La seguridad de la información en sistemas de control industrial (SCI) y, por extensión, la protección de infraestructuras críticas, ha tomado en los últimos años importancia cada vez mayor en algunos países.

Los sistemas de control industrial más conocidos son los llamados SCADA (supervisory control and data acquisition) y DCS (distributed control systems). De manera genérica, los sistemas SCADA son redes de sistemas de control industrial que contienen computadoras y aplicaciones que realizan funciones clave para el suministro de servicios esenciales para una nación, por ejemplo agua, energía, gas, gasolina o petróleo.

Estos sistemas inicialmente se diseñaron para trabajar aislados, pero no han escapado a la imperiosa necesidad de interconectarse con los aplicativos de negocio para facilitar la toma de decisiones, heredando con ello el mundo de vulnerabilidades de los sistemas abiertos. Cualquier infraestructura de red gubernamental o industrial basada en SCADA está sujeta a potenciales ataques, razón por la cual hoy día se requiere tratar el tema de seguridad en sistemas de control industrial.

Recientemente, en enero de 2013, se dio a conocer un informe del US-CERT que indica que el número de ataques cibernéticos registrados en 2012 creció 52%. Los sistemas de electricidad, de agua y nucleares son el principal blanco de los cibercriminales. Durante 2012 se registraron 198 ataques, de los cuales 82 fueron en contra del sector energético, 29 contra del de agua, 7 a instalaciones químicas y 6 contra plantas nucleares. Estas cifras corresponden a ataques denunciados, y puesto que la mayoría de empresas opta por no denunciar las brechas de seguridad, una gran cantidad de ataques permanece desconocida.

La elaboración de este artículo surge del interés en compartir con la comunidad de lectores de Magazcitum un proyecto de definición e implementación de controles de seguridad de la información en sistemas de control industrial en una empresa del sector petrolero de Colombia, considerado como uno de los sectores objeto de protección de infraestructuras críticas.

.

Antecedentes

La empresa ha venido trabajando desde 2007 en la gestión de riesgos para sistemas de control industrial, con base en revisiones puntuales de algunos poliductos y ha implementado políticas y procedimientos de seguridad de la información para dichos sistemas.

.

Problemática

En 2010 se decidió contratar una consultoría especializada con el objeto de efectuar el diagnóstico y análisis de seguridad de la información en 10 estaciones de poliductos, diseñar el plan de mitigación para las principales vulnerabilidades administrativas y tecnológicas encontradas, realizar un análisis comparativo de evolución en seguridad de sistemas de control industrial con base en la evaluación de 2007, los resultados de 2010, y la proyección de mejores prácticas.

.

Equipo de proyecto

El equipo asignado, de manera casi exclusiva, al proyecto por parte del grupo consultor incluyó:

  • Un gerente de proyecto y líder técnico.
  • Dos especialistas en pruebas de vulnerabilidad.
  • Un especialista en seguridad SCADA.
  • Dos profesionales en seguridad de la información.

Y por parte del cliente:

  • Un supervisor del contrato.
  • Un líder técnico.

Además, se contó con el apoyo de los líderes de control y especialistas en cada uno de los poliductos visitados.

.

Duración del proyecto

La duración total fue de cinco meses.

.

Metodología aplicada

 Las siguientes fueron las principales etapas llevadas a cabo durante la ejecución del proyecto:

  • Identificación de vulnerabilidades tecnológicas, administrativas y operativas mediante visitas programadas a los poliductos. Se revisó y ajustó un formato de recolección de información para ser aplicado en cada uno de los poliductos, el cual contenía aspectos tanto técnicos como administrativos relacionados con los diferentes activos involucrados en el sistema de control local (SCL) de cada poliducto tales como configuración de PC, software y parches instalados, usuarios y permisos; prácticas administrativas, de seguridad y contingencia; copias de respaldo de información; gestión de bitácoras; equipos de control, seguridad y conectividad relacionados con el activo evaluado y periféricos.  Con base en la información recolectada se elaboró un informe detallado de resultados de la visita.
  • Análisis de riesgos para el negocio. Una vez efectuadas las visitas de campo a los poliductos y elaborados los respectivos informes individuales, se analizó toda la información recolectada para conocer las principales vulnerabilidades técnicas y administrativas, amenazas, principales riesgos para el negocio, controles existentes y su efectividad.
  • Diseño de estrategias de mitigación. Para aquellos riesgos críticos se identificaron los principales controles para mitigarlos. En algunos casos se definieron nuevos controles y en otros se revisaron y ajustaron los controles existentes, contando siempre con el apoyo y aprobación de los diferentes proveedores de sistemas de control industrial, lo cual dio aún mayor tranquilidad a la empresa.
  • Manual de seguridad de la información en sistemas de control industrial. Para desarrollar este entregable, se acudió a la identificación y alineación de buenas prácticas de la industria, a saber:
    • ISA 99.- Norma de la ISA (Industrial Automation and Control Systems Security) que da pautas para definir e implementar un sistema de gestión de ciberseguridad.
    • NIST SP800-82.- Provee una guía para asegurar sistemas de control industrial, incluyendo sistemas SCADA, DCS y otros sistemas que llevan a cabo tareas de control y que contribuye a la implementación de controles de seguridad asentados en el documento NIST SP800-53 (17 familias y 171 requerimientos de control).

El manual elaborado, entre otros aspectos, incluyó:

    • Políticas generales.
    • Roles y responsabilidades de seguridad de la información para sistemas de control industrial.
    •  Concientización en seguridad de la información para sistemas de control industrial.
    • Seguridad física y ambiental de los sistemas de control industrial.
    • Control de acceso a los sistemas de control industrial.
    • Administración de las redes de control y operaciones de los sistemas de control industrial.
    • Desarrollo, mantenimiento y documentación de sistemas de control industrial.
    • Manejo y respuesta a incidentes de seguridad en sistemas de control industrial.
  • Implementación de políticas, normas y procedimientos de seguridad. La documentación entregada, la existencia previa de controles clave y la aprobación para la implementación de nuevos controles por parte de los diversos fabricantes de sistemas de control industrial, ayudaron a la implementación del conjunto de controles que forman parte del manual de seguridad.
  • Capacitación y entrenamiento en seguridad de la información para sistemas de control industrial. Como parte de los entregables se realizaron actividades de capacitación y entrenamiento en seguridad de la información para sistemas de control industrial en diferentes niveles de la organización.
  • Auditorías internas. Se elaboraron y entregaron guías de auditoría de seguridad de la información en sistemas de control industrial para que la organización ejecutara cada cierto tiempo de manera interna este tipo de auditoría, y diera sostenibilidad al programa del modo como se lleva a cabo el ciclo PHVA (planear-hacer-verificar-actuar) en cualquier sistema de gestión.
  • Análisis evolutivo. Finalmente, se llevó a cabo un estudio evolutivo para establecer el avance en gestión de riesgos y el camino a seguir según el estado del arte en seguridad de la información de SCI de la empresa. Para marcar la ruta se necesitó echar una mirada hacia el futuro, analizando el presente. El análisis del presente se efectuó tomando en cuenta las mejores prácticas de seguridad de la información en SCI, además de las diferentes actividades que la empresa debía realizar para alcanzar un nivel adecuado de aseguramiento de información y de sus activos de control.

.

Resultado final

Al final del proyecto se entregó al cliente una especie de sistema de gestión de seguridad de la información para sistemas de control industrial alineado a marcos de referencia de aceptación mundial.

.

Beneficios del proyecto

Entre los beneficios que originó el proyecto a la organización se pueden mencionar:

  • Mayor gobernabilidad sobre los riesgos de la empresa (en este sentido lo mejor que le puede ocurrir a cualquier empresa es gobernar sus riesgos y no que sean sus riesgos los que la gobiernen).
  • Planeación y manejo más efectivo de seguridad de la información en sistemas de control industrial.
  • Adopción de herramientas metodológicas que facilitan el proceso integral de gestión de riesgos, seguridad de la información y concientización en seguridad en sistemas de control industrial.
  • Incremento de la cultura de seguridad de la información en sistemas de control industrial.

.

Epílogo

En su momento, este proyecto fue, en alguna medida, pionero en Colombia, máxime considerando que en este país no existen leyes o regulaciones  que obliguen a las entidades gubernamentales a establecer las estrategias y las estructuras adecuadas, que permitan dirigir y coordinar sus actuaciones en materia de protección de infraestructuras críticas (previa identificación y designación de las mismas) para mejorar la prevención, preparación y respuesta frente a atentados terroristas u otras amenazas a estas infraestructuras.

Hoy en día a partir de una directiva de la Unión Europea, por ejemplo España ha promulgado la Ley 8 de 2011 y el Real Decreto Reglamentario para el sector gobierno, encaminados a identificar sus infraestructuras críticas y establecer el sistema de protección.

Este ejemplo debería seguirse por los gobiernos de otros países  para ofrecer un estado y condiciones de vida menos inseguras a los ciudadanos.

[email protected]