Digitalización y Ciberseguridad: Reflexión 2018-2019

Revista InTech México Automatización
Edición Enero – Marzo 2019.

Rogelio Lozano Martínez
Instituto Mexicano del Petróleo – Senior Telecom Specialist
ISA México Sección Central – Cibersecurity Comittee Director
rlozanom@gmail.com @isamx_rics

RESUMEN: En este trabajo se abordan aspectos tecnológicos de la Ciberseguridad entre los que se mencionan las amenazas más importantes en el medio industrial en el 2018, así como las tendencias IT/OT en 2019.

PALABRAS CLAVES: Ciberseguridad industrial, Convergencia, Information Technology (IT) / Operational Technology (OT), ISA IEC 62443, Normas, Industria 4.0, Digitalización.

INTRODUCCIÓN

Este artículo trata tres temas principales:

El primer tema es respecto a la visibilidad de los ataques cibernéticos; en la mayoría de revistas especializadas de manufactura, petróleo y gas, y en servicios tecnológicos (como son el caso de telecomunicaciones, banca, seguridad física y seguridad nacional, entre otras) [1] han tenido últimamente una cobertura mayor en temas de seguridad informática con un grado de especialización cada vez más profundo; esto resalta porque Hasta hace apenas un par de años, esto no era así.

El segundo tema se refiere al aspecto legal y normativo. Se mencionan dos normas y dos leyes que han tenido un profundo impacto en la industria y que tienen implicaciones de obligatoriedad o de referencia, de acuerdo al marco normativo nacional. En la empresa y el mundo IT en México, es importante la norma de referencia NMX-I-27032-NYCE-2018 “Tecnologías de la Información-Técnicas de Seguridad-Lineamientos para la Ciberseguridad”, [2] de la cual su declaratoria de vigencia tiene fecha del día 26 de junio de 2018; en el plano industrial (OT), no se puede dejar de mencionar el estándar de la industria ISA IEC 62443 [3], del cual las empresas más representativas en cuanto a soluciones industriales están adoptando, ya sea en el diseño de los sistemas o bien, en los requisitos específicos para fabricantes. Así mismo, para sujetos obligados y los particulares, existen las respectivas Leyes Federales de Protección de Datos Personales en Posesión de tales personalidades jurídicas (IT) y para atender tales requerimientos normativos, se requiere personal capacitado en seguridad de la información.

El tercer aspecto digno de ser mencionado, es el financiero. Parece que, en general, los prospectos de inversión en infraestructura y en materia energética en México pueden hacer que la economía alcance una nueva dinámica, como consecuencia del efecto multiplicador transversal en todas las cadenas productivas relacionadas de manera directa e indirecta a los proyectos que se avizoran en el sexenio 2018-2024.

NUEVOS REQUERIMIENTOS DE LA INDUSTRIA

Específicamente, los proyectos que impliquen tecnología y datos en sus diseños, requieren empezar a ver los siguientes aspectos:

  • Análisis de riesgos de seguridad Informática.
  • Control de acceso físico y lógico a bienes informáticos.
  • Garantizar la tríada de la información (Confidencialidad, Integridad y Disponibilidad, o CIA por sus siglas en inglés. Para la industria, el orden se cambia a AIC).
  • Procesamiento de los datos de manera tal, que se conviertan en información útil para perfiles específicos dentro de la cadena de valor de la empresa y de las responsabilidades dentro de la industria; desde elementos de campo, hasta tableros inteligentes para tomadores de decisiones.
  • La industria 4.0 y su impacto en el mercado laboral, ya que los perfiles requeridos para implementar una transición natural hacia este modelo de industria, responden a una formación profesional específica con un dominio en los procesos productivos (por supuesto, que la función número uno dentro de la industria es generar valor); así como, un grado de expertise en la tecnología de la información, (ver Figura 1).
  • La nube, la virtualización de equipos o sistemas, pros y contras.
  • Soluciones Bring Your Own Device (BYOD) o Choose Your Own Device (CYOD) con plataformas Mobile Equipment Management (MEM’s) o Mobile Device Management MDM´s. Pros y contras. (Teletrabajo).
  • Ingeniería social (Sextorsión y ransomware).
  • Convergencia tecnológica.
Figura 1. La Industria 4.0 ha llegado para cimentar nuevas maneras de producción. Fuente: pixabay

LA CONVERGENCIA IT/OT NO ES OPCIONAL

Hace un tiempo, cuando se discutía de la convergencia de protocolos y medios físicos de diferentes redes de propósito específico, la principal barrera reconocida que se tenía, era la diversidad de protocolos empleados y el grado de responsabilidad sobre una red específica. Las condiciones imperantes hasta finales de los 90’s se pueden resumir así: “La red de datos administrativa (IT), la red de datos industriales (OT) y los diversos fabricantes impedían una interoperabilidad desde las propias interfaces, sin olvidar los cableados y conectores, pasando por la diversidad de velocidades de transmisión, así como los protocolos de señalización y codificación”.

Por otra parte, existen barreras no reconocidas; una de ellas es el recelo profesional. La red administrativa era vista como la dedicada a enviar correos electrónicos y generar impresiones. La red de datos era vista como una red de baja velocidad con anchos de banda insignificantes con arquitecturas muy antiguas. A su vez, los diseñadores de sistemas industriales que conocían la evolución de instrumentos neumáticos, a relevadores y switches, eran sumamente desconfiados con las redes inalámbricas de campo en el monitoreo de alguna variable.

Pensar en control inalámbrico aún es visto con mucho escepticismo en el medio. Es evidente que las redes ahora son convergentes, ahorramos en la infraestructura física de las redes, las segmentamos física y lógicamente, por lo tanto podría convivir tráfico de video IP, de VoIP, datos Modbus TCP,  Industrial Ethernet, pero…..¿Es esto posible? Y de ser así, ¿Están bien diseñadas?

Con ese antecedente, es qué al dar alguna conferencia, muchos de esos especialistas al escuchar la palabra virus informático, ataque de día cero, escalamiento de privilegios y desbordamiento de buffer era casi como escuchar un cuento de hadas o historias fantásticas, dignas de otros escenarios, por ejemplo máquinas conectadas al internet todo el tiempo, en donde se bajaba música de manera ilegal o se ejecutaban videojuegos, no una respetable interface humano máquina (IHM). ¿Cierto? En concreto, la empresa está interconectada, ver Figura 2.

Figura 2. La empresa conectada, tendiente a comunicaciones en tiempo real. Fuente: pixabay

WIRED ™: HACKEO DE UNA JEEP ® CHEROKEE Y UN RIFLE TP750®

En la revista Wired, en el sitio mostrado en [4], se puede ver un caso en donde con ciertas herramientas se puede tomar control del volante, sistema de aceleración, limpia parabrisas etc., de un auto en movimiento; de hecho, se trata de una camioneta, ver Figura 3. De haberlo hecho de manera malintencionada, podría haber causado daños incluso mortales para los conductores del vehículo y otras personas que circularían en una autopista cualquiera. En la revista Wired y en otros sitios en línea, se pueden ver videos interesantes a este respecto.

Figura 3. Reportaje de wired.com, hackeo de una Jeep ® Grand Cherokee®. Fuente: wired.com

En lo que respecta a un Rifle para francotirador, en el sitio mostrado [5] en  se puede ver un artículo interesante. Dos personas con conocimientos en seguridad informática son capaces de hacer fallar un rifle de alta precisión, o bien de cambiar a su voluntad el sistema de auto ajuste de seguimiento a un blanco mediante el enlace inalámbrico con el procesador corriendo en el Sistema Operativo Linux del arma. Igualmente vale mucho la pena leer el artículo, ver Figura 4.

Figura 4. Reportaje de wired.com, hackeo de un rifle TP 750 Fuente: wired.com

Piénsese en sistemas de monitoreo de bebes, o bien, en juguetes infantiles con cámaras integradas para niños, o en sistemas de cámaras de seguridad con las contraseñas por default de fabricante. ¿Quién garantiza que no existe alguien monitoreando el interior de tu casa, ganando acceso a algún dispositivo con algún puerto abierto, conectividad a internet y capacidad de enviar audio/video? Extrapolémoslo a la industria, interesante.

¿EL TERROR O LA CONCIENTIZACIÓN?

Siempre será preferible tener conocimiento de los riesgos, las amenazas y las vulnerabilidades que los bienes informáticos y en general nuestra plataforma tecnológica tiene. Siempre existe un perímetro de ataque. No lo hagamos más grande, conozcámoslo, cancelemos los que estén a nuestro alcance, tomemos los riesgos aceptables y transfiramos los que así determinemos. Basado en esas premisas, es que se requiere cada vez más de conocimientos de TI en el mundo OT. Y al revés, por supuesto.

NUEVOS ACRÓNIMOS EN LA EMPRESA: CIO, CDIO, CTO, CSO, CISO…

Las siglas no dicen mucho, se ven los cargos detrás: Chief Information Officer (CIO), Chief Director of Information Officer (CDIO), Chief Technology Officer (CTO), Chief Security Officer (CSO), Chief Information Security Officer (CISO), ver Figura 5. Todos tienen en común responsabilidades como lo es la seguridad de la información, la tecnología y la relación con la alta dirección de la empresa. El grado de responsabilidad, la preparación, certificaciones y toma de decisiones también es diferente y es tema de otro artículo; por el momento, se considera útil para este documento el difundir estos puestos, que demandan perfiles específicos en la industria.

Figura 5. Nuevas posiciones en el organigrama de la Industria 4.0 Fuente: pixabay

BALANCE 2017-2018 DEL COMITÉ DE CIBERSEGURIDAD

Este año, ha sido sumamente interesante en cuanto a los temas de la ciberseguridad. El director del Comité, durante el estudio de su Maestría tuvo oportunidad de conocer a maestros y compañeros de los que aprendió mucho, de diversas industrias y empresas.

En el tema específico de la ciberseguridad industrial, el tener la posibilidad de tomar el curso de ISA IEC 62443 en las mismas instalaciones en donde se ha preparado personal de la milicia norteamericana y de Homeland Security (ver Figura 6.) en Carolina del Norte, fue un orgullo y una meta profesional sumamente gratificante. Asimismo, que el Director del Comité haya presentado su examen de certificación del idioma francés brindó la oportunidad de documentarse de los casos de éxito en Francia, Bélgica y Quebec. Para este comité, el tener el respaldo de compañeros expertos que laboran en grandes empresas de tecnología en México, fue también sumamente enriquecedor.

Figura 6. Cybershield que se encuentra en la sala de capacitación de ISA Oficinas centrales. Fuente: Autor.

AMENAZAS DEL MUNDO INDUSTRIAL MÁS IMPORTANTES EN 2018

Existe un documento publicado en junio de 2017 por el fabricante de software de seguridad Karspersky © [6]; donde se indican las causas de incidentes de ciberseguridad OT/IT en los Estados Unidos, con un comparativo entre 2017 y 2018, ver Figura 7.

Figura 7. Comparativo 2017-2018 incidentes OT/IT Fuente: Karspersky ™

¿QUÉ SIGUE?

El comité de Ciberseguridad debe seguir haciendo la labor de documentar este fértil campo de oportunidades que en México no acaba de explotar al ritmo que se está viendo en otros países. Ojala más marcas, fabricantes, distribuidores, canales y partners de proveedores, se atrevan a apoyar este esfuerzo, a través de la difusión de sus soluciones tecnológicas en nuestras páginas; otra veta por desarrollar son los becarios y el acercamiento a las secciones estudiantiles y Universidades; #ISAMéxicoSecciónCentral puede incidir en el desarrollo de sus capacidades, adquirir experiencia  y manejar los fundamentos normativos, de manera agnóstica, es decir, no ajustándose a la forma de trabajo o productos de un solo fabricante o tecnología.

Queda pendiente realizar el curso de introducción a la ciberseguridad, así como reuniones técnicas como lo hace por ejemplo la #ISASecciónEspañola, en donde se llegan a acuerdos de actividades entre organismos sin fines de lucro, profesionales y expertos del tema, Instituciones de Educación Superior, fabricantes, distribuidores con la finalidad de acordar eventos como expos, ferias, cursos, tutorías, revisiones de planes y programas de estudio, etc… (Ver http://www.isa-spain.org/actividad.asp?id=367).

AGRADECIMIENTOS

Por último, en estas líneas se agradece la confianza y el apoyo que el Comité tuvo de parte del presidente de ISA México, Mtro. Armando Morales, el seguimiento del Lic. Enrique Pérez Navarro, al personal de publicaciones por su paciencia; le agradezco al Ing. Mario Chew por haber asistido a la presentación dictada por quien estas líneas escribe en la Expoeléctrica 2018; al M. en A. Pedro Hugo García y Betty Guerrero de su staff, así como al Ing. Liborio García Merino por todas las atenciones y confianza de las cuales gozo; entre otras cosas, para que pudiera participar en el encuentro ANUIES 2018 en cuanto a gobierno digital y ciberseguridad (ver Figura 8); a Alex Trejo por su paciencia en la Coordinación del Comité, y a mis amigos de empresas y escuelas líderes en su ámbito, a tanta gente increíble que he conocido en este encargo. Me siento muy honrado de conocerlos, de trabajar cotidianamente con gente tan profesional, y de haber contado con su invaluable apoyo en este año que al menos para mí, fue de mucho crecimiento, espero haber retribuido un poco a la ISA México Sección Central. Éxito a todos.

Figura 8. Universidad de las Américas Puebla UDLAP, encuentro ANUIES 2018. Fuente: Autor.

REFERENCIAS

  1. Shannon, T. (DEC 2017). DIGITAL THINKING. Oilfield Technology, 10, 45-47.
  2. Lee A.R., Walker J., (NOV 2017). Improving Pipeline Cybersecurity with Public-Private Partnerships. Pipeline & Gas Journal, 63-65.
  3. (26/06/2018). DECLARATORIA de vigencia de la Norma Mexicana NMX-I-27032-NYCE-2018. 05 diciembre 2018, de NYCE Sitio web: http://www.dof.gob.mx/nota_detalle.php?codigo=5529046&fecha=26/06/2018
  4. ISA IEC. IEC 62443-3-3:2013 (2013-08-07). Industrial communication networks – Network and system security – Part 3-3: System security requirements and security levels. 5 de diciembre 2018, de IEC ISA Sitio web: https://webstore.iec.ch/publication/7033
  5. A., (08-01-18). The Jeep Hackers Are Back to Prove Car Hacking Can Get Much Worse. 5 de diciembre 2018, de WIRED Sitio web: https://www.wired.com/2016/08/jeep-hackers-return-high-speed-steering-acceleration-hacks/
  6. A., (07.29.15). Hackers Can Disable a Sniper Rifle—Or Change Its Target. 5 de diciembre 2018, de WIRED Sitio web: https://www.wired.com/2015/07/hackers-can-disable-sniper-rifleor-change-target/
  7. Schwab W. & Poujol M., (June 2018). The State of Industrial Cyber security 2018. 5 de diciembre 2018, de Kaspersky Sitio web: https://ics.kaspersky.com/media/2018-Kaspersky-ICS-Whitepaper.pdf

ACERCA DEL AUTOR

Rogelio Lozano es Ingeniero en Comunicaciones y Electrónica con especialidad en Comunicaciones, egresado del Instituto Politécnico Nacional, así mismo es candidato a Maestro en Ingeniería, en seguridad informática, grado del cual el título y cédula se encuentran en trámite. Ha cursado cinco diplomados, en Instrumentación y Control y en Redes, además de un curso en 2018 en el Tecnológico de Monterrey a propósito de los Mercados de Energía; por otra parte, en diciembre de 2017 tomó el curso de preparación para certificación de la norma ISA IEC 62443 en los Estados Unidos de América en la ISA Oficinas Centrales. Tiene más de 17 años de experiencia en el sector de las comunicaciones. Actualmente se encuentra laborando para el Instituto Mexicano del Petróleo en donde ha participado en diversos proyectos de desarrollo de Ingeniería en Sistemas de Comunicaciones para instalaciones tan diversas como Plataformas Marinas, Refinerías, Terminales Marítimas de Distribución, helipuertos, estaciones de compresión, centros de Datos, entre otras instalaciones de Petróleos Mexicanos. Ha supervisado construcción de estos sistemas en Patios de fabricación y en sitio. Recientemente ha participado en el desarrollo de proyectos de innovación del Instituto y en proyectos para terceros con estándares internacionales. En diciembre de 2018 certificó su dominio del idioma francés por parte del Ministerio de Educación Nacional de Francia. Forma parte del grupo piloto de aprendizaje del idioma chino mandarín en el IMP.

0
Compartir:

Dejar un comentario

This site uses Akismet to reduce spam. Learn how your comment data is processed.