Seguridad del sistema de control

La seguridad del sistema de control , o ciberseguridad del sistema de control industrial (ICS) , es la prevención de interferencias (intencionadas o no) con el funcionamiento adecuado de los sistemas de control y automatización industrial . Estos sistemas de control gestionan servicios esenciales como la electricidad, la producción de petróleo, el agua, el transporte, la fabricación y las comunicaciones. Dependen de ordenadores, redes, sistemas operativos, aplicaciones y controladores programables , cada uno de los cuales podría contener vulnerabilidades de seguridad . El descubrimiento en 2010 del gusano Stuxnet demostró la vulnerabilidad de estos sistemas a los incidentes cibernéticos. ^[1] Estados Unidos y otros gobiernos han aprobado normas de ciberseguridad que exigen una mayor protección de los sistemas de control que operan infraestructuras críticas.

La seguridad del sistema de control se conoce con otros nombres, como seguridad SCADA , seguridad PCN , seguridad de red industrial , ciberseguridad del sistema de control industrial (ICS) , seguridad de tecnología operativa (OT), sistemas de control y automatización industrial y ciberseguridad del sistema de control .

Riesgos

La inseguridad o las vulnerabilidades inherentes a los sistemas de automatización y control industrial (IACS) pueden tener consecuencias graves en categorías como seguridad, pérdida de vidas, lesiones personales, impacto ambiental, pérdida de producción, daños a los equipos, robo de información e imagen de la empresa. Se proporciona orientación para evaluar y mitigar estos riesgos potenciales mediante la aplicación de numerosos documentos gubernamentales, regulatorios e industriales y estándares globales, que se abordan a continuación.

Vulnerabilidad de los sistemas de control

Los sistemas de control industrial (ICS) se han vuelto mucho más vulnerables a los incidentes de seguridad debido a las siguientes tendencias que han ocurrido en los últimos 10 a 15 años.

• Uso intensivo de tecnología comercial disponible en el mercado (COTS) y protocolos. La integración de tecnología como MS Windows, SQL y Ethernet significa que los sistemas de control de procesos ahora son vulnerables al mismo malware (virus, gusanos y troyanos) que afecta a los sistemas informáticos comunes.
• La integración empresarial (utilizando redes de planta, corporativas e incluso públicas) significa que los sistemas de control de procesos (heredados) ahora están sujetos a tensiones para las que no fueron diseñados.
• Demanda de acceso remoto: el acceso las 24 horas, los 7 días de la semana para ingeniería, operaciones o soporte técnico significa conexiones más inseguras o no autorizadas al sistema de control.
• Seguridad a través de la oscuridad : el uso de protocolos o estándares no estándar, privados o propietarios es perjudicial para la seguridad del sistema.

Las amenazas cibernéticas y las estrategias de ataque a los sistemas de automatización están cambiando rápidamente. La regulación de los sistemas de control industrial para la seguridad es poco frecuente y es un proceso lento. Estados Unidos, por ejemplo, sólo lo hace para la energía nuclear y las industrias químicas . ^[2]

Esfuerzos del gobierno

El Equipo de Preparación para Emergencias Informáticas del Gobierno de los EE. UU . (US-CERT) instituyó originalmente un programa de seguridad de sistemas de control (CSSP), ahora el Centro Nacional de Integración de Comunicaciones y Ciberseguridad (NCCIC) de Sistemas de Control Industrial, que ha puesto a disposición un gran conjunto de documentos de estándares gratuitos del Instituto Nacional de Estándares y Tecnología (NIST) sobre seguridad de sistemas de control. ^[3] La Demostración de Tecnología de Capacidad Conjunta del Gobierno de los EE. UU. (JCTD) conocida como MOSIACS (Más Conciencia Situacional para Sistemas de Control Industrial) es la demostración inicial de la capacidad defensiva de ciberseguridad para sistemas de control de infraestructura crítica. ^[4] MOSAICS aborda la necesidad operativa del Departamento de Defensa (DOD) de capacidades de ciberdefensa para defender los sistemas de control de infraestructura crítica de ataques cibernéticos, como energía, agua y aguas residuales, y los controles de seguridad que afectan el entorno físico. ^[5] El prototipo JCTD de MOSAICS se compartirá con la industria comercial a través de Días de la Industria para una mayor investigación y desarrollo, un enfoque destinado a conducir a capacidades innovadoras y revolucionarias para la ciberseguridad para sistemas de control de infraestructura crítica. ^[6]

Normas de ciberseguridad industrial

El estándar internacional para la ciberseguridad en la automatización industrial es el IEC 62443. Además, varias organizaciones nacionales como el NIST y el NERC en los EE. UU. publicaron pautas y requisitos para la ciberseguridad en los sistemas de control.

IEC 62443

La norma de ciberseguridad IEC 62443 define procesos, técnicas y requisitos para los sistemas de automatización y control industrial (IACS). Sus documentos son el resultado del proceso de creación de normas IEC, en el que todos los comités nacionales implicados acordaron una norma común. La IEC 62443 se inspiró en la serie de normas ANSI/ISA-99 y en las directrices VDI/VDE 2182 y se basa parcialmente en ellas.

Productos de trabajo IEC 62443 planificados y publicados para la seguridad de IACS.

Todas las normas e informes técnicos IEC 62443 están organizados en cuatro categorías generales denominadas General , Políticas y procedimientos , Sistema y Componente .

1. La primera categoría incluye información fundamental como conceptos, modelos y terminología.
2. La segunda categoría de productos de trabajo está dirigida al propietario del activo y aborda diversos aspectos de la creación y el mantenimiento de un programa de seguridad del IACS eficaz.
3. La tercera categoría incluye productos de trabajo que describen las pautas y requisitos de diseño de sistemas para la integración segura de los sistemas de control. El núcleo de esta categoría es el modelo de diseño de zonas y conductos.
4. La cuarta categoría incluye productos de trabajo que describen el desarrollo de productos específicos y los requisitos técnicos de los productos del sistema de control.

Centro Nacional de Investigación Científica

El estándar de seguridad NERC más reconocido y más reciente es el NERC 1300, que es una modificación/actualización del NERC 1200. La última versión del NERC 1300 se denomina CIP-002-3 a CIP-009-3, y CIP hace referencia a la protección de infraestructura crítica. Estos estándares se utilizan para proteger los sistemas eléctricos masivos, aunque el NERC ha creado estándares en otras áreas. Los estándares de sistemas eléctricos masivos también proporcionan administración de seguridad de red y, al mismo tiempo, respaldan los procesos de mejores prácticas de la industria.

Instituto Nacional de Estándares y Tecnología (NIST)

El Marco de Ciberseguridad del NIST (NIST CSF) ofrece una taxonomía de alto nivel de los resultados de la ciberseguridad y una metodología para evaluar y gestionar esos resultados. Su objetivo es ayudar a las organizaciones del sector privado que proporcionan infraestructura crítica con orientación sobre cómo protegerla. ^[7]

La publicación especial 800-82 Rev. 2 del NIST, “ Guía para la seguridad de los sistemas de control industrial (ICS) ”, describe cómo proteger varios tipos de sistemas de control industrial contra ataques cibernéticos, teniendo en cuenta los requisitos de rendimiento, confiabilidad y seguridad específicos de los ICS. ^[8]

Certificaciones de seguridad de sistemas de control

Varios organismos de certificación internacionales han establecido certificaciones para la seguridad de los sistemas de control. La mayoría de los esquemas se basan en la norma IEC 62443 y describen métodos de prueba, políticas de auditoría de vigilancia, políticas de documentación pública y otros aspectos específicos de su programa.

Enlaces externos

• IEC 62443
• Página web del NIST de EE. UU.
• Normas de protección de infraestructura crítica (CIP) del NERC de EE. UU. Archivado el 1 de enero de 2011 en Wayback Machine
• Herramientas, catálogos y normas de la NPSA del Reino Unido

Referencias

1. Byres, Eric; Cusimano, John (febrero de 2012). "Los 7 pasos para la seguridad de los sistemas ICS". Tofino Security y exida Consulting LLC. Archivado desde el original el 23 de enero de 2013. Consultado el 3 de marzo de 2011 .
2. Gross, Michael Joseph (1 de abril de 2011). "Una declaración de guerra cibernética". Vanity Fair . Condé Nast. Archivado desde el original el 13 de julio de 2014. Consultado el 29 de noviembre de 2017 .
3. "Estándares y referencias - NCCIC/ICS-CERT". ics-cert.us-cert.gov/ . Archivado desde el original el 26 de octubre de 2010 . Consultado el 27 de octubre de 2010 .
4. "Más conocimiento de la situación para los sistemas de control industrial (MOSAICS) Demostración de tecnología de capacidad conjunta (JCTD): un desarrollo conceptual para la defensa de la infraestructura de misión crítica - HDIAC" . Consultado el 31 de julio de 2021 .
5. "Más conocimiento de la situación para sistemas de control industrial (MOSAICS): ingeniería y desarrollo de una capacidad de ciberdefensa de infraestructura crítica para clases dinámicas altamente sensibles al contexto: Parte 1 - Ingeniería - HDIAC" . Consultado el 31 de julio de 2021 .
6. "Más conocimiento de la situación para sistemas de control industrial (MOSAICS): ingeniería y desarrollo de una capacidad de ciberdefensa de infraestructura crítica para clases dinámicas altamente sensibles al contexto: Parte 2 - Desarrollo - HDIAC" . Consultado el 31 de julio de 2021 .
7. "Marco de ciberseguridad del NIST" . Consultado el 2 de agosto de 2016 .
8. Stouffer, Keith; Lightman, Suzanne; Pillitteri, Victoria; Abrams, Marshall; Hahn, Adam (3 de junio de 2015). "Guía para la seguridad de los sistemas de control industrial (ICS)". CSRC | NIST . doi :10.6028/NIST.SP.800-82r2 . Consultado el 29 de diciembre de 2020 .