Retos de la Ciberseguridad Industrial para el Sector Energético: IIoT

Marco Antonio Sandoval García, México
msandoval@apollocom.com.mx,
linkedin.com/in/marcosandovalg


RESUMEN: En un mundo en el que la producción de energía basada en hidrocarburos fenece, a causa de que el petróleo fácil de extraer ya se consumió y la rentabilidad del negocio se reduce paulatinamente, la industria petrolífera se enfrenta al reto de migración de mercado. Hoy en día, cuando la pugna por lo recursos (vueltos herramientas económicas) y la gestión de tecnologías aborda temas incluso de seguridad nacional, se vuelve trascendental saber afrontar los nuevos retos para jugar con ese diferenciador a favor. La salvaguarda de la información, por medio del correcto diseño, implementación y operación dela Ciberseguridad en la industria 4.0, es un factor en lo que se enfoca el presente artículo.


RETOS

1) ADAPTARSE A LOS NUEVOS MODELOS ECONÓMICOS Y SUS IMPLICACIONES

Figura 1. Crecimiento estadístico del IIoT – Energy & utilities [1]
¿Es la industria de generación de energía la que se debe adaptar a las nuevas tendencias tecnológicas o, son las Tecnologías Operacionales (OT) quienes se adaptarán a la industria de la generación de energía? Seguramente, con la finalidad de volver rentables los negocios, las industrias son las que se adaptarán a los esquemas económicos más competitivos y seguros (OPEX en las OTs para el caso) en aras de maximizar los ingresos. Opciones como Infrastructure as a Service (IaaS) o Security as a Service (SaaS) serán aristas viables dentro de la disponibilidad de la industria 4.0 y el consumo de servicios.

Considerando la inminente migración de la generación de energías fósiles, asiduas de la industria 3.0, hacía la generación de energía renovables y diversas, la creciente cantidad de dispositivos inteligentes (llámese válvula instrumentada, medidor de caudal, HMI, RTU, etc) interconectados a las redes de proceso aumentará de manera exponencial, por ello, la Controlabilidad de accesos funge como aspecto importante en la gestión de redes industriales. Stuxnet como Cyberwarfare no es una casualidad, sino una calamidad inmanente producto de la competencia entre naciones.

2) CONCIENTIZACIÓN DE CULTURA DE LA CIBERSEGURIDAD

Figura 2. Impacto económico por fuga de información [2]
El espectro de la Ciberseguridad debe concebirse en toda la cadena de proceso del negocio y considerarse como parte de la mejora continua, ya que es un hecho que el súmmum tecnológico puede competir contra gran variedad de amenazas, pero no con la incapacidad de configurar y operar ineficientemente sistemas de seguridad para tareas de misión crítica.

La confidencialidad va más allá de prohibir el acceso a la información a aquellos no deben tenerlo, consiste también, en crear conciencia en la organización de que la información es un activo. Tecnologías para la prevención de perdida de información (Data Loss Prevetion) son una alternativa a estimarse para la generación de controles en un dominio de red lo que, a la postre, reducirá la probabilidad de perder integridad en la información. Así mismo, generar conciencia de las amenazas internas y externas, y los impactos que devienen del desconocimiento, deben comulgar con máximas de la ciberseguridad para el IIoT moderno: Nadie está exento de recibir un ataque, nadie está completamente seguro y, los riesgos de seguridad no se eliminan, se controlan y mitigan.

3) MINIMIZAR RIESGOS MEDIANTE LA ESTANDARIZACIÓN Y NORMALIZACIÓN DE ESTRATEGIAS

La seguridad por capas considera la cobertura a cada activo o unidad. El uso de buenas prácticas para la implementación de Zonas, Conductos y Canales, según se cita en la ISA/IEC 62443 (Documento IEC-62443-3-2 “Standard addresses security risk assessment and system design for IACS”) es preponderante y, si se trata desde la granularidad del modelo de referencia OSI, la operación permanente de protocolos que soporten mecanismos de confidencialidad e integridad es altamente recomendable. Cabe señalar que encontrar un balance entre seguridad y rendimiento de procesamiento se deben estimar según sea el caso.

Por citar algunas consideraciones:

  • Seguridad a nivel de capa 1 (Física): Las interfaces que no se encuentren en uso deben ser apagadas administrativamente con el fin de impedir el acceso al medio (e.j Ethernet IEEE 802.3)
  • Seguridad a nivel de capa 2 (Enlace de datos): Las interfaces que están encendidas deben estar protegidas mediante mecanismos de seguridad del puerto (MAC estática). De esta forma se pueden programar funciones específicas automáticas al detectar una violación de dirección física. También es posible la configuración de listas de control de acceso Capa 2 adyacentes a políticas.
  • Seguridad a nivel de capa 3 (Red): Dentro de la política de seguridad se configuran flujos de tráfico estáticos, IP origen e IP destino, y se habilitan mecanismos para prevenir la suplantación de direcciones de red.
  • Seguridad a nivel de capa 4 (Transporte): Dentro de la política de seguridad se configuran flujos de tráfico estáticos con puerto TCP/UDP origen y destino. Microsegmentación.

Figura 3. Purdue Model Hierarchy for ICS [3]
La seguridad para inspección de capas superiores a la capa de transporte debe proveerse mediante sistemas no intrusivos como detección de intrusos, prevención de intrusos, antimalware, etc. ya que los equipos de control de tráfico en los bordes tienen como limitante la inspección de los datos embebidos en el entramado.

Deep Packet Inspection (especificado en la ISA IEC 62443-3-3) será la tecnología basada en filtrado que nos permitirá la inspección a profundidad con capacidades para encontrar, detectar, categorizar, bloquear o redirigir comandos enviados a los dispositivos de nuestros IACS. De acuerdo a su arquitectura de implementación, es posible su despliegue en diferentes modalidades.

Hasta hace algunos años la industria 3.0, en el mejor de los casos, se contentaba con proteger las primeras capas, sin embargo, hoy en día el uso de Firewalls de inspección de estado por antonomasia ya no es suficiente para analizar datos dinámicos encapsulados. Por ello, nuevas tecnologías como: NGIPS y NGIDS, emergen y se actualizan exhaustivamente para adaptarse al variopinto de amenazas. No obstante, el uso de herramienta para realizar pruebas de penetración que nos permitan descartar falsos positivos o falsos negativos, deben considerarse con el fin de conocer el Statu quo ante bellum de nuestras OT.

4) CASO DE APLICACIÓN Y EMPODERAMIENTO DE LAS VULNERABILIDADES DEL IIoT

Un complejo petroquímico busca extender el tiempo de vida de la operación en sus diferentes plantas de proceso a través del monitoreo en tiempo real de variables operativas. Como parte de esta iniciativa se define imprescindible la implementación de un programa de Ciberseguridad basado en ISA IEC 62443 e ISO 27001 con el fin de mitigar riesgos de confidencialidad, integridad y disponibilidad de la infraestructura.

Figura 3.- Modelo de seguridad a profundidad ISA/IEC: 62443 [4]
La solución de medición que se implementará consta de instrumentos de campo que censan diferentes variables como: presión, potencial de hidrogeno, temperatura y flujo, para presentar la información en un SCADA. Por lo tanto, el objetivo del proyecto es lograr el transporte seguro de datos hasta la centralización en una plataforma de reporteo que sirva para proveer información a los directivos durante la toma de decisiones.

Una vez implementada la solución de instrumentación de campo y la red RF, previo a la puesta en productivo, se realiza el Security Survey and Risk Assesment en donde se evidencian las vulnerabilidades de la solución. Se emite un reporte detallado. Posteriormente y como primera etapa, se inicia con una jornada de concientización de Ciberseguridad a las diferentes áreas involucradas, panfletos y manuales de cultura de la seguridad de la información son distribuidos, y se genera un grupo de salvaguarda de la información, con un líder auditor en ISO 27001, que forme parte del comité de ética del complejo. Después de la primera etapa, se adopta un esquema de Defensa en profundidad en donde se definen mecanismos de seguridad en los niveles (IEC 62443-3-3, System security requirements and security levels).

Durante el proceso de ingeniería de detalle, se genera el diseño de bajo nivel en donde se considera la segmentación del direccionamiento IP según el propósito. En cada segmento de red se implementan dos VLAN, tanto para los datos de procesos; como para el tráfico de administración de los dispositivos. Es en esta fase en donde también se define el primer esquema de clasificación de Zonas, Conductos y Canales, y se determina el uso de los siguientes protocolos por plano:

Protección de la gestión de la red:

a. SSHv2 – IETF (RFC: 4251, 4253, 4252 y 4254)

  • Intercambio de llaves: Deffie Hellman, Kerberos.
  • Cifrado: DES, 3DES y AES (en sus diferentes extensiones de llaves 128, 192 y 256)
  • Autenticación: MD5, SHA-1, SHA-2

b. HTTPS – IETF (RFC: 2818)

  • Cifrado: SSL y TLS
  • Autenticación: Public Key Infrastructure (PKI asymmetric)

c. SNMPv3 – IETF (RFC: 3410)

  • Cifrado: DES, 3DES, AES
  • Autenticación: MD5, SHA-1 y SHA-2

Protección de los protocolos de operación de la red:

  1. Ruteo estático – IETF (RFC: 1812)
  2. Ruteo dinámico con autenticación.
    • RIPv2 (Uso de Keychain: texto plano o MD5)

Protección de datos:

a. Política de seguridad – IETF (RFC: 1918, 3330 y 2827)

  • Class Map: Identificación del tráfico: Puerto origen – Puerto destino, IP origen – IP destino
  • Policy Map: Acción (permit, deny y drop)
  • Service Policy: Interfaz y zona

b. TCP IETF (RFC: 793)

  • Integridad basada en la arquitectura del protocolo (Sesiones y Checksum).

El despliegue de consolas de Autenticación, Autorización y Contabilización, así como servidores colectores de Log, son medidas distintivas para la gestión Inbound Management. Se implementan las siguientes:

  • TACACS – IETF (RFC 1492)
  • SysLog – IETF: servidor de Log (RFC 3164)

Adicionalmente, el reporte de Risk Assesment da como resultado que las contraseñas de autenticación de los transmisores Wireless HART (utilizados para la recolección de variables de campo) con sus Gateway, no son lo suficientemente robustas para soportar ataques de fuerza bruta o diccionario de datos, lo que desemboca en generar nuevas contraseñas que utilicen caracteres mixtos (alfanuméricos con mayúsculas, minúsculas y símbolos) y con una longitud mayor a 6 dígitos. Por otro lado, se habilita el cifrado de datos mediante AES-256 para mitigar riesgos de confidencialidad en la red Mesh-HART.  Como paso siguiente, dado que la información de cada planta se concentra en Gateways, mismos que a su vez se integrarán al PmP de radiofrecuencia, se instalan Firewalls con Deep Packet Inspection, interconectados de manera no intrusiva, entre CPE de cada radio suscriptor y el Gateway. Estos elementos de campo delimitan la primera zona y subzona de seguridad (con código Z1_PA1). Así sucesivamente para cada planta de proceso ya que es un esquema homologado.

Sabedores de que toda estrategia integral de ciberseguridad industrial debe considerar la estandarización de tácticas y estrategias que incluyan: hardening de dispositivos finales, ya sea en esquemas de seguridad ofensiva o defensiva, se ha considerado la instalación de software para Data Loss Prevention en donde se configurarán diversas reglas entre las que destacan: bloqueo de puertos USB, delimitación de extensión de archivos entrantes y salientes, y alertas por transferencia masiva de información.  El líder Auditor de ISO 27001 orquesta la generación un Plan de continuidad del negocio (BCP), Plan de respuesta a incidentes (IRP), Plan de recuperación de desastres (DRP). Incluso, se ha considerado que el complejo petroquímico cuente con Plan de investigación forense para la obtención de pruebas contundentes que permitan poner a los cibercriminales ante los tribunales en caso de requerirse.

Por otro lado, a pesar de contar con metodologías implementadas y esquemas estandarizados preparados para ciberataques reflectivos o de amplificación, los criterios de diseño considerados por el grupo de Ciberseguridad toman un cariz trascendente, y consideran esquemas de Alta disponibilidad y redundancia. Gracias a que la infraestructura considerada (Secure by Desing) soporta la protección de la Disponibilidad, son configurados también en los Firewall, Routers y Switches Core, los siguientes mecanismos y protocolos:

  • VRRP (RFC 3768)
  • BFD (RFC 5883)
  • Protocolos de alta disponibilidad según el fabricante (ej. HSRP, HRP, FGCP, etc)
  • CDP attack
  • LLDP defense
  • STP portfast:
  • STP BPDU guard
  • STP root guard
  • DHCP snooping
  • ARP DAI
  • VLAN hopping secure
  • Secure bootset

La red punto multipunto para el transporte de datos, es aprovisionada en la banda de frecuencia licenciada. Se habilita un cifrado y autenticación AES-256 y SHA-2, misma que se ha segmentado a través de la creación de zonas Trust (Z2_PA1) y Untrust (Z2_PA2) y, en la definición de flujos de tráfico, se ha microsegmentado la comunicación por puertos TCP/UDP mediante políticas Capa 4.

Finalmente, el canal de comunicación se estable entre la radiobase y el Firewall Core, quien a su vez tendrán una troncal hacia los conductos o Switches de distribución (se genera la zona: Z3_CP1), para encaminar el tráfico hasta los servidores SCADA de tiempo real e históricos. En este punto las variables provenientes de cada planta son inspeccionadas nuevamente por el Firewall Core.

Previo a la puesta en marcha de la solución y de la adquisición de datos en el cuarto de control principal, se realizan pruebas de penetración con herramientas de terceros obteniendo un valor satisfactorio.

CONCLUSIÓN

En medida que asumamos los retos y nos empoderemos de las posibilidades de mejora que existen en ellos, la industria 4.0 acogerá de mejor forma el dinamismo de la Ciberseguridad. Por otro lado, a pesar de que las reservas petrolíferas de los países desarrollados aún son considerables, pero no rentables, aquellos que no son tan afortunando de contar con el finito recurso, naciones o privados, han de encontrar la forma de trasladar el mercado a nuevas fuentes de producción hasta equiparar el cenit del petróleo. Todo mediante el aprovechamiento de las bondades del OT y la Ciberseguridad aplicada como mejora continua.

REFERENCIAS

[1] https://www.forbes.com/sites/louiscolumbus/2017/12/10/2017-roundup-of-internet-of-things-forecasts/#17c667cc1480

[2] https://www.forbes.com/sites/niallmccarthy/2018/07/13/the-average-cost-of-a-data-breach-is-highest-in-the-u-s-infographic/#3f3a273b2f37

[3] https://www.researchgate.net/figure/Purdue-Model-for-Control-Hierarchy18_fig2_293811556

[4] https://wpo-altertechnology.com/iec-62443-standards/

[5] https://en.wikipedia.org/wiki/Operational_Technology

[6] https://es.wikipedia.org/wiki/Opex

[7] https://es.wikipedia.org/wiki/Infraestructura_como_servicio_(IaaS)

ACERCA DEL AUTOR

Marco Antonio Sandoval García posee diversos cursos y certificaciones con fabricantes líderes en la industria.  Tiene más de 9 años de experiencia en proyectos de telecomunicaciones en el mercado de Gas y Petróleo para empresas paraestatales y privadas. Actualmente se desenvuelve como Subgerente de tecnología en Apollo Communications ejerciendo de líder de Ciberseguridad y mesa de ayuda nivel 2 en esquemas de servicios administrados (IaaS) o llave en mano. Ha tenido la oportunidad de participar en las diferentes fases del proyecto para sistemas como:  Voz y datos, radiocomunicación, fibra óptica, cableado estructurado, CCTV, control de acceso e intercomunicación y voceo.  Su pasión por la Ciberseguridad en OT lo ha llevado a adentrase en estándares como ISA/IEC: 62443 e ISO27001 con el fin de aportar valor agregado a los clientes y organizaciones en donde se desarrolla.

0
Compartir:

Dejar un comentario

This site uses Akismet to reduce spam. Learn how your comment data is processed.