¡Tsunami! ¿Vas a quedarte mirando la ola?: Panorama Actual de Ciberseguridad Industrial
Ya puedes ver las ponencias completas de la #jornadanextelxvi sobre la #Gestión del #Riesgo #riskmanagement http://www.nextel.es/jornadanextelxvi
¡Tsunami! ¿Vas a quedarte mirando la ola?: Panorama Actual de Ciberseguridad Industrial
1. 1
Ciberseguridad
Industrial y Protección
de Infraestructuras
Críticas
Ignacio Paredes
Centro de Ciberseguridad Industrial (CCI)
Responsabe de Estudios e Investigación
“Ciberseguridad Industrial es el conjunto de prácticas, procesos y tecnologías,
diseñadas para gestionar el riesgo del ciberespacio derivado del uso,
procesamiento, almacenamiento y transmisión de información utilizada en las
organizaciones e infraestructuras industriales, utilizando las perspectivas de
personas, procesos y tecnologías”
2.
3.
4. Earthquake Research Institute, University of Tokyo
4
1960 Gran terremoto chileno Mw9.5
1964 Terremoto Alaska Mw 9.2
1957 Terremoto Islas Andreanof Mw9.1
1952 Terremoto Kamchatka Mw9.0
2011 Gran terremoto del este de Japón Mw 9.0
2004 Terremoto océano Índico Mw9.0
2010 Terremoto chileno Mw8.8
Cinturón de fuego del
Pacífico
7. Consecuencias: Intangibles
Portal web no disponible
No correo
Consecuencias: Tangibles
Pérdida de producción
Daños Medioambientales
Salud Pública
Disminución del valor de la compañía
Convergencia entre los mundos
Físico y “Ciber”
8. Las TI en el Entorno Industrial
Los dispositivos industriales han
heredado los problemas de las TI
Los sistemas de
control ya no están
aislados. Han
pasado de utilizar
líneas serie
dedicadas a utilizar
líneas Ethernet o
WiFi compartidas
Los protocolos de
comunicación
industriales,
empiezan a
funcionar sobre
TCP/IP
Los dispositivos
industriales tienen
sistemas operativos
de propósito
general
9. 9
Imaginemos un mundo donde un simple resfriado pudiese
matarte: Bienvenido al mundo de los Sistemas Industriales
La vulnerabilidad de los PLCs actuales es un hecho (Project
Basecamp)
¿Redes Inalámbricas?: es posible hacer una denegación de
servicio a cualquier red inalámbrica con una mínima
inversión
¿Hay un firewall externo? ¿y qué hay de la seguridad
interna?: la mayoría de los “ataques” o problemas vienen
desde dentro
80-90% de los Sistemas SCADA están conectados a la red
corporativa (muchas veces sin que la organización sea
consciente de ello)
Los Hechos
10. 10
TI en el Entorno Industrial
Convergencia
Impacto
11. Resultados Potencialmente Desastrosos:
Acceso NO autorizado, robo o mal uso de información confidencial
Publicación de información en lugares no autorizados
Pérdida de integridad o disponibilidad de los datos del proceso o información de
producción
Denegación de servicio: pérdida de disponibilidad
Pérdida de capacidad de producción, inferior calidad de productos, pérdidas
medioambientales
Averías en el equipamiento
Pérdidas HUMANAS
Violación de requisitos de cumplimiento legales
Riesgos de salud pública
Amenazas a la seguridad de la nación (¡!)
Impacto
12. 12
TI en el Entorno Industrial
Convergencia
Impacto
Diferentes Culturas
13. Conflicto Planta / TI
–Entornos estancos. “No te metas en mi
terreno y yo no lo haré en el tuyo”
–No se presta atención a los interfaces de
comunicación entre ambos mundos
–Los nexos de unión son tierra de nadie y
muchas veces desconocidos.
Planta vs TI vs Seguridad
14. 14
TI en el Entorno Industrial
Convergencia
Impacto
Diferentes Culturas
¿Seguridad?
16. 16
TI en el Entorno Industrial
Convergencia
Impacto
Diferentes Culturas
¿Seguridad?
Formación
17. • Las TI han evolucionado muy rápidamente y han
entrado en el entorno de los sistemas de control
• El personal de planta no está formado
adecuadamente en las nuevas tecnologías. Muchas
veces ni siquiera es consciente de que existan
problemas
• El personal de TI desconoce los sistemas de la planta.
Tiene la sensación de que es algo fuera de su ámbito
(aunque la frontera sea cada vez más difusa)
Formación y Capacitación
26. 26
Project Robus: Master Serial Killer
• Objetivo: Análisis de la Implementación de
Protocolos Industriales (El primero: DNP3)
• DNP3: 15 advisories, 28 tickets
• Técnicas de Fuzzing
• Casi todos los dispositivos analizados son
vulnerables: sólo 2 ok!
• Las implementaciones se limitan a garantizar al
funcionalidad, no la seguridad
• Cientos de miles de dispositivos vulnerables:
muchos de ellos conectados a Internet
27. 27
Llega la Smart Grid…
y los Smart Oilfields…
…y la Internet de las Cosas
28. Seguridad y Privacidad
en el Diseño
Lleva tiempo
establecer los
requisitos
Seguridad y Privacidad no
son aspectos técnicos,
deben ser criterios de
Negocio
Supone un cambio
cultural
Una buena protección
hoy, es mejor una
protección perfecta
mañana
Smart Grid
29. Digital Oil-Fields
• Conexión de sitios remotos
• Migrar hacia la forma de trabajar en tiempo real o casi
tiempo real
• Diferentes equipos teniendo que trabajar juntos
• Incrementando la Productividad
• Mayor recuperación de Petróleo
• Menos costes operacionales
• Reducción de Riesgos a la Salud
• Seguridad Medioambiental
Campos Inteligentes,
Digitales del Futuro
¿Qué significa?
Slide basada en la presentación de Ayman Al-Issa
(Energy & Utilities Cyber Security Qatar 2012)
32. Obama’s Executive Order
"Now, Congress must act as well, by
passing legislation to give our
government a greater capacity to
secure our networks and deter
attacks”
12 de Febrero de 2013
CISPA
Cyber Intelligence Sharing and Protection Act
13 de Febrero de 2013
33. Estrategia Europea de Ciberseguridad
• Comunicación Estratégica:
• Ciber-resiliencia
• Reducir cibercrimen
• Desarrollar política de Ciber-
defensa
• Desarrollar recursos
tecnológicos e industriales
• Mejorar la política del
Ciberesparcio europea
• Directiva de Seguridad de la
Información y las Redes:
• Incrementar la preparación y
capacidades ciber a nivel
nacional
• Asegurar la cooperación de las
autoridades competentes
• Imponer nuevas obligaciones
de informe de incidentes de
ciberseguridad
7 de Febrero de 2013
34. Protección de
Infraestructuras Críticas
• Administración
• Espacio
• Industria Nuclear
• Industria Química
• Instalaciones de Investigación
• Agua
• Energía
• Salud
• Tecnologías de la Información y
las Comunicaciones (TIC)
• Transporte
• Alimentación
• Sistema Financiero y Tributario
Sectores
Personas, Procesos y
Tecnología: Algunos
Requisitos…
Planes de
Seguridad
Medidas de
Seguridad
Análisis de
Riesgos
Roles y
Responsabilid
ades
35. Estrategia Española
Estrategia
De Ciberseguridad
Nacional
• Trasposición de la Estrategia
Europea de Ciberseguridad
• Alineada con la Estrategia de
Seguridad Nacional de 2014
• Referencia directa a la
protección de
Infraestructuras Críticas
• Protección del Patrimonio
Tecnológico de España
Líneas de Acción:
• Prevención, detección, respuesta y
recuperación ante ciberamenazas
• Seguridad TIC en las AAPP
• Seguridad TIC en IICC
• Investigación y persecución del
ciberterrorismo
• Resiliencia TIC en el sector privado
• Conocimiento, competencias e I+D+i
• Cultura de Cibereguridad
• Compromiso Internacional
37. • Buscador Internet que indexa respuesta de
ciertos servicios conectados a Internet (FTP, SSH,
Telnet, HTTP, HTTPS, SNMP)
• Facilita el acceso a miles de dispositivos
conectados a Internet
Shodan (www.shodanhq.com)
41. Sistemas Industriales
Accesibles en Internet+1.000.000
Localizados en
Estados Unidos30%
Direccionamiento
Dinámico en ISPs80%
Proyecto SHINE
SHodan INtelligence Extraction
48. • Sólo ataques dirigidos
• Sólo intentos de modificación del
sistema de la bomba de agua
• Sólo intentos de modificación via
Modbus/DNP3
• Denegaciones de Servicio
Kyle Wilhoit
(Trendmicro)