La seguridad del sistema de control , o ciberseguridad del sistema de control industrial (ICS) , es la prevención de interferencias (intencionadas o no) en el funcionamiento adecuado de los sistemas de control y automatización industrial . Estos sistemas de control gestionan servicios esenciales como la electricidad, la producción de petróleo, el agua, el transporte, la fabricación y las comunicaciones. Dependen de ordenadores, redes, sistemas operativos, aplicaciones y controladores programables , cada uno de los cuales podría contener vulnerabilidades de seguridad . El descubrimiento en 2010 del gusano Stuxnet demostró la vulnerabilidad de estos sistemas a los incidentes cibernéticos. [1] Estados Unidos y otros gobiernos han aprobado normativas de ciberseguridad que exigen una mayor protección de los sistemas de control que operan infraestructuras críticas.
La seguridad del sistema de control se conoce con otros nombres, como seguridad SCADA , seguridad PCN , seguridad de red industrial , ciberseguridad del sistema de control industrial (ICS) , seguridad de tecnología operativa (OT), sistemas de control y automatización industrial y ciberseguridad del sistema de control .
La inseguridad o las vulnerabilidades inherentes a los sistemas de automatización y control industrial (IACS) pueden tener consecuencias graves en categorías como seguridad, pérdida de vidas, lesiones personales, impacto ambiental, pérdida de producción, daños a los equipos, robo de información e imagen de la empresa. Se proporciona orientación para evaluar y mitigar estos riesgos potenciales mediante la aplicación de numerosos documentos gubernamentales, regulatorios e industriales y estándares globales, que se abordan a continuación.
Los sistemas de control industrial (ICS) se han vuelto mucho más vulnerables a los incidentes de seguridad debido a las siguientes tendencias que han ocurrido en los últimos 10 a 15 años.
Las amenazas cibernéticas y las estrategias de ataque a los sistemas de automatización están cambiando rápidamente. La regulación de los sistemas de control industrial para la seguridad es poco frecuente y es un proceso lento. Estados Unidos, por ejemplo, sólo lo hace para la energía nuclear y las industrias químicas . [2]
El Equipo de Preparación para Emergencias Informáticas del Gobierno de los EE. UU . (US-CERT) instituyó originalmente un programa de seguridad de sistemas de control (CSSP), ahora el Centro Nacional de Integración de Comunicaciones y Ciberseguridad (NCCIC) de Sistemas de Control Industrial, que ha puesto a disposición un gran conjunto de documentos de estándares gratuitos del Instituto Nacional de Estándares y Tecnología (NIST) sobre seguridad de sistemas de control. [3] La Demostración de Tecnología de Capacidad Conjunta del Gobierno de los EE. UU. (JCTD) conocida como MOSIACS (Más Conciencia Situacional para Sistemas de Control Industrial) es la demostración inicial de la capacidad defensiva de ciberseguridad para sistemas de control de infraestructura crítica. [4] MOSAICS aborda la necesidad operativa del Departamento de Defensa (DOD) de capacidades de ciberdefensa para defender los sistemas de control de infraestructura crítica de ataques cibernéticos, como energía, agua y aguas residuales, y los controles de seguridad que afectan el entorno físico. [5] El prototipo JCTD de MOSAICS se compartirá con la industria comercial a través de Días de la Industria para una mayor investigación y desarrollo, un enfoque destinado a conducir a capacidades innovadoras y revolucionarias para la ciberseguridad para sistemas de control de infraestructura crítica. [6]
El estándar internacional para la ciberseguridad en la automatización industrial es el IEC 62443. Además, varias organizaciones nacionales como el NIST y el NERC en los EE. UU. publicaron pautas y requisitos para la ciberseguridad en los sistemas de control.
La norma de ciberseguridad IEC 62443 define procesos, técnicas y requisitos para los sistemas de automatización y control industrial (IACS). Sus documentos son el resultado del proceso de creación de normas IEC, en el que todos los comités nacionales implicados acordaron una norma común. La IEC 62443 se inspiró en la serie de normas ANSI/ISA-99 y en las directrices VDI/VDE 2182 y se basa parcialmente en ellas.
Todas las normas e informes técnicos IEC 62443 están organizados en cuatro categorías generales denominadas General , Políticas y procedimientos , Sistema y Componente .
El estándar de seguridad NERC más reconocido y más reciente es el NERC 1300, que es una modificación/actualización del NERC 1200. La última versión del NERC 1300 se denomina CIP-002-3 a CIP-009-3, y CIP hace referencia a la protección de infraestructura crítica. Estos estándares se utilizan para proteger los sistemas eléctricos masivos, aunque el NERC ha creado estándares en otras áreas. Los estándares de sistemas eléctricos masivos también proporcionan administración de seguridad de red y, al mismo tiempo, respaldan los procesos de mejores prácticas de la industria.
El Marco de Ciberseguridad del NIST (NIST CSF) ofrece una taxonomía de alto nivel de los resultados de la ciberseguridad y una metodología para evaluar y gestionar esos resultados. Su objetivo es ayudar a las organizaciones del sector privado que proporcionan infraestructura crítica con orientación sobre cómo protegerla. [7]
La publicación especial 800-82 Rev. 2 del NIST, “ Guía para la seguridad de los sistemas de control industrial (ICS) ”, describe cómo proteger varios tipos de sistemas de control industrial contra ataques cibernéticos, teniendo en cuenta los requisitos de rendimiento, confiabilidad y seguridad específicos de los ICS. [8]
Varios organismos de certificación internacionales han establecido certificaciones para la seguridad de los sistemas de control. La mayoría de los esquemas se basan en la norma IEC 62443 y describen métodos de prueba, políticas de auditoría de vigilancia, políticas de documentación pública y otros aspectos específicos de su programa.