes y en los espacios que podamos ayudar a generar para cumplir con este cometido.

CONTACTO

Tus comentarios así como cualquier sugerencia para el Comité de Redes Industriales y Ciberseguridad, son bienvenidos al Twitter @ISAMX.RICS o al correo rogelio.lozano@isamex.org, independientemente del sector de infraestructura crítica a la que pertenezcas y el rol que tengas. Te invito a sumarte a este esfuerzo compartido, ya que la Ciberseguridad es un proceso continuo y no un producto terminado.

GLOSARIO

Acceso. Capacidad y medios para comunicarse o interactuar de alguna manera con un sistema con el fin de utilizar los recursos del sistema.

Acceso remoto. El uso de los sistemas que se encuentran dentro del perímetro de la zona de seguridad que se dirigen desde una ubicación geográfica diferente con los mismos derechos que cuando están físicamente presentes en el lugar.

Administración de riesgos (Gestión de Riesgos). Proceso de identificación y aplicación de contramedidas proporcionales al valor de los activos protegidos en base a una evaluación de riesgos.

Amenaza. Potencial para violar la seguridad, que existe cuando existe una circunstancia, capacidad, acción o evento que podría vulnerar la seguridad y causar daño.

Arquitectura de seguridad. Plan y conjunto de principios que describen los servicios de seguridad que un sistema debe proporcionar para satisfacer las necesidades de sus usuarios, los elementos del sistema requeridos para implementar los servicios y los niveles de desempeño requeridos en los elementos para manejar el ambiente de amenaza.

Ataque. Intromisión a un sistema que deriva de una amenaza inteligente es decir, un acto deliberado (especialmente en el sentido de un método o técnica) para evadir los servicios de seguridad y violar la política de seguridad de un sistema.

Caballo de Troya (Troyano).  Programa de computadora que parece tener una función útil, pero también tiene una función oculta y potencialmente maliciosa que evade los mecanismos de seguridad, a veces explotando autorizaciones legítimas de una entidad del sistema que invoca el programa.

Código malicioso.  Programas o códigos escritos con el propósito de recolectar información sobre sistemas o usuarios, destruyendo datos del sistema, proporcionando un punto de apoyo para una intrusión adicional en un sistema, falsificando datos e informes del sistema, o consumo de tiempo y recursos al personal de operaciones y mantenimiento del sistema.

Conduit.  Agrupación lógica de los activos de comunicación que protege la seguridad de los canales que contiene.

Confidencialidad.  Garantizar que la información no se divulga a personas, procesos o dispositivos no autorizados.

Contramedida.  Acción, dispositivo, procedimiento o técnica que reduzca una amenaza, una vulnerabilidad o un ataque eliminándola o previniéndola, reduciendo al mínimo el daño que puede causar o descubriéndola e informándola para que se puedan tomar medidas correctivas.

Controles de mitigación de riesgos.  Combinación de contramedidas y planes de continuidad de negocio.

Detección de intrusiones.  Servicio de seguridad que monitorea y analiza los eventos del sistema con el propósito de encontrar y proporcionar advertencias en tiempo real o de manera cercana al tiempo real de los intentos de acceso a los recursos del sistema de una manera no autorizada.

Evaluación de riesgos.  Proceso que identifica sistemáticamente vulnerabilidades potenciales a valiosos recursos del sistema y amenazas a esos recursos, cuantifica las exposiciones a pérdidas y las consecuencias basadas en la probabilidad de ocurrencia y (opcionalmente) recomienda cómo asignar recursos a las contramedidas para minimizar la exposición total.

Firewall. Dispositivo de conexión entre redes que restringe el tráfico de comunicación de datos entre dos redes conectadas.

Intrusión.  Acto no autorizado de comprometer la seguridad de un sistema.

Intrusión de seguridad.  Evento de seguridad o una combinación de múltiples eventos de seguridad, que constituye un incidente de seguridad en el que un intruso gana o intenta obtener acceso a un sistema (o recurso del sistema) sin tener autorización para hacerlo.

IT – Information Technology.  Tecnologías de la información.

Gusano.  Un programa de computadora que puede ejecutarse de forma independiente, puede propagar una versión completa de trabajo de sí mismo en otros hosts de una red, y puede consumir recursos informáticos de manera destructiva.

Nivel de seguridad.  Nivel correspondiente a la eficacia requerida de contramedidas y propiedades inherentes de seguridad de dispositivos y sistemas para una zona o conduit basado en la evaluación del riesgo para esa zona o conduit.

Proceso.  Serie de operaciones realizadas en la fabricación, tratamiento o transporte de un producto o material.

Protocolo.  Conjunto de reglas (es decir, formatos y procedimientos) para implementar y controlar algún tipo de asociación (por ejemplo, comunicación) entre sistemas.

Riesgo.  Expectativa de pérdida expresada como la probabilidad de que una amenaza concreta explote una vulnerabilidad particular con una consecuencia particular.

Sistema de Comunicación. Disposición de hardware, software y medios de propagación para permitir la transferencia de mensajes (unidades de datos de servicio de la capa de aplicación definida en ISO / IEC 7498) de una aplicación a otra.

Sistema de Control Supervisorio y Adquisición de Datos (SCADA). Tipo de sistema de control y monitoreo distribuido asociado con sistemas de infraestructura crítica, es decir transmisión y distribución de energía eléctrica, oleoductos y gasoductos y sistemas de agua potable y aguas residuales.

Sistemas de Control y Automatización Industrial (IACS). Recopilación de personal, hardware y software que pueden afectar o influir en la seguridad física, seguridad funcional y operación confiable de un proceso industrial.

Red de control. Red de servicio crítico que es típicamente conectada a equipos que controlan procesos físicos.

Virus. Programa Auto-replicante o auto-reproductiva que se propaga mediante la inserción de copias de sí mismo en otro código ejecutable o documentos.

Vulnerabilidad. Defecto o debilidad en el diseño, la implementación o la operación y la gestión de sistemas que podrían explotarse para violar la política de integridad y seguridad del sistema.

Zona Desmilitarizada DMZ. Segmento de zona Perimetral que se encuentra de manera lógica entre redes internas y externas.

REFERENCIAS

[1] Instituto Federal de Telecomunicaciones. Programa Anual de Trabajo PAT 2017. Lineamientos para la gestión del tráfico y administración de red a que deberán sujetarse los concesionarios y autorizados que presten el servicio de acceso a Internet.
[2] Cámara Nacional de la Industria Electrónica, de Telecomunicaciones y Tecnología de la información,  http://www.canieti.org/Comunicacion/prensa/boletinesdeprensa/ciberseguridad.aspx
[3] Cisco 2017 Annual Cybersecurity Report
[4] Business Blackout. The insurance implications of a cyber attack on the US power grid. Centre for Risk Studies Univesity of Cambridge Lloyd’s Emerging Risk Report 2015.
[5] The National Infrastructure Protection Plan (NIPP) – NIPP 2013: Partnering for Critical Infrastructure Security and Resilience
[6] February 2013, Executive Order (EO) 13636, “Improving Critical Infrastructure Cybersecurity
[7] ISA Intech U.S. IoT impact in manufacturing. https://www.isa.org/intech/20161201/
[8] Overview The 62443 series of standards. Industrial Automation and Control Systems Security. ISA 2015.

ACERCA DEL AUTOR

Rogelio Lozano Martínez es Ingeniero en Comunicaciones y Electrónica con especialidad en Comunicaciones, egresado del Instituto Politécnico Nacional. Posee dos diplomados, uno en Instrumentación y Control por la facultad de Química de la UNAM y otro en Redes por el Sistema Tecnológico de Estudios Superiores del Estado de México. Tiene más de 16 años de experiencia en el sector de las comunicaciones. Entró en contacto con las tecnologías de internet, programación y configuración de equipo satelital como becario en la Procuraduría General de la República. Posteriormente, durante la dirección del Dr. José Woldenberg participó en el proyecto de implantación del proyecto RedIFE en el UNICOM del Instituto Federal Electoral. Actualmente se encuentra laborando para el Instituto Mexicano del Petróleo en donde ha participado en diversos proyectos de desarrollo de Ingeniería en Sistemas de Voz y Datos, Sistemas de CCTV, Sistemas de Radiocomunicación, Sistemas de Comunicaciones para redes en instalaciones tan diversas como Plataformas Marinas (de producción, perforación, habitacionales, compresión, enlace), Refinerías, Terminales Marítimas de Distribución, helipuertos, estaciones de compresión, centros de Datos, entre otras instalaciones de Petróleos Mexicanos. Ha supervisado construcción de estos sistemas en Patios de fabricación y en sitio. Recientemente ha participado en el desarrollo de proyectos de innovación del Instituto y en proyectos para terceros, ganadores de las rondas de licitación derivadas de la Reforma Energética. Como parte de su desarrollo profesional, se ha capacitado en México, los Estados Unidos de América, en Canadá y en Francia, tanto en temas técnicos como culturales. Destaca su participación como expositor en el EBC de Oil and Gas en Silicon Valley, en las oficinas centrales de Cisco en 2011.

0
Compartir:

5 thoughts on “Redes Industriales y Ciberseguridad: El Estado del Arte

  1. Gran campo de oportunidad para estos tiempos en donde la confiabilidad y seguridad en el mundo IT/OT es sinonimo de progreso e innovacion.
    Excelente aportacion Rogelio.

    1+
  2. Parte de las dependencias gubernamentales mexicanas están trabajando en implementar mejores protocolos para reforzar su seguridad informática en general, sin embargo, la mayoría de la industria mexicana, carece de la cultura de seguridad informática. Salvo los que han sufrido daños económicos por debilidades en sus protocolos de seguridad, el resto cree que no le pasará. En los siguientes años la tendencia es a mejorar esas debilidades y que mejor que apegarse a normas probadas. Excelente articulo!!!

    1+

Dejar un comentario

This site uses Akismet to reduce spam. Learn how your comment data is processed.