¿Cómo la Ciberseguridad está cambiando la Seguridad del Proceso?

Aprovechar las técnicas existentes de evaluación de riesgos en la seguridad del proceso puede ayudar a las organizaciones a gestionar eficazmente el riesgo cibernético.

Los ciberataques se han convertido en una amenaza creíble para la seguridad del Proceso. Actualmente, se puede acceder de manera remota al 70% de los Sistemas de Control y Automatización Industriales (IACS, por sus siglas en inglés: Industrial Automation and Control Systems), incrementando la vulnerabilidad de las Industrias de Procesos Químicos a ciberataques. Las consecuencias de los ciberataques son bien entendidas para las redes empresariales (p. ej. Robo de información, negación de servicios, etc.). Sin embargo, los ciberataques a los IACS pueden tener consecuencias más severas, debido a que controlan sistemas físicos. Este artículo explora cómo la ciberseguridad está cambiando la seguridad del Proceso, considera el impacto de los incidentes de ciberseguridad en las estrategias tradicionales de salvaguardado y evaluación de riesgos, e introduce pasos clave para gestionar el riesgo cibernético.

Seguridad del Proceso (Safety en inglés) y Ciberseguridad (Security en inglés)

Ciberseguridad es la habilidad de proteger algo de distintas amenazas; así, la ciberseguridad se enfoca en proteger a los sistemas basados en computadoras ante accesos no autorizado. Aunque la ciberseguridad es un concepto relativamente nuevo, la seguridad en un sentido más amplio ha sido relevante desde que ha habido algo que vale la pena proteger. Para la seguridad de la Tecnología de la Información (IT, por sus siglas en inglés: Information Technology), el desempeño y la confidencialidad son lo más importante, y los cortes, aunque indeseables, son aceptables. Esto no es así para la Industria de Proceso Químico, donde la necesidad de disponibilidad e integridad de los sistemas de control y seguridad tienen mayor peso que las demás consideraciones.

La ciberseguridad se ha vuelto rápidamente un componente esencial para mantener una operación continua y segura de las instalaciones industriales. Un sondeo en 2019 mostró que el 59% de los operadores de IACS habían experimentado algún incidente de ciberseguridad el año anterior (1). El aumento de los incidentes de ciberseguridad no es un fenómeno limitado a unas cuantas compañías en específico o solo a las corporaciones más grandes. En los últimos diez años, numerosos ataques a sistemas de automatización demuestran que instalaciones industriales de todos los tipos y tamaños son vulnerables a ciberataques, y estos ciberataques pueden tener consecuencias significantes, tanto financieras, como ambientales, o en la seguridad de las personas (Figura 1) (2,3).

Entender cómo un ciberataque puede impactar al IACS es crítico para la gestión de la seguridad del proceso de una instalación. Un impacto de ciberseguridad particularmente llamativo en la seguridad del proceso es la posibilidad de que un ciberataque inicie fallas de causa común en múltiples sistemas. Por ejemplo, el ataque a una planta de acero en Alemania (4), Stuxnet (5), y el ataque Tritón a una planta petroquímica en Arabia Saudita (6) muestran que los atacantes pueden (y lo harán) fijarse como objetivo tanto a funciones de control como de seguridad. Si un ciberataque provoca el evento iniciador de un peligro e inhabilita múltiples capas de protección, puede conducir a un riesgo significativo no mitigado. La relación entre seguridad del proceso y la ciberseguridad ha sido reconocida en estándares internacionales y buenas prácticas de la industria. La actualización, en el 2016, del estándar de seguridad funcional 61511 de la Comisión Electrotécnica Internacional (IEC, por sus siglas en inglés: International Electrotechnical Commission) incluye nuevos requerimientos de ciberseguridad. Para muchas compañías en la Industria de Procesos Químicos, el estándar IEC 61511 es usado para demostrar cumplimiento con los requisitos regulatorios. Cualquier compañía que afirme cumplir con IEC 61511 ahora debe completar las actividades de ciberseguridad obligatorias, incluyendo una evaluación de riesgo cibernético para el Sistema Instrumentado de Seguridad (SIS, por sus siglas en inglés: Safety Instrumented System) y todas las redes conectadas.

Incidentes de ciberseguridad

El término “ciberseguridad” por lo regular evoca la imagen de una figura encapuchada, en una habitación oscura, hackeando información personal en una red de IT. Estos ataques estereotípicos pueden implementar correos electrónicos de suplantación de identidad (phishing, correos electrónicos diseñados para engañar a los usuarios a fin de que revelen información personal y contraseñas) que incluyen enlaces o archivos adjuntos engañosos. Una vez que se da clic en el enlace, esta descarga y ejecuta algún malware (código malicioso). Dichos ataques pueden comprometer la información financiera de la víctima o conducir al robo de identidad.

Aunque este tipo de ciberataques a pequeña escala ocurren de manera regular, los ciberataques industriales pueden ir más allá de robar información personal y tener el potencial de infligir daños físicos significantes al personal, equipo y/o el ambiente.

Un ciberataque en 2014 a una planta de acero alemana resalta cuan peligrosos pueden ser los ataques a los sistemas de control. Los atacantes ganaron acceso a la red corporativa a través de una campaña de phishing con la intención de comprometer las cuentas de los operadores. Desde dentro de la red corporativa, accedieron a la red de control y causaron que múltiples controles de proceso fallaran. Se impidió el paro de un horno en la planta, lo cual resultó en un daño significativo a equipo.

 Afortunadamente, en sitio fueron capaces de identificar el escenario peligroso y de evacuar al personal cercano, pero pudo haber lesiones o fatalidades (4).

El ataque a la planta de acero en Alemania introduce una de las diferencias fundamentales entre la ciberseguridad de IT y los IACS: los ataques a IACS pueden tener impactos físicos. La Tabla 1 presenta incidentes de seguridad que han impactado a IACS (8-12). Muchos de estos incidentes comparten algunos atributos en común:

• Los ciberataques comprometen múltiples capas de protección, como lo son el Sistema de Control Básico de Procesos (BPCS, por sus siglas en inglés: Basic Process Control System), el SIS (Sistema Instrumentado de Seguridad) y alarmas, llevando a una falla de causa común de múltiples salvaguardas consideradas en las evaluaciones de riesgo de la seguridad del proceso.
• Los ciberataques pueden ser o no dirigidos a una compañía en específico (p. ej. La introducción accidental de un virus). Ninguna instalación de proceso es inmune a potenciales ciberataques.
• Ninguna solución por sí sola puede desaparecer el riesgo cibernético. Los incidentes han demostrado que inclusive los mecanismos de seguridad física (p. ej. Candado y llave para el controlador del SIS) o la separación completa de los sistemas conectados a internet pueden ser superados por los atacantes.

Integrar la ciberseguridad con la gestión de seguridad del proceso

Integrar las actividades de seguridad del proceso (safety) existentes, tales como las del estándar IEC 61511 (7), y las tareas de ciberseguridad (security) requeridas, como las indicadas por IEC 62443 (13), ayuda a reducir los esfuerzos duplicados y a detectar errores de diseño. El reporte técnico 84.00.09 “Cybersecurity Related to the Functional Safety Lifecycle”, de la Sociedad Internacional de Automatización (ISA, por sus siglas en inglés: International Society of Automation), provee guías para la integración de las actividades de ciberseguridad y seguridad del proceso (14). Este enfoque de “ciclo de vida” puede brindar un único proceso de trabajo a las organizaciones para:

• Identificar el nivel de riesgo de un proceso o equipo y el nivel de vulnerabilidad de un sistema de control ante un ciberataque
• Establecer objetivos de reducción de riesgo, incluyendo al riesgo cibernético, para mantener el riesgo global en un nivel aceptable, permitiendo así que el diseño de las Funciones Instrumentadas de Seguridad (SIF, por sus siglas en inglés: Safety Instrumented Function) y las contramedidas cibernéticas cumplan con dichos objetivos de reducción de riesgo
• Probar, operar y mantener las SIFs y contramedidas cibernéticas para asegurar que los objetivos de Nivel de Integridad de Seguridad (SIL, por sus siglas en inglés: Safety Integrity Level) y Nivel de Seguridad (SL, por sus siglas en inglés: Security Level) se cumplan.

Los enfoques utilizados para garantizar la seguridad del proceso y la ciberseguridad del IACS se traslapan significativamente. Para remover la necesidad de trabajo por duplicado y reducir el costo de implementación, las actividades pueden ser completadas en paralelo y/o de manera coordinada.

Desarrollar un programa de gestión de la ciberseguridad.

Al centro de un programa de gestión de la ciberseguridad hay una política de ciberseguridad del IACS que documenta los objetivos de ciberseguridad, define el enfoque del ciclo de vida, provee una agenda para la implementación y es independiente de la tecnología. Esta política de ciberseguridad debería establecer los objetivos, actividades requeridas y comportamientos aceptados que son necesarios para mantener un ambiente de producción seguro.

Diseñar la política de ciberseguridad en un formato similar al de las políticas de seguridad del proceso existentes puede ayudar a reducir el tiempo de desarrollo necesario. Es importante que tanto personal de IT como de IACS estén involucrados en el desarrollo de la política y que el límite entre las políticas de seguridad de IT e IACS sea definido.

Es fácil dejarse atrapar por las soluciones tecnológicas y olvidar otros aspectos de la ciberseguridad, como el desarrollo de políticas y el entrenamiento del personal, los cuales son críticos para el éxito de cualquier programa de ciberseguridad. Un estudio realizado en 2020 por el Instituto Ponemon de más de 200 compañías en 13 industrias encontró que más del 60% de todos los incidentes de ciberseguridad fueron causados por personal interno (por ejemplo, empleados a disgusto) (15). Entrenamiento general y concientización sobre ciberseguridad para todo el personal y entrenamiento adicional basado en roles sobre los requisitos del programa de ciberseguridad, son pasos críticos para reducir la probabilidad de un incidente de ciberseguridad. Los programas efectivos de ciberseguridad deberán tener un componente de educación fuerte a fin de que los trabajadores sepan el “cómo” y “por qué” del apropiado comportamiento de la ciberseguridad.

Evaluación de riesgo cibernético

Si una organización no comprende sus peligros cibernéticos, será incapaz de asignar recursos a las protecciones más efectivas, y será incapaz de medir si las protecciones implementadas han disminuido el riesgo a un nivel tolerable. No obstante, identificar los peligros cibernéticos con exactitud puede ser un proceso difícil debido a:

• Concepciones incorrectas de la ciberseguridad en la Industria de Procesos Químicos
• Bases de datos de eventos de ciberseguridad limitadas
• Tecnología que cambia rápidamente
• Un panorama de amenazas en continua evolución.

Adaptar las técnicas existentes de seguridad del proceso, como el Análisis de Peligros del Proceso (PHA, por sus siglas en inglés: Process Hazard Analysis), permite la evaluación de los escenarios de ciberseguridad sin “reinventar la rueda” y puede ayudar a integrar más adelante las actividades de seguridad (tanto de proceso como cibernética).

Entender el riesgo cibernético.

Una Análisis de Capas de protección (LOPA, por sus siglas en inglés: Layer of Protection Analysis) es una técnica de evaluación del riesgo usada comúnmente en la Industria de Procesos Químicos. Esta técnica evalúa la frecuencia de los eventos iniciadores, las capas independientes de protección y las consecuencias, para proveer un estimado de orden de magnitud del riesgo. Por ejemplo, la hoja de trabajo de LOPA en la Figura 2 muestra cómo el peligro resultante por la falla del control de presión de una unidad de proceso puede ser mitigado a una frecuencia tolerable usando una alarma, una SIF de alta presión y una válvula de alivio de presión. Los eventos de ciberseguridad tienen el potencial de desafiar seriamente las protecciones de seguridad de proceso tradicionales, pues un solo evento de ciberseguridad puede causar la falla de múltiples capas de protección diseñadas. En el ejemplo de la unidad de proceso en la Figura 2, un ataque de ciberseguridad podría potencialmente desencadenar el evento iniciador, deshabilitar la capa de protección de alarma y deshabilitar la SIF de alta presión, lo cual resultaría en un nivel de riesgo no mitigado más alto (Figura 3). En este caso, sin las protecciones de ciberseguridad adecuadas, no es posible alcanzar los objetivos de seguridad del sitio.

Para asegurar que se cuenta con las protecciones de seguridad adecuadas, suele ser necesaria una evaluación de riesgo cibernético. Típicamente esta evaluación se realiza como un proceso independiente después de haber realizado un PHA tradicional.

Las evaluaciones de riesgo cibernético suelen dividirse en dos partes: la evaluación inicial de riesgos (o de alto nivel) y la evaluación detallada de riesgos (16). La evaluación inicial de riesgos se enfoca solamente en la determinación de las consecuencias para identificar los activos más críticos que requieren protección, mientras que la evaluación detallada de riesgos considera el mismo nivel de detalle que un PHA tradicional o un estudio de Peligros y Operabilidad (HAZOP, por sus siglas en inglés: Hazard and Operability).

Evaluación inicial de riesgo cibernético. En la evaluación inicial de riesgos, también llamada evaluación de riesgo de alto nivel, el equipo de evaluación de riesgo define las consecuencias en el peor de los casos para cada activo de ciberseguridad. Un activo de ciberseguridad es cualquier dispositivo basado en computadoras o programable que está conectado al IACS, como las estaciones de trabajo de ingeniería o del operador, Controladores Lógicos Programables (PLC, por sus siglas en inglés: Programmable Logic Controllers), servidores y equipo de red. Luego, el equipo clasifica la severidad de consecuencia para las amenazas al activo de ciberseguridad. Referenciar los resultados de evaluaciones de riesgos del proceso previas ayuda a garantizar una consistencia en la clasificación de severidades de consecuencia para cada receptor de riesgo aplicable (p. ej. Seguridad de las personas, medioambiental, financiero).

Para ahorrar tiempo durante la evaluación inicial de riesgo, se asume que la probabilidad de que un activo se vea comprometido será de una vez por año (16). Esta asunción reduce el tiempo requerido para completar el estudio y asegura que el enfoque de la evaluación está en los activos con el potencial de llevar a la consecuencia con la severidad más alta. La Figura 4 es un ejemplo de una hoja de trabajo de evaluación inicial del riesgo.

Evaluación detallada de riesgo cibernético.

La evaluación detallada de riesgo es una evaluación más rigurosa, basada en palabras guía, del IACS. Su propósito es asegurar que se implementen las protecciones de seguridad adecuadas para las zonas cibernéticas de alto impacto. La Figura 5 muestra un ejemplo de hoja de trabajo de evaluación detallada de riesgo (similar al HAZOP en seguridad de proceso).

Cuando se evalúa el riesgo asociado con una zona cibernéticamente crítica, es importante determinar el conjunto correcto de palabras guía de ciberseguridad. Para ser efectiva, la lista de amenazas a la ciberseguridad a ser evaluada deberá ser comprensible sin ser demasiado redundante. Algunos analistas de seguridad usan listas de cientos de vectores de amenaza cuando evalúan todas las rutas posibles hacia un sistema, pero este es un proceso largo que a menudo provee rendimientos decrecientes. Un enfoque más práctico es considerar agrupamientos lógicos de amenazas para reducir el número de palabras guía necesarias. Ejemplos de categorías de vectores de amenaza incluyen:

• Ingeniería social
• Comunicaciones
• Cadena de suministro
• Físicos
• Software
• Hardware

Una vez que las palabras guía han sido determinadas para el estudio, se evalúan las amenazas específicas para cada zona o nodo. Cuando se definen las amenazas en el estudio, es importante incluir la fuente de amenaza, el nivel de habilidad de la fuente de amenaza, el vector de amenaza (ruta) y el activo cibernético potencialmente afectado.

La probabilidad de amenaza (similar a la frecuencia del evento iniciador en seguridad del proceso) se define teniendo en consideración la fuente de la amenaza, el nivel de habilidad requerido y la ruta. En esta etapa, la reducción de riesgo de las contramedidas no se toma en cuenta. Desafortunadamente, en la industria hay menos información disponible referente a incidentes de ciberseguridad que a incidentes de seguridad de proceso. Como tal, actualmente no hay libros de referencia disponibles para determinar la probabilidad de los ciberataques.

La falta de información bien definida en la industria ha dividido a la comunidad de seguridad industrial respecto al mejor enfoque para considerar la probabilidad de amenaza inicial. Las dos posiciones entre la comunidad son:

• La ciberseguridad basada en el riesgo debería enfocarse únicamente en la severidad de la consecuencia de los ataques, porque se desconoce la probabilidad y debería asumirse que ocurrirá una vez al año.
• La probabilidad debería estimarse basada en estimaciones de orden de magnitud conservadores para diferentes tipos de fuentes de amenaza y niveles de habilidad.

Al usar el segundo enfoque, la probabilidad real para un sitio varía basada en el nivel de vulnerabilidades y el atractivo del sitio como objetivo. El tamaño, la industria y la ubicación de un sitio son particularmente importantes cuando se considera el atractivo del objetivo, y pueden llevar a probabilidades con diferencias significativas.

A continuación, la consecuencia deberá ser definida para el nodo o activo que se está evaluando. En muchos casos, la consecuencia en el peor de los casos definida en la evaluación inicial de riesgos puede aplicar y se puede hacer fácilmente referencia a ella. El SL objetivo actualizado se determina con base en la probabilidad de amenaza sin mitigar y la severidad de la consecuencia.

Una vez que la consecuencia se ha definido, pueden tomarse en cuenta las contramedidas que reducen la probabilidad de un ataque exitoso, o reducen la severidad de la consecuencia. Para sustentar la reducción de riesgo, la contramedida debe ser Específica, Auditable, Independiente y Confiable. La reducción de riesgo de una contramedida, si cumple con todos los criterios, es típicamente de un orden de magnitud. Estos cuatro criterios aplican también para las salvaguardas identificadas como capas de protección independientes en PHAs y LOPAs tradicionales, para asegurar que proveen reducción de riesgo fiable. Los tipos comunes de contramedidas que pueden ser considerados para varias amenazas de ciberseguridad incluyen:

• Firewalls/segmentación de redes
• Control de acceso
• Detección/prevención de intrusiones
• Endurecimiento del sistema
• Procedimientos administrativos
• Seguridad física
• Alarmas de ciberseguridad

Para determinar si el riesgo excede los niveles tolerables, el nivel de riesgo actual (resultante de la severidad de la consecuencia, probabilidad y contramedidas) puede compararse con los criterios corporativos de riesgo. Si se determina que el riesgo es alto, se hacen recomendaciones para mejorar las protecciones de ciberseguridad.

Protegiendo contra riesgo cibernético.

Para reducir el riesgo cibernético a un nivel tolerable, es importante diseñar las redes de control de sistemas industriales teniendo en cuenta la seguridad cibernética. Tres estrategias de diseño son: la segmentación de redes, el endurecimiento del sistema y defensa en profundidad.

Segmentación de redes. Una arquitectura de red bien planeada es uno de los factores técnicos más importantes para determinar si el IACS puede ser asegurado de manera efectiva. Existen diversas variedades de dispositivos de red que pueden usarse para dividir las redes en subredes más pequeñas con niveles de seguridad distintos. Algunos dispositivos de red como los gateways, routers, y switches proveen beneficios de seguridad limitado, mientras que dispositivos de límite, como son los firewalls, pueden mejorar la segmentación de la red. La segmentación de la red, acorde a servicios, usuarios y sistemas es esencial para la ciberseguridad.

El primer paso para la segmentación de la red es identificar dónde se ubicarán los dispositivos de límite con base en los resultados de la evaluación de riesgo cibernético. Las zonas de alto impacto deberán estar aisladas de las zonas de bajo impacto con dispositivos de límite bien gestionados y mantenidos que bloqueen todas las comunicaciones no esenciales dentro y fuera de las zonas de alto impacto.

Las mejores prácticas de la industria sugieren que la red del IACS esté claramente separada de los segmentos regulares de la red de IT (p. ej. la red empresarial). Esto se implementa utilizando switches independientes aislados detrás de un firewall de red de un sistema de control o empresarial (17). Muchas compañías han adoptado una tercera red entre las redes de IT e IACS, para evitar cualquier tráfico directo. Como el tráfico de las redes de IT o IACS no es capaz de atravesar esta zona, comúnmente se le conoce como Zona Desmilitarizada (DMZ; por sus siglas en inglés: Demilitarized Zone). La representación de arquitectura en la Figura 6 ilustra este tipo de estructura.

Para una ciberseguridad óptima, debería usarse dos firewalls, idealmente de diferentes proveedores. Esto hace que sea más difícil acceder a la red del sistema de control para un atacante, porque inclusive si es exitoso en traspasar el firewall de la red empresarial, tendría que obtener acceso a través de un segundo firewall.

Entender la propiedad de zonas específicas es un punto clave de diseño. Cuando se implementa el sistema, los diseñadores y operadores deben entender qué es responsabilidad del personal local de la planta y qué es gestionado por otros (p. ej. qué dispositivos o sistemas tienen a contratistas dando mantenimiento y soporte). Al reconocer la propiedad y modelo de soporte de los sistemas y dispositivos, las contramedidas pueden ser diseñadas para cumplir con las expectativas de desempeño.

Endurecimiento del sistema. El endurecimiento del sistema implica el bloqueo de funcionalidad de componentes en el IACS para prevenir accesos o cambios no autorizados, remover funciones o características innecesarias y parchear cualquier vulnerabilidad conocida.

Las estaciones de trabajo y servidores no son los únicos componentes de un sistema de control que requieren endurecimiento. Equipos de red y productos de control integrados también requieren configuraciones seguras, bloqueo de interfaces de comunicación sin usar y mantenimiento de software.

El elemento final de seguridad inherente para un sistema de control industrial concierne a la gente que accede a él. Un adecuado control de acceso y entrenamiento de concientización en ciberseguridad son los pasos más importantes para encoger esta superficie de ataque.

Defensa en profundidad. La defensa en profundidad se describa como “un enfoque para defender el sistema contra cualquier ataque particular usando diversos métodos independientes” (13). Todo sistema puede ser hackeado, si se cuenta con el tiempo y habilidad suficientes. Sin embargo, la defensa en profundidad puede ayudar a la red de un sistema de control industrial a hacer frente a un ciberataque por un periodo prolongado. Al asegurar la independencia de cada capa defensiva o contramedida, es posible reducir la probabilidad de fallas de modo común en múltiples capas (Figura 7) (18).

El uso de una defensa por niveles permite que las deficiencias en una capa sean abordadas por otra capa. Por ejemplo, el firewall de la red empresarial a la DMZ debe ser configurado para permitir algo de tráfico orientado, lo cual expone el sistema a amenazas potenciales. El firewall entre la DMZ y la red de control se configura para prohibir todo tráfico de internet, evitando que cualquier amenaza vaya directamente de la red empresarial a la red de control. Este enfoque de firewall por capas permite una ingeniería eficiente, a la vez que mantiene la seguridad de la red.

Para ser verdaderamente independiente, cada capa debería ser capaz de operar de forma autónoma y utilizar diferentes funcionalidades. Esto ayuda a reducir la probabilidad de que un atacante pueda atravesar múltiples capas de defensa usando un método o técnica únicos. Cada contramedida debe ser monitoreada y mantenida. Un ejercicio para revisar el nivel actual de monitoreo para las funciones de protección cibernética es dibujar un gráfico simple del diseño en cuestión, listar las contramedidas y documentar las métricas, diagnósticos o alarmas para cada una de ellas. Una contramedida sin métricas, diagnósticos o alarmas es equivalente a una función de seguridad sin alarmas, pruebas periódicas o inspecciones.

Mantener la ciberseguridad

Las actividades en curso como la gestión de parches, actualizaciones de antivirus, monitoreo de seguridad, auditorías periódicas, Gestión del Cambio (MOC, por sus siglas en inglés: Management of Change) y respuesta a incidentes son esenciales para mantener la ciberseguridad.

Gestión de parches. La gestión de parches es un proceso para administrar la implementación de parches (actualizaciones de funcionalidad y seguridad para las aplicaciones de software) en un sistema. En muchos casos, la única manera de mitigar una vulnerabilidad es instalar un parche de software suministrado por el proveedor, y como tal, la gestión de parches es un elemento crucial para mantener la ciberseguridad. Sin embargo, en un sistema de control industrial, los parches no pueden ser aplicados de manera automática sin afectar potencialmente la operación. Las políticas y prácticas cuidadosas son requeridas para equilibrar la necesidad de la disponibilidad y confiabilidad del sistema con la seguridad necesaria.

Una gestión de parches efectivas comienza con un entendimiento de las vulnerabilidades que existen en el IACS y los riesgos potenciales asociados. Las vulnerabilidades por sí solas no son un riesgo. Si una vulnerabilidad no es aprovechada por un atacante, no tendrá un impacto negativo en el sistema. Los responsables de tomar decisiones deben comparar la potencial afectación a la operación al aplicar el parche con la probabilidad de que la vulnerabilidad sea aprovechada y la severidad del evento de seguridad resultante.

Un método para minimizar el riesgo de implementar parches es adoptar un enfoque escalonado, en el cual los parches se implementen primero en las máquinas menos críticas, antes de ser instalados en las máquinas críticas para la operación. En algunos casos, se puede tener ambientes separados para probar los nuevos parches sin afectar la operación.

Cualquier plan de parcheo requiere cooperación cercana con todos los proveedores de software y sistemas. Muchos proveedores ya cuentan con un sistema para priorizar parches y aprobar su aplicación, los cuales son de utilidad para el proceso de implementación de un sitio. Un método seguro para implementar parches es usar un servidor dedicado para gestión de parches en la DMZ a fin de que los parches no sean descargados directamente en el IACS.

Actualización de antivirus. La protección con antivirus es una técnica de seguridad comúnmente usada que se enfoca en identificar y bloquear las aplicaciones maliciosas conocidas. Para ser efectiva, las definiciones de antivirus (lista de aplicaciones maliciosas) necesitan ser actualizadas con frecuencia. De manera similar al enfoque para la gestión de parches, utilizar un servidor dedicado en la DMZ puede ayudar a limitar la exposición del IACS. Al seleccionar una solución de antivirus, es importante coordinarse con el proveedor del sistema de control. Mientras que todos los sistemas de control modernos soportan algún tipo de solución antivirus, muchos sistemas de control antiguos no son capaces de admitir antivirus y podrían experimentar un paro no planeado si se instala un programa no compatible.

Monitoreo de ciberseguridad y auditorías periódicas. Se pueden emplear bastantes estrategias para el monitoreo de la ciberseguridad, estas van desde escaneos periódicos a la red a programas de seguridad de monitoreo continuo. Sin importar el método de monitoreo de ciberseguridad empleado, el primer paso es definir de manera precisa un punto de partida y métricas clave para evaluar el desempeño de la ciberseguridad. El punto de partida provee una imagen clara de la operación normal del flujo de tráfico en la red y el comportamiento de los usuarios, y puede ayudar a identificar cuando existe una desviación del comportamiento normal, lo cual puede representar actividad maliciosa. Adicionalmente, las métricas de ciberseguridad proveen un punto de comparación contra el cual el sistema será auditado.

Diseñar un tablero de desempeño de las métricas de ciberseguridad ayuda a asegurar que la organización está cumpliendo con el desempeño esperado y puede identificar rápidamente áreas donde es necesario mejorar. Las métricas de ciberseguridad y las auditorías periódicas se usan para evaluar la ciberseguridad del sistema durante la operación. El estándar IEC 62443 (13) usa el concepto de nivel de ciberseguridad alcanzado, en el cual el nivel alcanzado es una medida de la efectividad de las protecciones en un ambiente operacional.

Gestión del Cambio. Otro especto importante de mantener la seguridad es gestionar el impacto de los cambios en el IACS. No es poco común que se hagan cambios al IACS con una frecuencia mayor que la de la revalidación de la evaluación de riesgo cibernético. En estos casos se usa MOC para asegurar que el cambio propuesto no impactará de manera negativa el nivel de seguridad alcanzado del sistema.

Para entender el impacto a la ciberseguridad, es benéfico complementar los métodos existentes de MOC con consideraciones específicas para ciberseguridad. Los siguientes tipos de cambios deberían ser evaluados en busca de impactos a la ciberseguridad:

• Cambios al diagrama de zonas y conductos
• Cambios a las reglas del firewall
• Cambios a la lista de activos de hardware y software
• Cambios a la lista de control de acceso al IACS
• Cambios a las contramedidas de ciberseguridad (p. ej. protección de extremo a extremo, monitoreo de ciberseguridad, endurecimiento del sistema)
• Cambios a la configuración de los activos del IACS
• Cambios a la lógica de los controles de seguridad del proceso, alarmas e interlocks
• Actualizaciones de parches de software y firmware

En un contexto de ciberseguridad, el “reemplazo en especie” significa usar la misma versión de hardware y software para un activo. En algunos casos, el mismo componente del IACS podría tener diferentes niveles de exposición de ciberseguridad, dependiendo de la versión del firmware. Un ejemplo es la introducción de servidores web para transmisores inteligentes. Si un servidor web está habilitado en el sensor de reemplazo, pero no en el original, esto podría incrementar de manera significativa la exposición luego del cambio.

Respuesta a incidentes. El último elemento para mantener la ciberseguridad es una respuesta eficaz a incidentes y planeación de la continuidad de operaciones. Sin importar cuánta atención preste una compañía a la ciberseguridad, siempre existirá el potencial de que un atacante tenga éxito en burlar las protecciones de ciberseguridad y cause algún daño. En estos casos, la velocidad y efectividad con las cuales responda una organización pueden impactar significativamente la consecuencia final del incidente. Definir y practicar la respuesta adecuada a incidentes previo a un escenario de emergencia reduce la probabilidad de que un incidente resulte en un impacto grave, tanto a la seguridad del proceso como  al negocio

Versión en español por:               

[email protected] +52 55 7572 4870

Literatura Citada

1. Menze, T., “The State of Industrial Cybersecurity,” Kaspersky, ARC Advisory Group, Düsseldorf, Germany, https://ics.kaspersky.com/media/2019_Kaspersky_ARC_ICS_report.pdf (2019).
2. Hemsley, K. E., and R. E. Fisher, “History of Industrial Control System Cyber Incidents,” Idaho National Laboratory, Idaho Falls, ID (2018).
3. Cortex, “2020 Incident Response and Data Breach Report,” Palo Alto Networks, Santa Clara, CA, https://start.paloaltonetworks.com/cybersecurity-threat-report.html (2020).
4. Lee, R. M., et al., “ICS CP/PE (Cyber-to-Physical or Process Effects) Case Study Paper — German Steel Mill Cyber Attack,” SANS ICS, Rockville, MD (2014).
5. Zetter, K., “Countdown to Zero Day: Stuxnet and the Launch of the World’s First Digital Weapon,” Crown Publishing Group, New York, NY (2014).
6. Perlroth, N., and C. Krauss, “A Cyberattack in Saudi Arabia Had a Deadly Goal. Experts Fear Another Try,” The New York Times, www.nytimes.com/2018/03/15/technology/saudi-arabiahacks-cyberattacks.html (2018).
7. International Electrotechnical Commission, “IEC 61511 Functional Safety — Safety Instrumented Systems for the Process Industry Sector,” IEC, Geneva, Switzerland (2016).
8. Sayfayn, N., and S. Madnick, “Cybersafety Analysis of the Maroochy Shire Sewage Spill,” Interdisciplinary Consortium for Improving Critical Infrastructure Cybersecurity, Cambridge, MA (2017).
9. Zetter, K., “Inside the Cunning, Unprecedented Hack of Ukraine’s Power Grid,” Wired, www.wired.com/2016/03/insidecunning-unprecedented-hack-ukraines-power-grid (2016).
10. Greenberg, A., “‘Crash Override’: The Malware That Took Down a Power Grid,” Wired, www.wired.com/2016/03/insidecunning-unprecedented-hack-ukraines-power-grid (2017).
11. Greenberg, A., “The Untold Story of NotPetya, the Most Devastating Cyberattack in History,” Wired, www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world (2018).
12. Tidy, J., “Police Launch Homicide Inquiry After German Hospital Hack,” BBC News, London, England, www.bbc.com/news/technology-54204356 (2020).
13. International Electrotechnical Commission, “IEC TS 62443-1-1:2009 Industrial Communication Networks, Network and System Security; Part 1-1: Terminology, Concepts and Models,” IEC, Geneva, Switzerland (2009).
14. International Society of Automation, “IS-TR84.00.09 Cybersecurity Related to the Functional Safety Lifecycle,” ISA, Research Triangle, NC (2017).
15. Ponemon Institute, “2020 Cost of Insider Threats Global Report,” Ponemon Institute, Traverse City, MI, https://www.observeit.com/wp-content/uploads/2020/04/2020-Global-Costof-Insider-Threats-Ponemon-Report_UTD.pdf (2020).
16. International Electrotechnical Commission, “IEC 62443 Part 3-2 Security Risk Assessment for System Design,” IEC, Geneva, Switzerland (2020).
17. British Columbia Institute of Technology, “Good Practice Guide on Firewall Deployment for SCADA and Process Control Networks,” National Infrastructure Security Co-Ordination Centre, London, England (2004).
18. Gunter, D., et al., “Implementing IEC 62443: A Pragmatic Approach to Cybersecurity,” exida, Sellersville, PA (2018).

Aprovechar las técnicas existentes de evaluación de riesgos en la seguridad del proceso puede ayudar a las organizaciones a gestionar eficazmente el riesgo cibernético.

Los ciberataques se han convertido en una amenaza creíble para la seguridad del Proceso. Actualmente, se puede acceder de manera remota al 70% de los Sistemas de Control y Automatización Industriales (IACS, por sus siglas en inglés: Industrial Automation and Control Systems), incrementando la vulnerabilidad de las Industrias de Procesos Químicos a ciberataques. Las consecuencias de los ciberataques son bien entendidas para las redes empresariales (p. ej. Robo de información, negación de servicios, etc.). Sin embargo, los ciberataques a los IACS pueden tener consecuencias más severas, debido a que controlan sistemas físicos. Este artículo explora cómo la ciberseguridad está cambiando la seguridad del Proceso, considera el impacto de los incidentes de ciberseguridad en las estrategias tradicionales de salvaguardado y evaluación de riesgos, e introduce pasos clave para gestionar el riesgo cibernético.

Seguridad del Proceso (Safety en inglés) y Ciberseguridad (Security en inglés)

Ciberseguridad es la habilidad de proteger algo de distintas amenazas; así, la ciberseguridad se enfoca en proteger a los sistemas basados en computadoras ante accesos no autorizado. Aunque la ciberseguridad es un concepto relativamente nuevo, la seguridad en un sentido más amplio ha sido relevante desde que ha habido algo que vale la pena proteger. Para la seguridad de la Tecnología de la Información (IT, por sus siglas en inglés: Information Technology), el desempeño y la confidencialidad son lo más importante, y los cortes, aunque indeseables, son aceptables. Esto no es así para la Industria de Proceso Químico, donde la necesidad de disponibilidad e integridad de los sistemas de control y seguridad tienen mayor peso que las demás consideraciones.

La ciberseguridad se ha vuelto rápidamente un componente esencial para mantener una operación continua y segura de las instalaciones industriales. Un sondeo en 2019 mostró que el 59% de los operadores de IACS habían experimentado algún incidente de ciberseguridad el año anterior (1). El aumento de los incidentes de ciberseguridad no es un fenómeno limitado a unas cuantas compañías en específico o solo a las corporaciones más grandes. En los últimos diez años, numerosos ataques a sistemas de automatización demuestran que instalaciones industriales de todos los tipos y tamaños son vulnerables a ciberataques, y estos ciberataques pueden tener consecuencias significantes, tanto financieras, como ambientales, o en la seguridad de las personas (Figura 1) (2,3).

Entender cómo un ciberataque puede impactar al IACS es crítico para la gestión de la seguridad del proceso de una instalación. Un impacto de ciberseguridad particularmente llamativo en la seguridad del proceso es la posibilidad de que un ciberataque inicie fallas de causa común en múltiples sistemas. Por ejemplo, el ataque a una planta de acero en Alemania (4), Stuxnet (5), y el ataque Tritón a una planta petroquímica en Arabia Saudita (6) muestran que los atacantes pueden (y lo harán) fijarse como objetivo tanto a funciones de control como de seguridad. Si un ciberataque provoca el evento iniciador de un peligro e inhabilita múltiples capas de protección, puede conducir a un riesgo significativo no mitigado. La relación entre seguridad del proceso y la ciberseguridad ha sido reconocida en estándares internacionales y buenas prácticas de la industria. La actualización, en el 2016, del estándar de seguridad funcional 61511 de la Comisión Electrotécnica Internacional (IEC, por sus siglas en inglés: International Electrotechnical Commission) incluye nuevos requerimientos de ciberseguridad. Para muchas compañías en la Industria de Procesos Químicos, el estándar IEC 61511 es usado para demostrar cumplimiento con los requisitos regulatorios. Cualquier compañía que afirme cumplir con IEC 61511 ahora debe completar las actividades de ciberseguridad obligatorias, incluyendo una evaluación de riesgo cibernético para el Sistema Instrumentado de Seguridad (SIS, por sus siglas en inglés: Safety Instrumented System) y todas las redes conectadas.

Incidentes de ciberseguridad

El término “ciberseguridad” por lo regular evoca la imagen de una figura encapuchada, en una habitación oscura, hackeando información personal en una red de IT. Estos ataques estereotípicos pueden implementar correos electrónicos de suplantación de identidad (phishing, correos electrónicos diseñados para engañar a los usuarios a fin de que revelen información personal y contraseñas) que incluyen enlaces o archivos adjuntos engañosos. Una vez que se da clic en el enlace, esta descarga y ejecuta algún malware (código malicioso). Dichos ataques pueden comprometer la información financiera de la víctima o conducir al robo de identidad.

Aunque este tipo de ciberataques a pequeña escala ocurren de manera regular, los ciberataques industriales pueden ir más allá de robar información personal y tener el potencial de infligir daños físicos significantes al personal, equipo y/o el ambiente.

Un ciberataque en 2014 a una planta de acero alemana resalta cuan peligrosos pueden ser los ataques a los sistemas de control. Los atacantes ganaron acceso a la red corporativa a través de una campaña de phishing con la intención de comprometer las cuentas de los operadores. Desde dentro de la red corporativa, accedieron a la red de control y causaron que múltiples controles de proceso fallaran. Se impidió el paro de un horno en la planta, lo cual resultó en un daño significativo a equipo.

 Afortunadamente, en sitio fueron capaces de identificar el escenario peligroso y de evacuar al personal cercano, pero pudo haber lesiones o fatalidades (4).

El ataque a la planta de acero en Alemania introduce una de las diferencias fundamentales entre la ciberseguridad de IT y los IACS: los ataques a IACS pueden tener impactos físicos. La Tabla 1 presenta incidentes de seguridad que han impactado a IACS (8-12). Muchos de estos incidentes comparten algunos atributos en común:

• Los ciberataques comprometen múltiples capas de protección, como lo son el Sistema de Control Básico de Procesos (BPCS, por sus siglas en inglés: Basic Process Control System), el SIS (Sistema Instrumentado de Seguridad) y alarmas, llevando a una falla de causa común de múltiples salvaguardas consideradas en las evaluaciones de riesgo de la seguridad del proceso.
• Los ciberataques pueden ser o no dirigidos a una compañía en específico (p. ej. La introducción accidental de un virus). Ninguna instalación de proceso es inmune a potenciales ciberataques.
• Ninguna solución por sí sola puede desaparecer el riesgo cibernético. Los incidentes han demostrado que inclusive los mecanismos de seguridad física (p. ej. Candado y llave para el controlador del SIS) o la separación completa de los sistemas conectados a internet pueden ser superados por los atacantes.

Integrar la ciberseguridad con la gestión de seguridad del proceso

Integrar las actividades de seguridad del proceso (safety) existentes, tales como las del estándar IEC 61511 (7), y las tareas de ciberseguridad (security) requeridas, como las indicadas por IEC 62443 (13), ayuda a reducir los esfuerzos duplicados y a detectar errores de diseño. El reporte técnico 84.00.09 “Cybersecurity Related to the Functional Safety Lifecycle”, de la Sociedad Internacional de Automatización (ISA, por sus siglas en inglés: International Society of Automation), provee guías para la integración de las actividades de ciberseguridad y seguridad del proceso (14). Este enfoque de “ciclo de vida” puede brindar un único proceso de trabajo a las organizaciones para:

• Identificar el nivel de riesgo de un proceso o equipo y el nivel de vulnerabilidad de un sistema de control ante un ciberataque
• Establecer objetivos de reducción de riesgo, incluyendo al riesgo cibernético, para mantener el riesgo global en un nivel aceptable, permitiendo así que el diseño de las Funciones Instrumentadas de Seguridad (SIF, por sus siglas en inglés: Safety Instrumented Function) y las contramedidas cibernéticas cumplan con dichos objetivos de reducción de riesgo
• Probar, operar y mantener las SIFs y contramedidas cibernéticas para asegurar que los objetivos de Nivel de Integridad de Seguridad (SIL, por sus siglas en inglés: Safety Integrity Level) y Nivel de Seguridad (SL, por sus siglas en inglés: Security Level) se cumplan.

Los enfoques utilizados para garantizar la seguridad del proceso y la ciberseguridad del IACS se traslapan significativamente. Para remover la necesidad de trabajo por duplicado y reducir el costo de implementación, las actividades pueden ser completadas en paralelo y/o de manera coordinada.

Desarrollar un programa de gestión de la ciberseguridad.

Al centro de un programa de gestión de la ciberseguridad hay una política de ciberseguridad del IACS que documenta los objetivos de ciberseguridad, define el enfoque del ciclo de vida, provee una agenda para la implementación y es independiente de la tecnología. Esta política de ciberseguridad debería establecer los objetivos, actividades requeridas y comportamientos aceptados que son necesarios para mantener un ambiente de producción seguro.

Diseñar la política de ciberseguridad en un formato similar al de las políticas de seguridad del proceso existentes puede ayudar a reducir el tiempo de desarrollo necesario. Es importante que tanto personal de IT como de IACS estén involucrados en el desarrollo de la política y que el límite entre las políticas de seguridad de IT e IACS sea definido.

Es fácil dejarse atrapar por las soluciones tecnológicas y olvidar otros aspectos de la ciberseguridad, como el desarrollo de políticas y el entrenamiento del personal, los cuales son críticos para el éxito de cualquier programa de ciberseguridad. Un estudio realizado en 2020 por el Instituto Ponemon de más de 200 compañías en 13 industrias encontró que más del 60% de todos los incidentes de ciberseguridad fueron causados por personal interno (por ejemplo, empleados a disgusto) (15). Entrenamiento general y concientización sobre ciberseguridad para todo el personal y entrenamiento adicional basado en roles sobre los requisitos del programa de ciberseguridad, son pasos críticos para reducir la probabilidad de un incidente de ciberseguridad. Los programas efectivos de ciberseguridad deberán tener un componente de educación fuerte a fin de que los trabajadores sepan el “cómo” y “por qué” del apropiado comportamiento de la ciberseguridad.

Evaluación de riesgo cibernético

Si una organización no comprende sus peligros cibernéticos, será incapaz de asignar recursos a las protecciones más efectivas, y será incapaz de medir si las protecciones implementadas han disminuido el riesgo a un nivel tolerable. No obstante, identificar los peligros cibernéticos con exactitud puede ser un proceso difícil debido a:

• Concepciones incorrectas de la ciberseguridad en la Industria de Procesos Químicos
• Bases de datos de eventos de ciberseguridad limitadas
• Tecnología que cambia rápidamente
• Un panorama de amenazas en continua evolución.

Adaptar las técnicas existentes de seguridad del proceso, como el Análisis de Peligros del Proceso (PHA, por sus siglas en inglés: Process Hazard Analysis), permite la evaluación de los escenarios de ciberseguridad sin “reinventar la rueda” y puede ayudar a integrar más adelante las actividades de seguridad (tanto de proceso como cibernética).

Entender el riesgo cibernético.

Una Análisis de Capas de protección (LOPA, por sus siglas en inglés: Layer of Protection Analysis) es una técnica de evaluación del riesgo usada comúnmente en la Industria de Procesos Químicos. Esta técnica evalúa la frecuencia de los eventos iniciadores, las capas independientes de protección y las consecuencias, para proveer un estimado de orden de magnitud del riesgo. Por ejemplo, la hoja de trabajo de LOPA en la Figura 2 muestra cómo el peligro resultante por la falla del control de presión de una unidad de proceso puede ser mitigado a una frecuencia tolerable usando una alarma, una SIF de alta presión y una válvula de alivio de presión. Los eventos de ciberseguridad tienen el potencial de desafiar seriamente las protecciones de seguridad de proceso tradicionales, pues un solo evento de ciberseguridad puede causar la falla de múltiples capas de protección diseñadas. En el ejemplo de la unidad de proceso en la Figura 2, un ataque de ciberseguridad podría potencialmente desencadenar el evento iniciador, deshabilitar la capa de protección de alarma y deshabilitar la SIF de alta presión, lo cual resultaría en un nivel de riesgo no mitigado más alto (Figura 3). En este caso, sin las protecciones de ciberseguridad adecuadas, no es posible alcanzar los objetivos de seguridad del sitio.

Para asegurar que se cuenta con las protecciones de seguridad adecuadas, suele ser necesaria una evaluación de riesgo cibernético. Típicamente esta evaluación se realiza como un proceso independiente después de haber realizado un PHA tradicional.

Las evaluaciones de riesgo cibernético suelen dividirse en dos partes: la evaluación inicial de riesgos (o de alto nivel) y la evaluación detallada de riesgos (16). La evaluación inicial de riesgos se enfoca solamente en la determinación de las consecuencias para identificar los activos más críticos que requieren protección, mientras que la evaluación detallada de riesgos considera el mismo nivel de detalle que un PHA tradicional o un estudio de Peligros y Operabilidad (HAZOP, por sus siglas en inglés: Hazard and Operability).

Evaluación inicial de riesgo cibernético. En la evaluación inicial de riesgos, también llamada evaluación de riesgo de alto nivel, el equipo de evaluación de riesgo define las consecuencias en el peor de los casos para cada activo de ciberseguridad. Un activo de ciberseguridad es cualquier dispositivo basado en computadoras o programable que está conectado al IACS, como las estaciones de trabajo de ingeniería o del operador, Controladores Lógicos Programables (PLC, por sus siglas en inglés: Programmable Logic Controllers), servidores y equipo de red. Luego, el equipo clasifica la severidad de consecuencia para las amenazas al activo de ciberseguridad. Referenciar los resultados de evaluaciones de riesgos del proceso previas ayuda a garantizar una consistencia en la clasificación de severidades de consecuencia para cada receptor de riesgo aplicable (p. ej. Seguridad de las personas, medioambiental, financiero).

Para ahorrar tiempo durante la evaluación inicial de riesgo, se asume que la probabilidad de que un activo se vea comprometido será de una vez por año (16). Esta asunción reduce el tiempo requerido para completar el estudio y asegura que el enfoque de la evaluación está en los activos con el potencial de llevar a la consecuencia con la severidad más alta. La Figura 4 es un ejemplo de una hoja de trabajo de evaluación inicial del riesgo.

Evaluación detallada de riesgo cibernético.

La evaluación detallada de riesgo es una evaluación más rigurosa, basada en palabras guía, del IACS. Su propósito es asegurar que se implementen las protecciones de seguridad adecuadas para las zonas cibernéticas de alto impacto. La Figura 5 muestra un ejemplo de hoja de trabajo de evaluación detallada de riesgo (similar al HAZOP en seguridad de proceso).

Cuando se evalúa el riesgo asociado con una zona cibernéticamente crítica, es importante determinar el conjunto correcto de palabras guía de ciberseguridad. Para ser efectiva, la lista de amenazas a la ciberseguridad a ser evaluada deberá ser comprensible sin ser demasiado redundante. Algunos analistas de seguridad usan listas de cientos de vectores de amenaza cuando evalúan todas las rutas posibles hacia un sistema, pero este es un proceso largo que a menudo provee rendimientos decrecientes. Un enfoque más práctico es considerar agrupamientos lógicos de amenazas para reducir el número de palabras guía necesarias. Ejemplos de categorías de vectores de amenaza incluyen:

• Ingeniería social
• Comunicaciones
• Cadena de suministro
• Físicos
• Software
• Hardware

Una vez que las palabras guía han sido determinadas para el estudio, se evalúan las amenazas específicas para cada zona o nodo. Cuando se definen las amenazas en el estudio, es importante incluir la fuente de amenaza, el nivel de habilidad de la fuente de amenaza, el vector de amenaza (ruta) y el activo cibernético potencialmente afectado.

La probabilidad de amenaza (similar a la frecuencia del evento iniciador en seguridad del proceso) se define teniendo en consideración la fuente de la amenaza, el nivel de habilidad requerido y la ruta. En esta etapa, la reducción de riesgo de las contramedidas no se toma en cuenta. Desafortunadamente, en la industria hay menos información disponible referente a incidentes de ciberseguridad que a incidentes de seguridad de proceso. Como tal, actualmente no hay libros de referencia disponibles para determinar la probabilidad de los ciberataques.

La falta de información bien definida en la industria ha dividido a la comunidad de seguridad industrial respecto al mejor enfoque para considerar la probabilidad de amenaza inicial. Las dos posiciones entre la comunidad son:

• La ciberseguridad basada en el riesgo debería enfocarse únicamente en la severidad de la consecuencia de los ataques, porque se desconoce la probabilidad y debería asumirse que ocurrirá una vez al año.
• La probabilidad debería estimarse basada en estimaciones de orden de magnitud conservadores para diferentes tipos de fuentes de amenaza y niveles de habilidad.

Al usar el segundo enfoque, la probabilidad real para un sitio varía basada en el nivel de vulnerabilidades y el atractivo del sitio como objetivo. El tamaño, la industria y la ubicación de un sitio son particularmente importantes cuando se considera el atractivo del objetivo, y pueden llevar a probabilidades con diferencias significativas.

A continuación, la consecuencia deberá ser definida para el nodo o activo que se está evaluando. En muchos casos, la consecuencia en el peor de los casos definida en la evaluación inicial de riesgos puede aplicar y se puede hacer fácilmente referencia a ella. El SL objetivo actualizado se determina con base en la probabilidad de amenaza sin mitigar y la severidad de la consecuencia.

Una vez que la consecuencia se ha definido, pueden tomarse en cuenta las contramedidas que reducen la probabilidad de un ataque exitoso, o reducen la severidad de la consecuencia. Para sustentar la reducción de riesgo, la contramedida debe ser Específica, Auditable, Independiente y Confiable. La reducción de riesgo de una contramedida, si cumple con todos los criterios, es típicamente de un orden de magnitud. Estos cuatro criterios aplican también para las salvaguardas identificadas como capas de protección independientes en PHAs y LOPAs tradicionales, para asegurar que proveen reducción de riesgo fiable. Los tipos comunes de contramedidas que pueden ser considerados para varias amenazas de ciberseguridad incluyen:

• Firewalls/segmentación de redes
• Control de acceso
• Detección/prevención de intrusiones
• Endurecimiento del sistema
• Procedimientos administrativos
• Seguridad física
• Alarmas de ciberseguridad

Para determinar si el riesgo excede los niveles tolerables, el nivel de riesgo actual (resultante de la severidad de la consecuencia, probabilidad y contramedidas) puede compararse con los criterios corporativos de riesgo. Si se determina que el riesgo es alto, se hacen recomendaciones para mejorar las protecciones de ciberseguridad.

Protegiendo contra riesgo cibernético.

Para reducir el riesgo cibernético a un nivel tolerable, es importante diseñar las redes de control de sistemas industriales teniendo en cuenta la seguridad cibernética. Tres estrategias de diseño son: la segmentación de redes, el endurecimiento del sistema y defensa en profundidad.

Segmentación de redes. Una arquitectura de red bien planeada es uno de los factores técnicos más importantes para determinar si el IACS puede ser asegurado de manera efectiva. Existen diversas variedades de dispositivos de red que pueden usarse para dividir las redes en subredes más pequeñas con niveles de seguridad distintos. Algunos dispositivos de red como los gateways, routers, y switches proveen beneficios de seguridad limitado, mientras que dispositivos de límite, como son los firewalls, pueden mejorar la segmentación de la red. La segmentación de la red, acorde a servicios, usuarios y sistemas es esencial para la ciberseguridad.

El primer paso para la segmentación de la red es identificar dónde se ubicarán los dispositivos de límite con base en los resultados de la evaluación de riesgo cibernético. Las zonas de alto impacto deberán estar aisladas de las zonas de bajo impacto con dispositivos de límite bien gestionados y mantenidos que bloqueen todas las comunicaciones no esenciales dentro y fuera de las zonas de alto impacto.

Las mejores prácticas de la industria sugieren que la red del IACS esté claramente separada de los segmentos regulares de la red de IT (p. ej. la red empresarial). Esto se implementa utilizando switches independientes aislados detrás de un firewall de red de un sistema de control o empresarial (17). Muchas compañías han adoptado una tercera red entre las redes de IT e IACS, para evitar cualquier tráfico directo. Como el tráfico de las redes de IT o IACS no es capaz de atravesar esta zona, comúnmente se le conoce como Zona Desmilitarizada (DMZ; por sus siglas en inglés: Demilitarized Zone). La representación de arquitectura en la Figura 6 ilustra este tipo de estructura.

Para una ciberseguridad óptima, debería usarse dos firewalls, idealmente de diferentes proveedores. Esto hace que sea más difícil acceder a la red del sistema de control para un atacante, porque inclusive si es exitoso en traspasar el firewall de la red empresarial, tendría que obtener acceso a través de un segundo firewall.

Entender la propiedad de zonas específicas es un punto clave de diseño. Cuando se implementa el sistema, los diseñadores y operadores deben entender qué es responsabilidad del personal local de la planta y qué es gestionado por otros (p. ej. qué dispositivos o sistemas tienen a contratistas dando mantenimiento y soporte). Al reconocer la propiedad y modelo de soporte de los sistemas y dispositivos, las contramedidas pueden ser diseñadas para cumplir con las expectativas de desempeño.

Endurecimiento del sistema. El endurecimiento del sistema implica el bloqueo de funcionalidad de componentes en el IACS para prevenir accesos o cambios no autorizados, remover funciones o características innecesarias y parchear cualquier vulnerabilidad conocida.

Las estaciones de trabajo y servidores no son los únicos componentes de un sistema de control que requieren endurecimiento. Equipos de red y productos de control integrados también requieren configuraciones seguras, bloqueo de interfaces de comunicación sin usar y mantenimiento de software.

El elemento final de seguridad inherente para un sistema de control industrial concierne a la gente que accede a él. Un adecuado control de acceso y entrenamiento de concientización en ciberseguridad son los pasos más importantes para encoger esta superficie de ataque.

Defensa en profundidad. La defensa en profundidad se describa como “un enfoque para defender el sistema contra cualquier ataque particular usando diversos métodos independientes” (13). Todo sistema puede ser hackeado, si se cuenta con el tiempo y habilidad suficientes. Sin embargo, la defensa en profundidad puede ayudar a la red de un sistema de control industrial a hacer frente a un ciberataque por un periodo prolongado. Al asegurar la independencia de cada capa defensiva o contramedida, es posible reducir la probabilidad de fallas de modo común en múltiples capas (Figura 7) (18).

El uso de una defensa por niveles permite que las deficiencias en una capa sean abordadas por otra capa. Por ejemplo, el firewall de la red empresarial a la DMZ debe ser configurado para permitir algo de tráfico orientado, lo cual expone el sistema a amenazas potenciales. El firewall entre la DMZ y la red de control se configura para prohibir todo tráfico de internet, evitando que cualquier amenaza vaya directamente de la red empresarial a la red de control. Este enfoque de firewall por capas permite una ingeniería eficiente, a la vez que mantiene la seguridad de la red.

Para ser verdaderamente independiente, cada capa debería ser capaz de operar de forma autónoma y utilizar diferentes funcionalidades. Esto ayuda a reducir la probabilidad de que un atacante pueda atravesar múltiples capas de defensa usando un método o técnica únicos. Cada contramedida debe ser monitoreada y mantenida. Un ejercicio para revisar el nivel actual de monitoreo para las funciones de protección cibernética es dibujar un gráfico simple del diseño en cuestión, listar las contramedidas y documentar las métricas, diagnósticos o alarmas para cada una de ellas. Una contramedida sin métricas, diagnósticos o alarmas es equivalente a una función de seguridad sin alarmas, pruebas periódicas o inspecciones.

Mantener la ciberseguridad

Las actividades en curso como la gestión de parches, actualizaciones de antivirus, monitoreo de seguridad, auditorías periódicas, Gestión del Cambio (MOC, por sus siglas en inglés: Management of Change) y respuesta a incidentes son esenciales para mantener la ciberseguridad.

Gestión de parches. La gestión de parches es un proceso para administrar la implementación de parches (actualizaciones de funcionalidad y seguridad para las aplicaciones de software) en un sistema. En muchos casos, la única manera de mitigar una vulnerabilidad es instalar un parche de software suministrado por el proveedor, y como tal, la gestión de parches es un elemento crucial para mantener la ciberseguridad. Sin embargo, en un sistema de control industrial, los parches no pueden ser aplicados de manera automática sin afectar potencialmente la operación. Las políticas y prácticas cuidadosas son requeridas para equilibrar la necesidad de la disponibilidad y confiabilidad del sistema con la seguridad necesaria.

Una gestión de parches efectivas comienza con un entendimiento de las vulnerabilidades que existen en el IACS y los riesgos potenciales asociados. Las vulnerabilidades por sí solas no son un riesgo. Si una vulnerabilidad no es aprovechada por un atacante, no tendrá un impacto negativo en el sistema. Los responsables de tomar decisiones deben comparar la potencial afectación a la operación al aplicar el parche con la probabilidad de que la vulnerabilidad sea aprovechada y la severidad del evento de seguridad resultante.

Un método para minimizar el riesgo de implementar parches es adoptar un enfoque escalonado, en el cual los parches se implementen primero en las máquinas menos críticas, antes de ser instalados en las máquinas críticas para la operación. En algunos casos, se puede tener ambientes separados para probar los nuevos parches sin afectar la operación.

Cualquier plan de parcheo requiere cooperación cercana con todos los proveedores de software y sistemas. Muchos proveedores ya cuentan con un sistema para priorizar parches y aprobar su aplicación, los cuales son de utilidad para el proceso de implementación de un sitio. Un método seguro para implementar parches es usar un servidor dedicado para gestión de parches en la DMZ a fin de que los parches no sean descargados directamente en el IACS.

Actualización de antivirus. La protección con antivirus es una técnica de seguridad comúnmente usada que se enfoca en identificar y bloquear las aplicaciones maliciosas conocidas. Para ser efectiva, las definiciones de antivirus (lista de aplicaciones maliciosas) necesitan ser actualizadas con frecuencia. De manera similar al enfoque para la gestión de parches, utilizar un servidor dedicado en la DMZ puede ayudar a limitar la exposición del IACS. Al seleccionar una solución de antivirus, es importante coordinarse con el proveedor del sistema de control. Mientras que todos los sistemas de control modernos soportan algún tipo de solución antivirus, muchos sistemas de control antiguos no son capaces de admitir antivirus y podrían experimentar un paro no planeado si se instala un programa no compatible.

Monitoreo de ciberseguridad y auditorías periódicas. Se pueden emplear bastantes estrategias para el monitoreo de la ciberseguridad, estas van desde escaneos periódicos a la red a programas de seguridad de monitoreo continuo. Sin importar el método de monitoreo de ciberseguridad empleado, el primer paso es definir de manera precisa un punto de partida y métricas clave para evaluar el desempeño de la ciberseguridad. El punto de partida provee una imagen clara de la operación normal del flujo de tráfico en la red y el comportamiento de los usuarios, y puede ayudar a identificar cuando existe una desviación del comportamiento normal, lo cual puede representar actividad maliciosa. Adicionalmente, las métricas de ciberseguridad proveen un punto de comparación contra el cual el sistema será auditado.

Diseñar un tablero de desempeño de las métricas de ciberseguridad ayuda a asegurar que la organización está cumpliendo con el desempeño esperado y puede identificar rápidamente áreas donde es necesario mejorar. Las métricas de ciberseguridad y las auditorías periódicas se usan para evaluar la ciberseguridad del sistema durante la operación. El estándar IEC 62443 (13) usa el concepto de nivel de ciberseguridad alcanzado, en el cual el nivel alcanzado es una medida de la efectividad de las protecciones en un ambiente operacional.

Gestión del Cambio. Otro especto importante de mantener la seguridad es gestionar el impacto de los cambios en el IACS. No es poco común que se hagan cambios al IACS con una frecuencia mayor que la de la revalidación de la evaluación de riesgo cibernético. En estos casos se usa MOC para asegurar que el cambio propuesto no impactará de manera negativa el nivel de seguridad alcanzado del sistema.

Para entender el impacto a la ciberseguridad, es benéfico complementar los métodos existentes de MOC con consideraciones específicas para ciberseguridad. Los siguientes tipos de cambios deberían ser evaluados en busca de impactos a la ciberseguridad:

• Cambios al diagrama de zonas y conductos
• Cambios a las reglas del firewall
• Cambios a la lista de activos de hardware y software
• Cambios a la lista de control de acceso al IACS
• Cambios a las contramedidas de ciberseguridad (p. ej. protección de extremo a extremo, monitoreo de ciberseguridad, endurecimiento del sistema)
• Cambios a la configuración de los activos del IACS
• Cambios a la lógica de los controles de seguridad del proceso, alarmas e interlocks
• Actualizaciones de parches de software y firmware

En un contexto de ciberseguridad, el “reemplazo en especie” significa usar la misma versión de hardware y software para un activo. En algunos casos, el mismo componente del IACS podría tener diferentes niveles de exposición de ciberseguridad, dependiendo de la versión del firmware. Un ejemplo es la introducción de servidores web para transmisores inteligentes. Si un servidor web está habilitado en el sensor de reemplazo, pero no en el original, esto podría incrementar de manera significativa la exposición luego del cambio.

Respuesta a incidentes. El último elemento para mantener la ciberseguridad es una respuesta eficaz a incidentes y planeación de la continuidad de operaciones. Sin importar cuánta atención preste una compañía a la ciberseguridad, siempre existirá el potencial de que un atacante tenga éxito en burlar las protecciones de ciberseguridad y cause algún daño. En estos casos, la velocidad y efectividad con las cuales responda una organización pueden impactar significativamente la consecuencia final del incidente. Definir y practicar la respuesta adecuada a incidentes previo a un escenario de emergencia reduce la probabilidad de que un incidente resulte en un impacto grave, tanto a la seguridad del proceso como  al negocio

Versión en español por:               

[email protected] +52 55 7572 4870

Literatura Citada

1. Menze, T., “The State of Industrial Cybersecurity,” Kaspersky, ARC Advisory Group, Düsseldorf, Germany, https://ics.kaspersky.com/media/2019_Kaspersky_ARC_ICS_report.pdf (2019).
2. Hemsley, K. E., and R. E. Fisher, “History of Industrial Control System Cyber Incidents,” Idaho National Laboratory, Idaho Falls, ID (2018).
3. Cortex, “2020 Incident Response and Data Breach Report,” Palo Alto Networks, Santa Clara, CA, https://start.paloaltonetworks.com/cybersecurity-threat-report.html (2020).
4. Lee, R. M., et al., “ICS CP/PE (Cyber-to-Physical or Process Effects) Case Study Paper — German Steel Mill Cyber Attack,” SANS ICS, Rockville, MD (2014).
5. Zetter, K., “Countdown to Zero Day: Stuxnet and the Launch of the World’s First Digital Weapon,” Crown Publishing Group, New York, NY (2014).
6. Perlroth, N., and C. Krauss, “A Cyberattack in Saudi Arabia Had a Deadly Goal. Experts Fear Another Try,” The New York Times, www.nytimes.com/2018/03/15/technology/saudi-arabiahacks-cyberattacks.html (2018).
7. International Electrotechnical Commission, “IEC 61511 Functional Safety — Safety Instrumented Systems for the Process Industry Sector,” IEC, Geneva, Switzerland (2016).
8. Sayfayn, N., and S. Madnick, “Cybersafety Analysis of the Maroochy Shire Sewage Spill,” Interdisciplinary Consortium for Improving Critical Infrastructure Cybersecurity, Cambridge, MA (2017).
9. Zetter, K., “Inside the Cunning, Unprecedented Hack of Ukraine’s Power Grid,” Wired, www.wired.com/2016/03/insidecunning-unprecedented-hack-ukraines-power-grid (2016).
10. Greenberg, A., “‘Crash Override’: The Malware That Took Down a Power Grid,” Wired, www.wired.com/2016/03/insidecunning-unprecedented-hack-ukraines-power-grid (2017).
11. Greenberg, A., “The Untold Story of NotPetya, the Most Devastating Cyberattack in History,” Wired, www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world (2018).
12. Tidy, J., “Police Launch Homicide Inquiry After German Hospital Hack,” BBC News, London, England, www.bbc.com/news/technology-54204356 (2020).
13. International Electrotechnical Commission, “IEC TS 62443-1-1:2009 Industrial Communication Networks, Network and System Security; Part 1-1: Terminology, Concepts and Models,” IEC, Geneva, Switzerland (2009).
14. International Society of Automation, “IS-TR84.00.09 Cybersecurity Related to the Functional Safety Lifecycle,” ISA, Research Triangle, NC (2017).
15. Ponemon Institute, “2020 Cost of Insider Threats Global Report,” Ponemon Institute, Traverse City, MI, https://www.observeit.com/wp-content/uploads/2020/04/2020-Global-Costof-Insider-Threats-Ponemon-Report_UTD.pdf (2020).
16. International Electrotechnical Commission, “IEC 62443 Part 3-2 Security Risk Assessment for System Design,” IEC, Geneva, Switzerland (2020).
17. British Columbia Institute of Technology, “Good Practice Guide on Firewall Deployment for SCADA and Process Control Networks,” National Infrastructure Security Co-Ordination Centre, London, England (2004).
18. Gunter, D., et al., “Implementing IEC 62443: A Pragmatic Approach to Cybersecurity,” exida, Sellersville, PA (2018).