Sistema de control industrial (ICS) La ciberseguridad es la prevención de interferencias (intencionales o no intencionales) con el funcionamiento adecuado de los sistemas de control y automatización industrial . Estos sistemas de control gestionan servicios esenciales que incluyen electricidad, producción de petróleo, agua, transporte, fabricación y comunicaciones. Dependen de computadoras, redes, sistemas operativos, aplicaciones y controladores programables , cada uno de los cuales podría contener vulnerabilidades de seguridad . El descubrimiento en 2010 del gusano Stuxnet demostró la vulnerabilidad de estos sistemas a los incidentes cibernéticos. [1] Los Estados Unidos y otros gobiernos han aprobadoregulaciones de seguridad cibernética que requieren una protección mejorada para los sistemas de control que operan la infraestructura crítica.
La seguridad del sistema de control es conocido por varios otros nombres tales como SCADA de seguridad , la seguridad PCN , Industrial de seguridad de red , sistema de control industrial (ICS) Ciberseguridad , Tecnología Operacional (OT) de seguridad y sistema de control de la seguridad cibernética .
Riesgos
La inseguridad o las vulnerabilidades inherentes a los sistemas de control y automatización industrial (IACS) pueden tener consecuencias graves en categorías como seguridad, pérdida de vidas, lesiones personales, impacto ambiental, pérdida de producción, daños a los equipos, robo de información e imagen de la empresa. Se proporciona orientación para evaluar, evaluar y mitigar estos riesgos potenciales mediante la aplicación de muchos documentos gubernamentales, regulatorios, de la industria y estándares globales, que se tratan a continuación.
Vulnerabilidad de los sistemas de control
Los sistemas de control y automatización industrial se han vuelto mucho más vulnerables a los incidentes de seguridad debido a las siguientes tendencias que se han producido en los últimos 10 a 15 años.
- Uso intensivo de protocolos y tecnología comercial estándar (COTS). La integración de tecnología como MS Windows, SQL y Ethernet significa que los sistemas de control de procesos ahora son vulnerables a los mismos virus, gusanos y troyanos que afectan a los sistemas de TI.
- La integración empresarial (utilizando redes de planta, corporativas e incluso públicas) significa que los sistemas de control de procesos (heredados) ahora están sujetos a tensiones para las que no fueron diseñados.
- Demanda de acceso remoto: el acceso 24 horas al día, 7 días a la semana para ingeniería, operaciones o soporte técnico significa conexiones más inseguras o no autorizadas al sistema de control.
- Seguridad a través de la oscuridad : el uso de protocolos o estándares que no están disponibles públicamente es perjudicial para la seguridad del sistema.
Las ciberamenazas y las estrategias de ataque a los sistemas de automatización están cambiando rápidamente. Afortunadamente, la regulación de la seguridad del sistema de control es poco común, ya que la regulación es un proceso lento. Estados Unidos, por ejemplo, solo lo hace para las industrias de energía nuclear y química . [2]
Esfuerzos gubernamentales
El Equipo de Preparación para Emergencias Informáticas del Gobierno de los EE . UU. (US-CERT) instituyó originalmente un programa de seguridad de sistemas de control (CSSP), ahora el Centro Nacional de Integración de Comunicaciones y Ciberseguridad (NCCIC), Sistemas de Control Industrial, que ha puesto a disposición un gran conjunto de Estándares Nacionales gratuitos. y documentos de estándares de tecnología (NIST) relacionados con la seguridad del sistema de control. [3]
Estándares de ciberseguridad industrial
El estándar internacional para la ciberseguridad en la automatización industrial es la IEC 62443. Además, varias organizaciones nacionales como NIST y NERC en los EE. UU. Publicaron pautas y requisitos para la ciberseguridad en los sistemas de control.
IEC 62443
La norma de ciberseguridad IEC 62443 define procesos, técnicas y requisitos para los sistemas de control y automatización industrial (IACS). Sus documentos son el resultado del proceso de creación de estándares IEC donde todos los comités nacionales involucrados acuerdan un estándar común. La norma IEC 62443 fue influenciada y se basa en parte en la serie de normas ANSI / ISA-99 y las directrices VDI / VDE 2182.
Todas las normas e informes técnicos IEC 62443 están organizados en cuatro categorías generales denominadas General , Políticas y Procedimientos , Sistema y Componente .
- La primera categoría incluye información fundamental como conceptos, modelos y terminología.
- La segunda categoría de productos de trabajo se dirige al propietario del activo. Estos abordan varios aspectos de la creación y el mantenimiento de un programa de seguridad IACS eficaz.
- La tercera categoría incluye productos de trabajo que describen la guía de diseño del sistema y los requisitos para la integración segura de los sistemas de control. El núcleo en esto es el modelo de diseño de zonas y conductos.
- La cuarta categoría incluye productos de trabajo que describen el desarrollo de productos específicos y los requisitos técnicos de los productos del sistema de control.
NERC
El estándar de seguridad NERC moderno más ampliamente reconocido es NERC 1300, que es una modificación / actualización de NERC 1200. La última versión de NERC 1300 se llama CIP-002-3 a CIP-009-3, y CIP se refiere a Protección de infraestructura crítica. Estos estándares se utilizan para asegurar sistemas eléctricos a granel, aunque NERC ha creado estándares en otras áreas. Los estándares del sistema eléctrico a granel también brindan administración de seguridad de la red al tiempo que respaldan los procesos de mejores prácticas de la industria.
NIST
El Marco de Ciberseguridad del NIST (NIST CSF) proporciona una taxonomía de alto nivel de los resultados de la ciberseguridad y una metodología para evaluar y gestionar esos resultados. Su objetivo es ayudar a las organizaciones del sector privado que brindan infraestructura crítica con orientación sobre cómo protegerla. [4]
La publicación especial 800-82 Rev. 2 del NIST "Guía para la seguridad del sistema de control industrial (ICS)" describe cómo proteger varios tipos de sistemas de control industrial contra ataques cibernéticos mientras se consideran los requisitos de rendimiento, confiabilidad y seguridad específicos de ICS. [5]
Certificaciones de seguridad del sistema de control
Varios organismos de certificación mundiales han establecido certificaciones para la seguridad del sistema de control. La mayoría de los esquemas se basan en la IEC 62443 y describen métodos de prueba, políticas de auditoría de vigilancia, políticas de documentación pública y otros aspectos específicos de su programa.
enlaces externos
Referencias
- ^ Byres, Eric; Cusimano, John (febrero de 2012). "Los 7 pasos para la seguridad ICS" . Tofino Security y exida Consulting LLC. Archivado desde el original el 23 de enero de 2013 . Consultado el 3 de marzo de 2011 .
- ^ Gross, Michael Joseph (1 de abril de 2011). "Una declaración de guerra cibernética" . Feria de la vanidad . Conde Nast. Archivado desde el original el 13 de julio de 2014 . Consultado el 29 de noviembre de 2017 .
- ^ "Estándares y referencias - NCCIC / ICS-CERT" . ics-cert.us-cert.gov/ . Archivado desde el original el 26 de octubre de 2010 . Consultado el 27 de octubre de 2010 .
- ^ "Marco de ciberseguridad del NIST" . Consultado el 2 de agosto de 2016 .
- ^ Stouffer, Keith; Lightman, Suzanne; Pillitteri, Victoria; Abrams, Marshall; Hahn, Adam (3 de junio de 2015). "Guía de seguridad de los sistemas de control industrial (ICS)" . CSRC | NIST . doi : 10.6028 / NIST.SP.800-82r2 . Consultado el 29 de diciembre de 2020 .