Seguridad del sistema de control

La seguridad del sistema de control , o ciberseguridad del sistema de control industrial (ICS) , es la prevención de interferencias (intencionales o no) con el funcionamiento adecuado de los sistemas de control y automatización industrial . Estos sistemas de control gestionan servicios esenciales, incluidos la electricidad, la producción de petróleo, el agua, el transporte, la manufactura y las comunicaciones. Dependen de computadoras, redes, sistemas operativos, aplicaciones y controladores programables , cada uno de los cuales podría contener vulnerabilidades de seguridad . El descubrimiento en 2010 del gusano Stuxnet demostró la vulnerabilidad de estos sistemas a los incidentes cibernéticos. ^[1] Estados Unidos y otros gobiernos han aprobado regulaciones de seguridad cibernética que requieren una mayor protección para los sistemas de control que operan infraestructuras críticas.

La seguridad del sistema de control se conoce con varios otros nombres, como seguridad SCADA , seguridad PCN , seguridad de redes industriales , ciberseguridad del sistema de control industrial (ICS) , seguridad de tecnología operativa (OT), sistemas de control y automatización industrial y seguridad cibernética del sistema de control .

Riesgos

La inseguridad o las vulnerabilidades inherentes a los sistemas de control y automatización industrial (IACS) pueden tener consecuencias graves en categorías como seguridad, pérdida de vidas, lesiones personales, impacto ambiental, pérdida de producción, daños a equipos, robo de información e imagen de la empresa. Se proporciona orientación para valorar, evaluar y mitigar estos riesgos potenciales mediante la aplicación de muchos documentos gubernamentales, regulatorios, de la industria y estándares globales, que se abordan a continuación.

Vulnerabilidad de los sistemas de control.

Los sistemas de control industrial (ICS) se han vuelto mucho más vulnerables a los incidentes de seguridad debido a las siguientes tendencias que han ocurrido en los últimos 10 a 15 años.

• Uso intensivo de protocolos y tecnología comercial lista para usar (COTS). La integración de tecnologías como MS Windows, SQL y Ethernet significa que los sistemas de control de procesos ahora son vulnerables al mismo malware (virus, gusanos y troyanos) que afecta a los sistemas de TI comunes.
• La integración empresarial (utilizando redes de planta, corporativas e incluso públicas) significa que los sistemas de control de procesos (heredados) ahora están sujetos a tensiones para las que no fueron diseñados.
• Demanda de acceso remoto: el acceso 24 horas al día, 7 días a la semana para ingeniería, operaciones o soporte técnico significa conexiones más inseguras o no autorizadas al sistema de control.
• Seguridad a través de la oscuridad : el uso de protocolos o estándares no estándar, privados o propietarios es perjudicial para la seguridad del sistema.

Las ciberamenazas y las estrategias de ataque a los sistemas de automatización están cambiando rápidamente. La regulación de los sistemas de control industrial para la seguridad es poco común y es un proceso lento. Estados Unidos, por ejemplo, sólo lo hace para la energía nuclear y las industrias químicas . ^[2]

Esfuerzos del gobierno

El Equipo de Preparación para Emergencias Informáticas del Gobierno de EE. UU. (US-CERT) instituyó originalmente un programa de seguridad de sistemas de control (CSSP), ahora el Centro Nacional de Integración de Comunicaciones y Ciberseguridad (NCCIC), Sistemas de Control Industrial, que ha puesto a disposición un gran conjunto de sistemas de control industriales gratuitos del Instituto Nacional de Estándares. y Tecnología (NIST) sobre seguridad del sistema de control. ^[3] La Demostración de Tecnología de Capacidad Conjunta (JCTD) del Gobierno de EE. UU. conocida como MOSIACS (Más conciencia situacional para sistemas de control industrial) es la demostración inicial de la capacidad defensiva de ciberseguridad para sistemas de control de infraestructura crítica. ^[4] MOSAICS aborda la necesidad operativa del Departamento de Defensa (DOD) de capacidades de defensa cibernética para defender los sistemas de control de infraestructura crítica de ataques cibernéticos, como la energía, el agua y las aguas residuales, y los controles de seguridad que afectan el entorno físico. ^[5] El prototipo MOSAICS JCTD se compartirá con la industria comercial a través de Industry Days para una mayor investigación y desarrollo, un enfoque destinado a conducir a capacidades innovadoras y revolucionarias para la ciberseguridad de los sistemas de control de infraestructura crítica. ^[6]

Estándares de ciberseguridad industrial

El estándar internacional para la ciberseguridad en la automatización industrial es el IEC 62443. Además, múltiples organizaciones nacionales como el NIST y NERC en EE. UU. publicaron directrices y requisitos para la ciberseguridad en los sistemas de control.

CEI 62443

El estándar de ciberseguridad IEC 62443 define procesos, técnicas y requisitos para los Sistemas de Control y Automatización Industrial (IACS). Sus documentos son el resultado del proceso de creación de estándares IEC donde todos los comités nacionales involucrados acuerdan un estándar común. La norma IEC 62443 fue influenciada y se basa en parte en la serie de normas ANSI/ISA-99 y las directrices VDI/VDE 2182.

Productos de trabajo IEC 62443 planificados y publicados para seguridad IACS.

Todos los estándares e informes técnicos IEC 62443 están organizados en cuatro categorías generales denominadas General , Políticas y Procedimientos , Sistema y Componente .

1. La primera categoría incluye información fundamental como conceptos, modelos y terminología.
2. La segunda categoría de productos de trabajo está dirigida al propietario de activos. Estos abordan varios aspectos de la creación y mantenimiento de un programa de seguridad IACS eficaz.
3. La tercera categoría incluye productos de trabajo que describen la guía de diseño del sistema y los requisitos para la integración segura de los sistemas de control. El núcleo de esto es el modelo de diseño de zonas y conductos.
4. La cuarta categoría incluye productos de trabajo que describen el desarrollo de productos específicos y los requisitos técnicos de los productos de sistemas de control.

NERC

El estándar de seguridad NERC más reciente y más reconocido es NERC 1300, que es una modificación/actualización de NERC 1200. La última versión de NERC 1300 se llama CIP-002-3 a CIP-009-3, y CIP se refiere a Protección de infraestructura crítica. . Estos estándares se utilizan para proteger sistemas eléctricos a granel, aunque NERC ha creado estándares en otras áreas. Los estándares de sistemas eléctricos a granel también brindan administración de seguridad de la red y al mismo tiempo respaldan los procesos de mejores prácticas de la industria.

NIST

El Marco de Ciberseguridad del NIST (NIST CSF) proporciona una taxonomía de alto nivel de resultados de ciberseguridad y una metodología para evaluar y gestionar esos resultados. Su objetivo es ayudar a las organizaciones del sector privado que proporcionan infraestructura crítica con orientación sobre cómo protegerla. ^[7]

La publicación especial del NIST 800-82 Rev. 2 " Guía para la seguridad del sistema de control industrial (ICS) " describe cómo proteger múltiples tipos de sistemas de control industrial contra ataques cibernéticos teniendo en cuenta los requisitos de rendimiento, confiabilidad y seguridad específicos de ICS. ^[8]

Certificaciones de seguridad del sistema de control.

Varios organismos de certificación globales han establecido certificaciones para la seguridad del sistema de control. La mayoría de los esquemas se basan en IEC 62443 y describen métodos de prueba, políticas de auditoría de vigilancia, políticas de documentación pública y otros aspectos específicos de su programa.

enlaces externos

• CEI 62443
• Página web del NIST de EE. UU.
• Estándares de protección de infraestructura crítica (CIP) NERC de EE. UU. Archivado el 1 de enero de 2011 en Wayback Machine.
• Herramientas, catálogos y estándares de la NPSA del Reino Unido

Referencias

1. Establos, Eric; Cusimano, John (febrero de 2012). "Los 7 pasos para la seguridad de ICS". Tofino Security y exida Consulting LLC. Archivado desde el original el 23 de enero de 2013 . Consultado el 3 de marzo de 2011 .
2. Bruto, Michael Joseph (1 de abril de 2011). "Una declaración de guerra cibernética". Feria de la vanidad . Conde Nast. Archivado desde el original el 13 de julio de 2014 . Consultado el 29 de noviembre de 2017 .
3. "Estándares y Referencias - NCCIC / ICS-CERT". ics-cert.us-cert.gov/ . Archivado desde el original el 26 de octubre de 2010 . Consultado el 27 de octubre de 2010 .
4. "Más conocimiento de la situación para la demostración de tecnología de capacidad conjunta (JCTD) de sistemas de control industrial (MOSAICS): un desarrollo de concepto para la defensa de la infraestructura de misión crítica - HDIAC" . Consultado el 31 de julio de 2021 .
5. "Más conciencia situacional para sistemas de control industrial (MOSAICS): ingeniería y desarrollo de una capacidad de ciberdefensa de infraestructura crítica para clases dinámicas altamente sensibles al contexto: Parte 1 - Ingeniería - HDIAC" . Consultado el 31 de julio de 2021 .
6. "Más conciencia situacional para sistemas de control industrial (MOSAICS): ingeniería y desarrollo de una capacidad de ciberdefensa de infraestructura crítica para clases dinámicas altamente sensibles al contexto: Parte 2 - Desarrollo - HDIAC" . Consultado el 31 de julio de 2021 .
7. "Marco de ciberseguridad del NIST" . Consultado el 2 de agosto de 2016 .
8. Stouffer, Keith; Hombre ligero, Suzanne; Pillitteri, Victoria; Abrams, Marshall; Hahn, Adam (3 de junio de 2015). "Guía de seguridad de los sistemas de control industrial (ICS)". CSRC | NIST . doi : 10.6028/NIST.SP.800-82r2 . Consultado el 29 de diciembre de 2020 .